Появился ASP.USER -> борьба с троянами -> синий экран

22 августа, 2017

В начале Касперский начал обнаруживать различные трояны в системе. Вроде как успешно с ними боролся.

Затем сам появился пользователь ASP.USER.

После попытки полностью проверить ПК с помощью Касперского компьютер выдал синий экран.

После перезагрузок выходило сообщение о загрузке Windows, но через пару секунда синий экран вновь появлялся.

После многократных попыток восстановить систему (через F8, с помощью диска установки) чудом удалось загрузить Windows.

Касперским делать полные проверки пока не рискнул.

Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt ни чего не нашли.

Adwcleaner нашёл 4 ключа в реестре. Исправил их вроде.

Подозреваю, что на ПК вирус и опасаюсь рецидива с синим экраном.

Лог в приложении.

Благодарю.

CollectionLog-2017.08.22-12.24.zip

22 августа, 2017

1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

2)

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание.

Если у вас установлены архиваторы

WinRAR

или

7-Zip

, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание

, что утилиты необходимо запускать от имени Администратора. По умолчанию в

Windows XP

так и есть. В

Windows Vista

и

Windows 7

администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать

Запуск от имени Администратора

, при необходимости укажите пароль администратора и нажмите

"Да"

.

Подробнее читайте в руководстве Как подготовить лог UVS.

PS.

Kaspersky Free [2016/06/22 22:05:03]-->MsiExec.exe /I{F575F386-57EF-4943-B003-A13F13B05EEB} REMOVE=ALL
Kaspersky Free [20170419]-->MsiExec.exe /I{F575F386-57EF-4943-B003-A13F13B05EEB}

у вас похоже две версии Kaspersky Free стоят, потом как закончим с вирусами желательно удалить их оба и потом актуальную поставить заново.

22 августа, 2017

Ссылка на результаты анализа:Результаты анализа карантина

http://virusinfo.info/virusdetector/report.php?md5=76CDB2BAD9582D23C1F6F4D868218D6C

PC_2017-08-22_14-36-51.7z

22 августа, 2017

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CHROME_BITS_3540_14561\396_ALL_STHSET.CRX2
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CHROME_BITS_3540_14561\396_ALL_STHSET.CRX2
delref WMI_.[FUCKYOUMM2_FILTER]
zoo %SystemRoot%\TEMP\GURBCE3.EXE
delall %SystemRoot%\TEMP\GURBCE3.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref S&AMP;A.EXE
apply

czoo
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

Если архив отсутствует, то

заархивруйте папку ZOO

с паролем

virus

.
Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.

сделайте свежий образ автозапуска.

22 августа, 2017

Архив отправил с помощью формы.

PC_2017-08-22_16-02-16.7z

22 августа, 2017

что с проблемой?

22 августа, 2017

Проблема пока не наблюдается. Необходимо время (ИМХО).

В данное время произвожу удаление двух копий Kaspersky Free и установки только одного.

Если не секрет. Что было с ПК? Заражение? Подозрение на что-то?

Спасибо!

ЗЫ

Я опять общался с богами. С богами в мире информационных технологий.

22 августа, 2017

Если не секрет. Что было с ПК? Заражение? Подозрение на что-то?

заражение.

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

23 августа, 2017

Рекомендации выполнены.

Уязвимости ликвидированы.

Проблема решена.

Спасибо!

ЗЫ

Название обнаруженных вирусов и ссылки на инфу по ним, если можно.

Спасибо!

Появился ASP.USER -> борьба с троянами -> синий экран

Рекомендуемые сообщения

denisfox1971

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

denisfox1971

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

denisfox1971

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

denisfox1971

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

denisfox1971

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum