Tera Опубликовано 8 января, 2018 Опубликовано 8 января, 2018 Добрый день! Касперский находит Trojan.Multi.CertStor.a, предлагает лечение с перезагрузкой, но после перезагрузки находит снова. Поначалу из видимых проблем была установка рекламного ПО поверх Хрома (нажатие куда угодно в области окна приводило к переходу на рекламные сайты, переустановка не помогла). При очередной перезагрузке Windows 10 решила обновиться, и больше не загружается нормально - переходит в bsod по разным причинам (среди прочего kernel security check failure, driver failure, dxgkrnl.sys system service exception и прочие. Каждый раз новое). Сейчас запущена в безопасном режиме. Два лога - один в безопасном режиме, другой ещё до. Помогите, пожалуйста. Заранее огромное спасибо! CollectionLog-2018.01.08-13.51.zip CollectionLog-2018.01.07-20.31.zip
Sandor Опубликовано 8 января, 2018 Опубликовано 8 января, 2018 Здравствуйте! Устаревшую версию KAV 15 удалите через Панель управления - Удаление программ. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Program Files (x86)\System Native\Main Services\Guard.exe', ''); QuarantineFile('C:\Program Files (x86)\YeaDesktop\YeaDesktop.exe', ''); QuarantineFile('C:\Users\ugur\AppData\Roaming\1yrydawdgpk\ptmw4dih0ge.exe', ''); QuarantineFile('C:\Users\ugur\AppData\Roaming\yzmnxudmzfr\lzl4eal3vsc.exe', ''); QuarantineFile('C:\Windows\Temp\g2EDD.tmp.exe', ''); DeleteFile('C:\Program Files (x86)\YeaDesktop\YeaDesktop.exe', '32'); DeleteFile('C:\Users\ugur\AppData\Roaming\1yrydawdgpk\ptmw4dih0ge.exe', '32'); DeleteFile('C:\Users\ugur\AppData\Roaming\yzmnxudmzfr\lzl4eal3vsc.exe', '32'); DeleteFile('C:\Windows\Temp\g2EDD.tmp.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '5860573'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '6191604'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'YeaDesktop'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'UGUR'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(13); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger (пробуйте в обычном режиме). Прикрепите к следующему сообщению свежий CollectionLog.
Tera Опубликовано 8 января, 2018 Автор Опубликовано 8 января, 2018 Спасибо за быстрый ответ! KLAN-7490544596 (с обычным режимом всё ещё проблемы: dxgkrnl.sys system service exception) CollectionLog-2018.01.08-19.46.zip
regist Опубликовано 8 января, 2018 Опубликовано 8 января, 2018 @Tera, пожалуйста, Нажмите комбинацию клавиш Win + R, введите regedit и нажмите ОК.Перейдите к ветке: HKEY_USERS\Software\Microsoft\SystemCertificatesНажмите правой кнопкой мыши по SystemCertificates и выберите "Экспортировать", сохраните на рабочий стол под именем SystemCertificates.regФайл SystemCertificates.reg заархивируйте и пришлите в своём сообщении. и файл с которого вы заразились случайно у вас не сохранился?
Tera Опубликовано 9 января, 2018 Автор Опубликовано 9 января, 2018 HKEY_USERS\Software\Microsoft\SystemCertificates Нашлась только HKEY_USERS\.DEFAULT\Software\Microsoft\SystemCertificates Файла не сохранилось, но торрент ещё остался. На всякий случай, ссылка во втором архиве Stream URL.rar SystemCertificates.rar
regist Опубликовано 9 января, 2018 Опубликовано 9 января, 2018 (изменено) @Tera, добавлю что в своей проблемы вы виноваты сами. И не из-за того, что вирус запустили, а из-за того, что у вас стоит ESET Endpoint Antivirus, одновременно с ним стоит Kaspersky Lab\Kaspersky Anti-Virus 15.0.2 и ещё включён дефендер.1) Неудивительно что из-за того винегрета у вас ни один антивирус не работает нормально.2) KAV 15 устарел и не способен уже полноценно защищать, что собственно вы на себе и проверили. Так что как в фильме горец должен остаться только один. Определитесь какой антивирус вы хотите оставить и скачайте и установите себе актуальную версию. Остальное деинсталируйте. + C:\Windows\Temp\g2EDD.tmp.exe этот файл если есть, то удалите у него расширение, заархивируйте в zip архив с паролем virus и пришлите на почту , укажите в письме ссылку на тему, в которой просили прислать файлы.Либо просто выполните такой скрипт в AVZ begin ClearQuarantineEx(true); QuarantineFile('C:\Windows\Temp\g2EDD.tmp.exe', ''); CreateQurantineArchive(GetAVZDirectory + 'CertStor.zip'); RebootWindows(false); end. - Файл CertStor.zip пришлите на указанную почту. Изменено 10 января, 2018 пользователем regist дописал про скрипт AVZ и рассширение файла
Tera Опубликовано 10 января, 2018 Автор Опубликовано 10 января, 2018 Отправила. Эсет это... запаниковала Спасибо большое, что сказали - сразу вспомнила, что как раз перед Эсетом должны были остаться контрольные точки и можно восстановиться с них. Большое, огромное спасибо. Сейчас устанавливаю нового Касперского, надеюсь, он найдёт свою лицензию. Как можно догадаться по KAV15, никогда не пробовала переустанавливать.
Sandor Опубликовано 10 января, 2018 Опубликовано 10 января, 2018 ESET Endpoint Antivirus, одновременно с ним стоит Kaspersky Lab\Kaspersky Anti-Virus 15.0.2 и ещё включён дефендер.Наводите порядок, пробуйте удалить стандартно через Панель управления - Удаление программ. Если не получится -Чистка системы после некорректного удаления антивируса. После этого пробуйте собрать CollectionLog в обычном режиме.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти