Синий экран Windows 7 x64 - вирус - Удаление вируса

[Kirill_Mihailov]

Доброе время суток, поймал сегодня вирус по ошибке открыл .exe файл...
Постоянно рестартит в "Нормальном режиме" - винда загружается работает 10 - 15 секунд - синий экран! (скрин в приложении)
В "сейф моде" - работает отлично
В режиме "с сетью" так же само как и в первом случае - винда загружается работает 10 - 15 секунд - синий экран!
В режиме "редактирования" - все стабильно

Антивирус свой включить не успеваю вылетает синий экран, в "сэйф моде" через жесткий закачал антивирус он отработал нашло трояны около 8 штук написал что удалил, делаю рестарт - винда загружается работает 10 - 15 секунд - синий экран!

Помогите пожалуйста люди добрые

 

 

приложил логи, спасибо

CollectionLog-2018.01.27-01.54.zip

[regist]

1. Загрузите GMER по одной из указанных ссылок:
   Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
2. Временно отключите драйверы эмуляторов дисков.
3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
4. Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
5. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
6. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
7. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

8. Подробную инструкцию читайте в руководстве.

 

+ в hosts записи сами добавляли?

[Kirill_Mihailov]

Добрый день, не чего не добавлял в hosts

добавил логи сделанные через GMER.

Спасибо за ответ

это он мне показал битые файлы ?

Reg     HKLM\SYSTEM\CurrentControlSet\.............

 

и так далее, таких 9 файлов, зайти и снести их через regedit?

27.01.18_LOGs.log

[regist]

 

 

и так далее, таких 9 файлов, зайти и снести их через regedit?

только если хотите добить свою систему. Собственно как и предполагал руткита у вас нет, а глюки из-за того что у вас два антивируса.
 
1) У вас стоит

Norton AntiVirus [20180126]-->"C:\Program Files (x86)\NortonInstaller\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV\562C4DD5\21.6.0.32\InstStub.exe" /X /ARP
Norton Identity Safe [20180126]-->"C:\Program Files (x86)\NortonInstaller\{92622AAD-05E8-4459-B256-765CE1E929FB}\NST\LicenseType\2014.7.8.23\InstStub.exe" /X /ARP
Norton Internet Security [20180126]-->"C:\Program Files (x86)\NortonInstaller\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS\562C4DD5\21.6.0.32\InstStub.exe" /X /ARP

а также стоит

AVG [20180122]-->MsiExec.exe /I{136B57DF-DA9E-4361-A165-09AB4422BCD1}
AVG Driver Updater [2017/11/17 08:50:29]-->"C:\Program Files (x86)\AVG Driver Updater\UninstallStub.exe" --log {baab946f-7e00-41f4-bec7-b8ccf758e012}
AVG Driver Updater [20171117]-->MsiExec.exe /X{BAAB946F-7E00-41F4-BEC7-B8CCF758E012}
AVG Internet Security [2018/01/14 13:51:15]-->C:\Program Files (x86)\AVG\Setup\avgsetupx.exe /mode=offline /uninstall=bav

Определитесь и оставьте один какой-нибудь. Второй удалите.
 
2) В обязательном порядке удалите

AVG PC TuneUp [2017/12/02 18:41:50]-->C:\Program Files (x86)\AVG\AVG PC TuneUp\..\Setup\avgsetupx.exe /mode=offline /uninstall=tu /tu.show_installation_page=1

3) Сделайте свежие логи по правилам, будем дальше с остальным разбираться.

[Kirill_Mihailov]

у меня всегда стоял 1 антивирус, второй я установил после того как поймал вирус и не смог включить AVG,

установил второй антивирус Norton в безопасном режиме для проверки и нахождение вируса, но это не помогло компьютер все равно выкидывал синий экран

Изменено 27 января, 2018 пользователем Kirill_Mihailov

[regist]

и в итоге вы только усугубили своё положение. Теперь конфликт антивирусов у вас вызывает проблемы больше чем сами вирусы.

Так что удаляйте один антивирус, вычищайте его хвосты. А уже дальше будем разбираться с вирусами и что там осталось.

[Kirill_Mihailov]

2) В обязательном порядке удалите

AVG PC TuneUp

у меня не получается его удалить, он не удаляется не через Control Panel не через папку

 

после удаления Northon антивируса. Вы мне прислали ссылку как корректно убрать один из антивирусов я скачал утилит для Northon антивируса

 

Symantec Corporation​

Загрузите Norton Removal Tool:.......... но я не смог его открыть в безопастном режиме он просит сеть а где сеть там синий экран, так что я делал uninstall через Control Panel

 

добавил новые логи

new_logs_Kirill_Mihailov.log

[regist]

 

 

AVG PC TuneUp у меня не получается его удалить, он не удаляется не через Control Panel не через папку

пробуйте удалить через Revo Uninstaller, тут есть подробная инструкция.

 

После удаления свежие логи Автологером сделайте.

[Kirill_Mihailov]

Revo Uninstaller помог, удаление прошло успешно,  Спасибо!

Новый лог файл в приложение

new_log_number_3_27.01.18.log

[regist]

Прочтите наконец внимательно, что от вас просят и прикрепите то что нужно.

[Kirill_Mihailov]

простите а что я сделал не правильно ? все как вы написали удалил скинул новые что не так ?

[Mark D. Pearlstone]

@Kirill_Mihailov, вас просили сделать лог, как в первом сообщении темы.

 

 

После удаления свежие логи Автологером сделайте.

[Kirill_Mihailov]

логи сделанные автологгером

CollectionLog-2018.01.28-09.59.zip

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Chrоmе.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzilla Firеfох.lnk', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Administrator\Desktop\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk', '');
 QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk', '');
 QuarantineFile('C:\Users\Default\Desktop\Yandex.lnk', '');
 QuarantineFile('C:\Users\Editing\AppData\Roaming\Browsers\exe.emorhc.bat', '');
 QuarantineFile('C:\Users\Editing\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
 QuarantineFile('C:\Users\Editing\AppData\Roaming\Browsers\exe.xoferif.bat', '');
 QuarantineFile('C:\Users\Editing\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gоogle Сhromе.lnk', '');
 QuarantineFile('C:\Users\Editing\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
 QuarantineFile('C:\Users\Editing\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Internet Еxрlоrеr Вrowser.lnk', '');
 QuarantineFile('C:\Users\Editing\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоogle Сhrоme (2).lnk', '');
 QuarantineFile('C:\Users\Editing\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоogle Сhrоme.lnk', '');
 QuarantineFile('C:\Users\Editing\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Еxplorеr (2).lnk', '');
 QuarantineFile('C:\Users\Editing\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Еxplorеr.lnk', '');
 QuarantineFile('C:\Users\Editing\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzillа Firefох (2).lnk', '');
 QuarantineFile('C:\Users\Editing\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzillа Firefох.lnk', '');
 QuarantineFile('C:\Users\Editing\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Explоrer (Nо Add-оns).lnk', '');
 QuarantineFile('C:\Users\Editing\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Editing\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplorer.lnk', '');
 QuarantineFile('C:\Users\postgres\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk', '');
 QuarantineFile('C:\Users\postgres\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk', '');
 QuarantineFile('C:\Users\postgres\Desktop\Yandex.lnk', '');
 QuarantineFile('C:\Windows\system32\tasks\{0B0B0847-0A08-080B-0F11-0E040E7F110F}', '');
 QuarantineFile('F:\autorun.inf', '');
 DeleteFile('C:\Users\Editing\AppData\Roaming\Browsers\exe.emorhc.bat', '');
 DeleteFile('C:\Users\Editing\AppData\Roaming\Browsers\exe.emorhc.bat', '32');
 DeleteFile('C:\Users\Editing\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
 DeleteFile('C:\Users\Editing\AppData\Roaming\Browsers\exe.erolpxei.bat', '32');
 DeleteFile('C:\Users\Editing\AppData\Roaming\Browsers\exe.xoferif.bat', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{0B0B0847-0A08-080B-0F11-0E040E7F110F}" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(9);
 ExecuteRepair(13);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
 

Удалите остатки McAfee, ссылку на инструкции выше давал, но повторю https://safezone.cc:443/threads/58/

Снова повторите логи по правилам, на этот раз попробуйте из обычного режима.
 

[Kirill_Mihailov]

День добрый,

 

логи из нормального режима сделать не могу так как снова вылетает синий экран

 

https://virusinfo.info/virusdetector/report.php?md5=8C93D6E70A280936BB1F3AE793BB1948

KLAN- 7573865529

 

как вы считаете, может быть не отвлекать ваше время на мою проблему и я просто отключу все диски и оставлю только системный снесу систему format C, про инсталлирую заново Windows 7  и по одному подключу диски обратно и все ? и не надо со мной мучатся... Вы итак потратили на меня столько своего личного времени

и я не могу удалить McAfee не программой из ссылки что вы мне дали, и так же я пробывал RevoUninstaller (в списке на удаление ее нету по этому я не могу сделать RevoUninstaller)

запускаю программу что вы мне дали по ссылке:

McAfee, Inc.​

1. Eсли используется услуга защиты от краж McAfee Anti-Theft или Intel Anti-Theft, отключите услугу перед использованием специальной утилиты удаления.
2. Скачайте и сохраните на компьютере утилиту MCPR.exe (MCPR © McAfee, Inc).
3. Запустите файл MCPR.exe, дважды нажав левой кнопкой мыши на файл.
4. После того, как процесс удаления продуктов McAfee будет завершен (этот процесс займет примерно около минуты), появится окно McAfee Cleanup с сообщением (на английском языке): Reboot required to remove all files. Would you like to reboot now? (в переводе на русский язык:"Для удаления всех файлов, компьютер необходимо перезагрузить. Сделать это сейчас?").
5. Нажмите на кнопку Да, чтобы перезагрузить компьютер сейчас и завершить процесс удаления продуктов McAfee.

 

- запускаю программу dubble click - next - agree, next - ввожу код, next - Incomplete Uninstallation (Error obtaining full permissions for cleanup. See log file for more detalies)

 

нажимаю View Logs - The process cannot access the file because it is being used by another process

 

Нажимаю OK - Close ... Unintallation not complited

ClearLNK-28.01.2018_12-09.log

Изменено 28 января, 2018 пользователем Kirill_Mihailov