Синий экран Windows 7 x64 - вирус - Удаление вируса

[regist]

 

 

Снова повторите логи по правилам, на этот раз попробуйте из обычного режима.

Это не сделали.

 

+ проверьте в безопасном режиме с сетью тоже не грузится? Если в него загрузится, то из него

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

 

если не получится, то хотя бы из обычного безопасного.

 

 

как вы считаете, может быть не отвлекать ваше время на мою проблему и я просто отключу все диски и оставлю только системный снесу систему format C, про инсталлирую заново Windows 7 и по одному подключу диски обратно и все ? и не надо со мной мучатся... Вы итак потратили на меня столько своего личного времени

считаю, что пока стоит попробовать удалить вирусню. Если потом это упрётся в системные проблемы, то может действительно будет проще переустановить.

[Kirill_Mihailov]

из прошлого сообщения:

ваш вопрос:

Снова повторите логи по правилам, на этот раз попробуйте из обычного режима.
Это не сделали.

 

мой ответ:

логи из нормального режима сделать не могу так как снова вылетает синий экран

 

Все было сделано из безопасного режима так как в остальных режимах все тот же синий экран.

После первого скана AwdCleaner было найдино 70 файлов и там ьыла функция Remove them я нажал ремув и он попросил рестарт AwdCleaner[s0].txt

я запустил еще раз после рестарта AwdCleaner было найдино 17 файлов я нажал ремув и он попросил рестарт AwdCleaner[s1].txt

я запустил еще раз после рестарта AwdCleaner было найдино 7 файлов AwdCleaner[s2].txt

 

Новые логи с АвтоЛоггера из безопастного режима и отчеты из AwdCleaner

AdwCleanerS0.txt

AdwCleanerS1.txt

AdwCleanerS2.txt

CollectionLog-2018.01.28-15.03.zip

Изменено 28 января, 2018 пользователем Kirill_Mihailov

[regist]

там ьыла функция Remove them я нажал ремув

поторопились.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\runSW.exe', '');
 QuarantineFile('C:\Users\Editing\AppData\Local\Temp\b44016eb84f34c8eb926fd9d37ab05da\chipset.exe', '');
 QuarantineFileF('C:\Users\Editing\AppData\Local\Optimizer\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\Editing\AppData\Local\Temp\b44016eb84f34c8eb926fd9d37ab05da\chipset.exe', '32');
 QuarantineFileF('C:\ProgramData\Voyasollam\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\ProgramData\Voyasollam\', '*', true);
 DeleteDirectory('C:\ProgramData\Voyasollam\');
 QuarantineFileF('C:\ProgramData\1815ff880b7b4ceaa0849b157b692390\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\ProgramData\1815ff880b7b4ceaa0849b157b692390\', '*', true);
 DeleteDirectory('C:\ProgramData\1815ff880b7b4ceaa0849b157b692390\');
 ExecuteFile('schtasks.exe', '/delete /TN "{0B0B0847-0A08-080B-0F11-0E040E7F110F}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_GA" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_RI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_XT" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\Editing\AppData\Local\Optimizer\', '*', true);
 DeleteDirectory('C:\Users\Editing\AppData\Local\Optimizer\');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

 

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4-32 - HKLM\..\RunOnce: [NIS] = C:\Program Files (x86)\NortonInstaller\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS\562C4DD5\21.6.0.32\InstStub.exe /RELAUNCH /RUNONCE /NOPROMPT /PRODID NIS (file missing)
O18 - Protocol: WSISVCUchrome - {78A543EB-3A61-4ED3- - (no file)
O20 - HKLM\..\Windows: [AppInit_DLLs] = C:\ProgramData\Voyasollam\Fixtop.dll (file missing)
O20-32 - HKLM\..\Windows: [AppInit_DLLs] = C:\ProgramData\Voyasollam\Tempdom.dll (file missing)
O22 - Task: (disabled) Red Giant Link - C:\Program Files\Red Giant Link\Red Giant Link.exe --silent (file missing)
O22 - Task: AVGPCTuneUp_Task_BkGndMaintenance - C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe $(Arg0) (file missing)
O22 - Task: GoogleUpdateSecurityTaskMachine_GA - C:\ProgramData\1815ff880b7b4ceaa0849b157b692390\chipset.exe exec hide BPNXAIKFVL.cmd (file missing)
O22 - Task: GoogleUpdateSecurityTaskMachine_JY - C:\ProgramData\78ed0ef210e240f6bbe66e3aa2996428\chipset.exe exec hide FQSLEKBOIJ.cmd (file missing)
O22 - Task: GoogleUpdateSecurityTaskMachine_LE - C:\ProgramData\cbee0ef5288e4e77919b2355ace09139\chipset.exe exec hide HUHJMNHRKR.cmd (file missing)
O22 - Task: GoogleUpdateSecurityTaskMachine_RI - C:\Users\Editing\AppData\Local\Temp\b44016eb84f34c8eb926fd9d37ab05da\chipset.exe exec hide ZOKXUMUNTJ.cmd (file missing)
O22 - Task: GoogleUpdateSecurityTaskMachine_XT - C:\ProgramData\277d6a96a3c54ab5a072e07f818cf250\chipset.exe exec hide OWQGSBNMLL.cmd (file missing)
O22 - Task: {7273A591-29AC-4C1C-8A4C-BCDEF3873ABE} - c:\program files (x86)\mozilla firefox\firefox.exe https://ui.skype.com/ui/0/7.30.80.105/en/abandoninstall?page=tsMain (file missing)

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Изменено 28 января, 2018 пользователем regist

[Kirill_Mihailov]

пожалуйста.

 

Поправка, вы добавили скрипт... тогда я сделаю заново так как когда я прочитал и сделал FRST64 scan скпирта еще не было в сообщение

 

там ьыла функция Remove them я нажал ремув

поторопились.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\runSW.exe', '');
 QuarantineFile('C:\Users\Editing\AppData\Local\Temp\b44016eb84f34c8eb926fd9d37ab05da\chipset.exe', '');
 QuarantineFileF('C:\Users\Editing\AppData\Local\Optimizer\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\Editing\AppData\Local\Temp\b44016eb84f34c8eb926fd9d37ab05da\chipset.exe', '32');
 QuarantineFileF('C:\ProgramData\Voyasollam\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\ProgramData\Voyasollam\', '*', true);
 DeleteDirectory('C:\ProgramData\Voyasollam\');
 QuarantineFileF('C:\ProgramData\1815ff880b7b4ceaa0849b157b692390\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\ProgramData\1815ff880b7b4ceaa0849b157b692390\', '*', true);
 DeleteDirectory('C:\ProgramData\1815ff880b7b4ceaa0849b157b692390\');
 ExecuteFile('schtasks.exe', '/delete /TN "{0B0B0847-0A08-080B-0F11-0E040E7F110F}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_GA" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_RI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_XT" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\Editing\AppData\Local\Optimizer\', '*', true);
 DeleteDirectory('C:\Users\Editing\AppData\Local\Optimizer\');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4-32 - HKLM\..\RunOnce: [NIS] = C:\Program Files (x86)\NortonInstaller\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS\562C4DD5\21.6.0.32\InstStub.exe /RELAUNCH /RUNONCE /NOPROMPT /PRODID NIS (file missing)
O18 - Protocol: WSISVCUchrome - {78A543EB-3A61-4ED3- - (no file)
O20 - HKLM\..\Windows: [AppInit_DLLs] = C:\ProgramData\Voyasollam\Fixtop.dll (file missing)
O20-32 - HKLM\..\Windows: [AppInit_DLLs] = C:\ProgramData\Voyasollam\Tempdom.dll (file missing)
O22 - Task: (disabled) Red Giant Link - C:\Program Files\Red Giant Link\Red Giant Link.exe --silent (file missing)
O22 - Task: AVGPCTuneUp_Task_BkGndMaintenance - C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe $(Arg0) (file missing)
O22 - Task: GoogleUpdateSecurityTaskMachine_GA - C:\ProgramData\1815ff880b7b4ceaa0849b157b692390\chipset.exe exec hide BPNXAIKFVL.cmd (file missing)
O22 - Task: GoogleUpdateSecurityTaskMachine_JY - C:\ProgramData\78ed0ef210e240f6bbe66e3aa2996428\chipset.exe exec hide FQSLEKBOIJ.cmd (file missing)
O22 - Task: GoogleUpdateSecurityTaskMachine_LE - C:\ProgramData\cbee0ef5288e4e77919b2355ace09139\chipset.exe exec hide HUHJMNHRKR.cmd (file missing)
O22 - Task: GoogleUpdateSecurityTaskMachine_RI - C:\Users\Editing\AppData\Local\Temp\b44016eb84f34c8eb926fd9d37ab05da\chipset.exe exec hide ZOKXUMUNTJ.cmd (file missing)
O22 - Task: GoogleUpdateSecurityTaskMachine_XT - C:\ProgramData\277d6a96a3c54ab5a072e07f818cf250\chipset.exe exec hide OWQGSBNMLL.cmd (file missing)
O22 - Task: {7273A591-29AC-4C1C-8A4C-BCDEF3873ABE} - c:\program files (x86)\mozilla firefox\firefox.exe https://ui.skype.com/ui/0/7.30.80.105/en/abandoninstall?page=tsMain (file missing)

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

 

 

пожалуйста:

 

4 файла и KLAN - 7574813517

FRST.txt

Addition.txt

Shortcut.txt

Addition.txt

FRST.txt

Shortcut.txt

HiJackThis.log

Изменено 28 января, 2018 пользователем Kirill_Mihailov

[regist]

1) На всякий случай создайте точку восстановления системы.

 

2)

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden
  ph (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name) Hidden
  Task: {A7A62992-8484-4D2B-B3C9-4758ACD2E01A} - System32\Tasks\{0B0B0847-0A08-080B-0F11-0E040E7F110F} => C:\Windows\system32\WindowsPowershell\v1.0\powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand IAAgADsAOwA7ADsAIAA7ADsAOwA7ADsAIAA7ADsAOwAgACAAJABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIA (the data entry has 10068 more characters). <==== ATTENTION
  Task: {E6B5EBF5-E4AC-4BF3-BAB4-DFF59C879594} - System32\Tasks\GoogleUpdateSecurityTaskMachine_RI => C:\Users\Editing\AppData\Local\Temp\b44016eb84f34c8eb926fd9d37ab05da\chipset.exe exec hide ZOKXUMUNTJ.cmd  <==== ATTENTION
  AlternateDataStreams: C:\ProgramData\TEMP:0888F409 [136]
  AlternateDataStreams: C:\ProgramData\TEMP:3440EB47 [836]
  AlternateDataStreams: C:\ProgramData\TEMP:93433455 [346]
  HKU\S-1-5-21-4112138521-197969892-887820644-1000\Software\Classes\regfile: regedit.exe "%1" <==== ATTENTION
  FirewallRules: [{677CA663-D4B1-4488-87A3-5FCDEC47CF9A}] => (Allow) C:\Windows\system32\rundll32.exe
  FirewallRules: [{EE3C113E-BC08-4053-A063-F1C9816B5978}] => (Allow) C:\Windows\System32\rundll32.exe
  FirewallRules: [{4903816B-432D-4106-8D91-9FD740EBDBFA}] => (Allow) C:\Windows\System32\rundll32.exe
  FirewallRules: [{495FEBBA-45BD-4936-880A-429B7C7A8D05}] => (Allow) C:\Windows\System32\rundll32.exe
  FirewallRules: [{D3B251E9-F86A-4AF6-89C9-190FB720F322}] => (Allow) C:\Windows\System32\rundll32.exe
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  HKU\S-1-5-21-4112138521-197969892-887820644-1000\...\MountPoints2: J - J:\setup.exe
  HKU\S-1-5-21-4112138521-197969892-887820644-1000\...\MountPoints2: {027d60fe-fa09-11e7-a7d3-382c4ab80646} - N:\Autoplay.exe -auto
  HKU\S-1-5-21-4112138521-197969892-887820644-1000\...\MountPoints2: {198ed154-829b-11e5-a1c7-806e6f6e6963} - H:\setup.bat
  HKU\S-1-5-21-4112138521-197969892-887820644-1000\...\MountPoints2: {525808e4-f0d1-11e5-9630-382c4ab80646} - J:\Lenovo_Suite.exe
  HKU\S-1-5-21-4112138521-197969892-887820644-1000\...\MountPoints2: {5ba81aff-827b-11e5-91a2-ea82673893f8} - D:\MAXON-Start.exe
  HKU\S-1-5-21-4112138521-197969892-887820644-1000\...\MountPoints2: {5ba81f7b-827b-11e5-91a2-ea82673893f8} - I:\Autoplay.exe -auto
  HKU\S-1-5-21-4112138521-197969892-887820644-1000\...\MountPoints2: {8158b26b-8954-11e5-8e18-c5571dea8ed1} - D:\Lenovo_Suite.exe
  HKU\S-1-5-21-4112138521-197969892-887820644-1000\...\MountPoints2: {da34fd89-daa6-11e5-8599-8b53dc477aa3} - F:\Launcher\LAUNCHER.EXE
  HKU\S-1-5-21-4112138521-197969892-887820644-1000\...\MountPoints2: {de4a0414-53e8-11e7-af5d-382c4ab80646} - J:\autorun.exe
  GroupPolicy: Restriction <==== ATTENTION
  SearchScopes: HKLM-x32 -> DefaultScope value is missing
  SearchScopes: HKU\S-1-5-21-4112138521-197969892-887820644-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={9E7672AE-B43F-481E-B67D-B243D9447193}&mid=2655843ab48647ccb2183bcb21dc7a0b-ffdbbf9dbe204d0522c614e2c64737d04c83c2e5&lang=ru&ds=AVG&coid=avgtbavg&cmpid=0517tb&pr=fr&d=2015-11-15 23:44:56&v=4.3.8.510&pid=wtu&sg=&sap=dsp&q={searchTerms}
  FF NewTab: Mozilla\Firefox\Profiles\i43fva3q.default -> C:\\ProgramData\\Voyasollams\\ff.NT
  FF Extension: (Quick Searcher) - C:\Users\Editing\AppData\Roaming\Mozilla\Firefox\Profiles\i43fva3q.default\Extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233 [2018-01-26]
  FF Extension: (AVG SafePrice) - C:\Users\Editing\AppData\Roaming\Mozilla\Firefox\Profiles\i43fva3q.default\Extensions\sp@avg.com.xpi [2016-11-15]
  FF Extension: (No Name) - C:\Program Files\Mozilla Firefox\browser\features\{A5FD4672-4D73-4F90-A1C0-2ABD39DB2565}.xpi [2018-01-26] [not signed]
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  OPR Extension: (Quick Searcher v16.2) - C:\Users\Editing\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2018-01-26]
  "pkrknwci" => service could not be unlocked. <==== ATTENTION
  R5 pkrknwci;  <==== ATTENTION: Locked Service
  2018-01-26 19:09 - 2018-01-26 19:09 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsign95b29f1d7eed8185
  2018-01-26 19:09 - 2018-01-26 19:09 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsign884aad1100690c66
  2018-01-26 17:03 - 2018-01-26 17:03 - 000000000 ____D C:\Program Files (x86)\EIVqbhZCU
  2018-01-26 17:00 - 2018-01-26 17:23 - 000000000 ____D C:\Program Files (x86)\OahiAhLMPlKqC
  2018-01-26 17:00 - 2018-01-26 17:04 - 000000004 _____ C:\ProgramData\lock.dat
  2018-01-26 17:00 - 2018-01-26 17:01 - 000000000 ____D C:\Users\Editing\AppData\LocalLow\vAsGIBGZzEJsN
  2018-01-26 17:00 - 2018-01-26 17:00 - 000000004 _____ C:\ProgramData\rwi.hhad
  2018-01-26 16:59 - 2018-01-26 17:23 - 000000000 ____D C:\Program Files (x86)\jtPeraHZWlxuYtVRBkR
  2018-01-26 16:59 - 2018-01-26 17:04 - 000000000 ____D C:\Program Files (x86)\AMLyRCNlUIEopfmumesuq
  2018-01-26 16:59 - 2018-01-26 16:59 - 001980483 _____ C:\Users\Editing\AppData\Local\TreeTam.tst
  2018-01-26 16:59 - 2018-01-26 16:59 - 001895381 _____ C:\Users\Editing\AppData\Local\Tiplight.bin
  2018-01-26 16:59 - 2018-01-26 16:59 - 001815552 _____ (TODO: <Company name>) C:\Users\Editing\AppData\Local\TreeTam.exe
  2018-01-26 16:59 - 2018-01-26 16:59 - 000860160 _____ C:\Windows\dfa394d8f6f20ce365a0a6ecee1841ec.dll
  2018-01-26 16:59 - 2018-01-26 16:59 - 000278510 _____ C:\Users\Editing\AppData\Local\Zamsing.bin
  2018-01-26 16:59 - 2018-01-26 16:59 - 000140800 _____ C:\Users\Editing\AppData\Local\installer.dat
  2018-01-26 16:59 - 2018-01-26 16:59 - 000126464 _____ C:\Users\Editing\AppData\Local\noah.dat
  2018-01-26 16:59 - 2018-01-26 16:59 - 000070800 _____ C:\Users\Editing\AppData\Local\Config.xml
  2018-01-26 16:59 - 2018-01-26 16:59 - 000024460 _____ C:\Windows\System32\Tasks\{0B0B0847-0A08-080B-0F11-0E040E7F110F}
  2018-01-26 16:59 - 2018-01-26 16:59 - 000005568 _____ C:\Users\Editing\AppData\Local\md.xml
  2018-01-26 16:59 - 2018-01-26 16:59 - 000000000 ____D C:\Windat
  2018-01-26 16:59 - 2018-01-26 16:59 - 000000000 ____D C:\Users\Editing\AppData\Roaming\q3mn5n3zox5
  2018-01-26 16:59 - 2018-01-26 16:59 - 000000000 ____D C:\Program Files\H43WCJZ8T8
  2018-01-26 16:58 - 2018-01-26 18:47 - 000000000 ____D C:\ProgramData\618c8dc847d44c6da069e6dafa3416c2
  2018-01-26 16:58 - 2018-01-26 17:13 - 000000000 ____D C:\Users\Editing\AppData\Roaming\75befb835c724ce6b9f544dabf0162de
  2018-01-26 16:58 - 2018-01-26 16:58 - 000000000 ____D C:\Users\Editing\AppData\Local\bc9817f1c6ba4738ada21de4f15c61a2
  2018-01-26 16:58 - 2018-01-26 16:58 - 000000000 ____D C:\ProgramData\cbee0ef5288e4e77919b2355ace09139
  2018-01-26 16:58 - 2018-01-26 16:58 - 000000000 ____D C:\ProgramData\78ed0ef210e240f6bbe66e3aa2996428
  2018-01-26 16:58 - 2018-01-26 16:58 - 000000000 ____D C:\ProgramData\277d6a96a3c54ab5a072e07f818cf250
  2018-01-26 11:26 - 2018-01-26 11:26 - 000710656 _____ C:\Windows\0cfcb02e6e03353a4fc3ef64492d3539.exe
  2018-01-24 07:31 - 2018-01-24 07:31 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsign22f2dbb613d564ab
  2018-01-23 20:22 - 2018-01-23 20:22 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsigndd09bc40194f4bd0
  2018-01-23 13:31 - 2018-01-23 13:31 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsign6bee183b500af491
  2018-01-22 13:58 - 2018-01-22 13:58 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsign106b75e6fa07e1f6
  2018-01-22 13:34 - 2018-01-22 13:34 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsignc21ce6c544d17c54
  2018-01-22 12:23 - 2018-01-22 12:23 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsign6700b8330e0131d1
  2018-01-22 11:37 - 2018-01-22 11:37 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsign7c2c32cab7e0f57a
  2018-01-22 11:32 - 2018-01-22 11:32 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsignac6a0f0b08f7ed94
  2018-01-22 11:11 - 2018-01-22 11:11 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsignd05788bf5bcb03b4
  2018-01-17 00:53 - 2018-01-17 00:53 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsign39689cb94d444050
  2018-01-17 00:23 - 2018-01-17 00:23 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsignc3f89614e962807d
  2018-01-16 14:54 - 2018-01-16 14:54 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsign1c4273a9ed815c17
  2018-01-15 15:45 - 2018-01-15 15:45 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsign3f6ead3975369d0c
  2018-01-02 18:37 - 2018-01-02 18:37 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsignf2419c28609d4106
  2018-01-02 18:37 - 2018-01-02 18:37 - 000000000 ____D C:\Users\Editing\AppData\Local\Tempzxpsign5e4babbc685bf714
  2018-01-26 16:59 - 2018-01-26 16:59 - 000126464 _____ () C:\Users\Editing\AppData\Local\noah.dat
  C:\Windows\system32\drivers\dqwjxitg.sys -> Access Denied <======= ATTENTION
  
  
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

3)

bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden
ph (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name) Hidden

деинсталируйте эти две программы.

4) Проверьте в обычным или хотя бы в безопасном с сетью не стало грузиться?
 

[Kirill_Mihailov]

простите что это за программы ?

 

bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden
ph (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name) Hidden

 

и большой код надо было вставлять в FRST64 и нажимать Fix ? (я сделал так)

 

попробовал загрузить в нормальном и в безопасном режиме с сетью все без изменений, синий экран

Fixlog.txt

Изменено 28 января, 2018 пользователем Kirill_Mihailov

[regist]

 

 

простите что это за программы ?

слева названия то есть bl и ph.

 

 

 

и большой код надо было вставлять в FRST64 и нажимать Fix ? (я сделал так)

Нет никуда вставлять его не надо было

 

 

Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Программа сама бы из буфера вставила его куда надо. Но судя по отчёту у вас правильно отработало.

 

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

 

[Kirill_Mihailov]

Дорогой мой helper я к сожалению не знаю вашего имени и по этому не могу обираться официально...

я не выдержал и вырвал все диски оставил системный сделал загрузочную и сейчас инсталлирую 7... не знаю на сколько это правильно по отношению к вашему труду но я просел по графику очень сильно... работа стоит и я как на иголках так что я принял решение формат и все по новой

сам дурак что по не внимательности нажал на вирус и только украл у вас время. Прошу за это прощения. Скажите мне пожалуйста как я могу вас отблагодарить за потраченное время ?

Спасибо вам ОГРОМНОЕ за ваше терпение личное время и желание помочь!

п.с. если после сноса системы сново выскочит синей экран я дам знать при любом раскладе дам знать.

Спасибо вам еще раз. (жду квитанции за вашу работу)