AlexAndr11 0 Опубликовано 12 февраля, 2018 Share Опубликовано 12 февраля, 2018 (изменено) Здравствуйте! Запустили пришедший по email файл, после этого стали появляться файлы с расширением .no_more_ransom.Компьютер сначала запускался, а потом, после того, как CureIt повис при запуске, при включении стал писать, что ставит обновление и подвисал еле-еле считая проценты. После запуска в защищенном режиме сообщение об установке обновления появляется, но быстро пролетает. Запущенный в защищенном режим KVRT от 12.02.2018 отправил компьютер в перезагрузку, после обработки некоторой части диска. Лог пуст. Тестирование всего диска с помощью Dr.Web Livedisk от 08.02.2018 никаких проблем не выявило. Прилагаю архив AutoLoggera запущенного в защищенном режиме. При запуске, программы периодически жаловались на недостаток прав учетной записи administrator. Спасибо! CollectionLog-2018.02.12-21.39.zip Изменено 12 февраля, 2018 пользователем AlexAndr11 Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 13 февраля, 2018 Share Опубликовано 13 февраля, 2018 Здравствуйте! На время лечения удалите все антивирусы и утилиты: AVG AVG PC TuneUp AVG Protection Kaspersky Internet Security McAfee Parental Controls После стандартного удаления пройдитесь спец. утилитами: Чистка системы после некорректного удаления антивируса. Также удалите нежелательное ПО: Funmoods on IE and Chrome Затем попробуйте собрать логи в обычном режиме. Цитата Ссылка на сообщение Поделиться на другие сайты
AlexAndr11 0 Опубликовано 13 февраля, 2018 Автор Share Опубликовано 13 февраля, 2018 (изменено) Здравствуйте! После удаления всех антивирусов и утилит, последним был удален Kaspersky, компьютер впал в то же состояние, что и в стандартном режиме: постоянно горит лампочка диска, работа заторможена. (Хотя находится в защищенном.)Каждый раз при включении/выключении пролетает надпись, как при установке обновления. В каталоге, где сохраняются обновления, лежит явно исполняемый файл с длинным именем из букв и цифр.При запуске автоматического сборщика логов, он доходит до того как расписывается, что будет сделано, нажимаешь ОК и ничего не происходит.Процессы в диспетчере задач выглядят так:Постоянно работают:Узел службы: сетевая служба.Системные прерыванияСистема и сжатие памятиЕсть процесс "Проводник", который я точно не запускал.Каталог процесса ведет в C:\Windows\.Так же висят замороженные процессы:Антивирусная утилита AVZАвтоматический сборщик логовДа, когда еще компьютер работал нормально в защищенном режиме, попытка удалить обновление KB4023057 приводила к сообщению "Не удалось получить доступ к службе Windows Installer".(Windows 10 Home) Funmoods уже удалить не удалось. При нажатии на пункт меню "Программы и компоненты" ничего не происходит. Все это происходит в защищенном режиме. В обычном запускать компьютер даже и не пытался. Изменено 13 февраля, 2018 пользователем AlexAndr11 Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 13 февраля, 2018 Share Опубликовано 13 февраля, 2018 То есть, сейчас Вы и в безопасном режиме не можете собрать CollectionLog? Цитата Ссылка на сообщение Поделиться на другие сайты
AlexAndr11 0 Опубликовано 13 февраля, 2018 Автор Share Опубликовано 13 февраля, 2018 То есть, сейчас Вы и в безопасном режиме не можете собрать CollectionLog? Да, все что я описал происходит при запуске в безопасном режиме. (Грешу на обновление, которое запускается до запуска системы и при перезагрузке.) Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 13 февраля, 2018 Share Опубликовано 13 февраля, 2018 Пробуйте отключить ПК от сети и собрать логи. Цитата Ссылка на сообщение Поделиться на другие сайты
AlexAndr11 0 Опубликовано 13 февраля, 2018 Автор Share Опубликовано 13 февраля, 2018 Пробуйте отключить ПК от сети и собрать логи. В смысле Интернет? Он и не был подключен к сети. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 13 февраля, 2018 Share Опубликовано 13 февраля, 2018 Откатить изменения на предыдущую точку восстановления тоже нет возможности? Цитата Ссылка на сообщение Поделиться на другие сайты
AlexAndr11 0 Опубликовано 13 февраля, 2018 Автор Share Опубликовано 13 февраля, 2018 (изменено) Откатить изменения на предыдущую точку восстановления тоже нет возможности? Удивительная история! Запустил Windows в защищенном режиме, с созданием загрузочных логов. И все нормально запустилось, логи снял. Но как я понимаю вируса в них нет. (Добавление.) Удалось запустить систему в обычном состоянии. Запустил сборщик, AVZ повис с надписью: .... Сканирование длилось 00:00:43. Если у вас есть подозрение на наличие... Выполняется исследование системы. Логов соответственно нет. CollectionLog-2018.02.13-18.16.zip Изменено 13 февраля, 2018 пользователем AlexAndr11 Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 14 февраля, 2018 Share Опубликовано 14 февраля, 2018 После стандартного удаления пройдитесь спец. утилитами: Чистка системы после некорректного удаления антивируса.Вы это проделали? Хвосты по-прежнему видны. удалите нежелательное ПО: Цитата Funmoods on IE and ChromeЭто тоже в списке установленных. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ClearQuarantineEx(true); QuarantineFile('C:\Users\Sony\AppData\Local\Temp\UnKIS.vbs', ''); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Цитата Ссылка на сообщение Поделиться на другие сайты
AlexAndr11 0 Опубликовано 14 февраля, 2018 Автор Share Опубликовано 14 февраля, 2018 В безопасном режиме:Проверил еще раз удаление указанных антивирусов с помощью спец. утилит. Они не находят установленных программ.До этого утилитами естественно проходил.Хвосты вижу, единственное, что могу сделать - это дотереть руками.Funmoods - ошибка при попытке удаления стандартной утилитой, файлы не обнаружены.Скачал последний KVRT и проверил каталог \WINDOWS и \Users - ничего не обнаружено.Попытка отправить файл в карантин не удалась:==Карантин с использованием прямого чтения - ошибкаОшибка карантина файла, попытка прямого чтения (C:\Users\Sony\AppData\Local\Temp\UnKIS.vbs) Карантин с использованием прямого чтения - ошибкаОшибка карантина файла, попытка прямого чтения (C:\Users\Sony\AppData\Local\Temp\UnKIS.vbs) Карантин с использованием прямого чтения - ошибкаОшибка карантина файла, попытка прямого чтения (C:\Users\Sony\AppData\Local\Temp\UnKIS.vbs) Карантин с использованием прямого чтения - ошибкаСоздание архива с файлами из карантинаСоздание архива с файлами из карантина завершено==Архив получился размером 22 байта и пустой.Логи были сняты 2 раза в безопасном режиме. Сначала и после вхождения в обычный режим.Обнаружен файл с расширением .no_more_ransom от 13.02.2018.В обычном режиме:Просканирована память KVRT - ничего не найдено.Несколько раз попытался запустить логгер - AVZ зависает при Выполнении исследования системы. Может просто отключить этот пункт в скрипте? Все остальное он выполняет. CollectionLog-2018.02.14-13.49.zip CollectionLog-2018.02.14-16.50.zip crypted.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 15 февраля, 2018 Share Опубликовано 15 февраля, 2018 Пробуйте в обычном режиме: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
AlexAndr11 0 Опубликовано 15 февраля, 2018 Автор Share Опубликовано 15 февраля, 2018 Вот что получилось. Shortcut.txt Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 16 февраля, 2018 Share Опубликовано 16 февраля, 2018 Через Панель управления - Удаление программ - удалите нежелательное ПО: Mega Browse Далее: Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKLM\...\Run: [AvgUi] => "C:\Program Files (x86)\AVG\Framework\Common\avguirna.exe" /lps=fmw Toolbar: HKLM - No Name - {001032CB-B0AC-4F2C-A650-AD4B2B26E5DA} - No File 2018-02-13 16:28 - 2017-02-25 15:31 - 000000000 ____D C:\ProgramData\Avg ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File Task: {85C10991-3CC3-4BA6-994D-0EBCD1E0F92C} - System32\Tasks\AVG EUpdate Task => avgsetupx.exe Task: {928406CB-97F0-48ED-BBC8-09258D8034CD} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe Task: {E56077A3-4BB0-49B1-9DDA-1EF088D25B54} - System32\Tasks\Antivirus Emergency Update => C:\Program Files (x86)\AVG\Antivirus\AvEmUpdate.exe Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. стали появляться файлы с расширением .no_more_ransomЗаражение точно произошло на этом компьютере? Следов не видно. Цитата Ссылка на сообщение Поделиться на другие сайты
AlexAndr11 0 Опубликовано 16 февраля, 2018 Автор Share Опубликовано 16 февраля, 2018 При удаление MegaBrowser было получено сообщение об ошибке и программа удалена из списка установленных.Fix запустил.Fixlog прилагаю.По поводу заражение у меня тоже же возникло подозрение, что вируса нет, но есть 2 момента:1. Невозможность работы и постоянная загрузка жесткого диска в основном режиме.2. Файл с расширением .no_more_ransom от 13.02.2018, который я приложил к сообщению чуть раньше.Сейчас попробую в основном режиме еще раз запустить логгер и FRST. Прикладываю логи FRST сделанные в основном режиме. AVZ все так же зависает. Да, в основном режиме, диспетчер задач показывает "Загрузка диска - 100%". Fixlog.txt Shortcut.txt Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.