Поймал вирус, вроде удалил, но теперь комп с синим экраном вылетает периодически

[theoldfedokh 0]

Поймал вирус, проверил через Dr cureit через CC cleaner, удалил вроде все что было создано в тот день по дате, но комп вылетел вчера 2 раза с синим экраном, раньше такого ни разу не случалось.

При попытке записать логи программа автоматически закрывается и ничего не происходит.

 

Пока писал пост, синий экран вылетел еще 3 раза, логи так и не могу скинуть, после распаковки файлов на секунду открывается какое-то окно и сразу закрывается.

[regist 617]

 

 

При попытке записать логи программа автоматически закрывается и ничего не происходит.

какая программа?

Этим можете собрать логи?

[theoldfedokh 0]

 

При попытке записать логи программа автоматически закрывается и ничего не происходит.

какая программа?

Этим можете собрать логи?

 

Нет, после распаковывания файлом окно появляется и сразу пропадает.

 

 

При попытке записать логи программа автоматически закрывается и ничего не происходит.

какая программа?

Этим можете собрать логи?

 

Нет, после распаковывания файлом окно появляется и сразу пропадает.

 

Похоже, что что-то закрывает AVZ автоматически.

[regist 617]

 

 

Нет, после распаковывания файлом окно появляется и сразу пропадает.

Подробней опишите, что вы делаете. Экстрасенсы в отпуске.

Распаковки какого файла? Какое окно? Даже какая прога у вас закрывается пришлось гадать. Папка AutoLogger у вас создаётся?

[theoldfedokh 0]

1

 

 

Нет, после распаковывания файлом окно появляется и сразу пропадает.

Подробней опишите, что вы делаете. Экстрасенсы в отпуске.

Распаковки какого файла? Какое окно? Даже какая прога у вас закрывается пришлось гадать. Папка AutoLogger у вас создаётся?

 

1. Запускаю Autologger.exe

2. Открывается меню с информацией, нажимаю ок.

3. Идет распаковка файлов, папка Autologger появляется на диске.

4. На долю секунды появляется какое-то окошко и сразу пропадает, хотя должна идти перезагрузка и логи в папке.

После перезагрузки вручную логи тоже не появляются.

[regist 617]

 

 

Папка AutoLogger у вас создаётся?

не ответили, но судя по вашему последнему посту создаётся.

1) Поищите в нёй файл report1.txt прикрепите его.

2) Папка CrashDumps в ней есть? Если есть тоже заархивируйте и прикрепите.

 

+ Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

 

[theoldfedokh 0]

 

Папка AutoLogger у вас создаётся?

не ответили, но судя по вашему последнему посту создаётся.

1) Поищите в нёй файл report1.txt прикрепите его.

2) Папка CrashDumps в ней есть? Если есть тоже заархивируйте и прикрепите.

 

+ Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 Прикрепляю лог из Universal Virus Sniffer: 

 В папке AutoLogger, которая создается, при запуске exeшника, вышеназванных файлов там не нашел:

 

DESKTOP-P6UPJFI_2018-04-14_14-41-20.7z

[regist 617]

@theoldfedokh, почему игнорируете вопросы?

 

 

не ответили, но судя по вашему последнему посту создаётся. 1) Поищите в нёй файл report1.txt прикрепите его. 2) Папка CrashDumps в ней есть? Если есть тоже заархивируйте и прикрепите.

Где?

 

И не занимайтесь оверквотингом. Внизу есть форма для быстрого ответа.

[theoldfedokh 0]

Вопросы не игнорирую, видимо какое-то недопонимание, сообщение уехало не туда куда-то: В папке AutoLogger, которая создается, при запуске exeшника, вышеназванных файлов там не нашел.

Прикрепляю архив в 3х частях, так как целый превышает лимит:

 

Заметил интересный факт, когда нажимаю правой кнопкой на папку и далее Свойства, то сразу закрываются все окна папки и проводника, видимо с AutoLoggerom такая же беда.

При этом это работает только с папкой AVZ.

AutoLogger2.rar

AVZ.rar

CheckBrowsersLNK.rar

Изменено 14 апреля, 2018 пользователем theoldfedokh

[regist 617]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО
• .

• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   

  ;uVS v4.0.11 [http://dsrt.dyndns.org]
  ;Target OS: NTv10.0
  v400c
  BREG
  zoo %SystemDrive%\PROGRAM FILES (X86)\GYHHAWMNBKQU2\LUBHHMUWCVXMU.DLL
  bl 1C4D0322B7402CC8A8AD02F74930B752 3571884
  addsgn A7679B1928664D070E3C548364C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323DC59D28906C1B491649C9BD9F6307595F4659214E9187EF1F327C 64 AdWare.Win32.Generic [Kaspersky] 7
  
  zoo %SystemDrive%\PROGRAM FILES (X86)\IUPWUBCYCMHGC\LSJTACL.DLL
  bl F9C80DA10093A3B3AE7901306639F3AC 3557548
  addsgn A7679B1928664D070E3C548364C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323DA5C028906C1B491649C9BD9F6307595F4659214E91E7291E327C 64 Win32/Adware.Neoreklami.FW [ESET-NOD32] 7
  
  zoo %SystemDrive%\PROGRAM FILES (X86)\FPYEWGZDFWVVPLYCIFR\VJTNMJS.DLL
  bl F2694D66AEB93EA32709348BA90E6346 3535532
  addsgn A7679B1928664D070E3C548364C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D6D2F28906C1B491649C9BD9F6307595F4659214E91675C1E327C 64 Win32/Adware.Neoreklami.FL [ESET-NOD32] 7
  
  zoo %SystemDrive%\PROGRAM FILES (X86)\MUZPPGWVU\UHMWVM.DLL
  bl B5C6B1EB1D5F8D6414A36F48E1429482 325120
  addsgn A7679B1928664D070E3C228964C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D65C52F906C18491649C9BD9F6307595F4659214E91072D02327C 64 AdWare.Win32.Neoreklami.muw [Kaspersky] 7
  
  zoo %SystemDrive%\PROGRAM FILES (X86)\OPJPQBAMIIE\UOEIGAPCOT.EXE
  bl 6E1DE98CE681060097FA3BA08F8D10A1 652800
  addsgn 1AFFFD9A5583338CF42BFB3A884BFE2573DD96FED04413EDCDC348C1B025D4C7561B482A36D06B3D3876828F3218C2F5FE36EC23DEDB3B5C3588F40F4E7BDAFA 8 AdWare.Win32.Neoreklami.mux [Kaspersky] 7
  
  zoo %SystemDrive%\PROGRAM FILES (X86)\VJLJMRATOAUN\VGGATVYWOW.EXE
  bl EBD6E57603C4E2D775D613DF92B5B693 3610796
  addsgn 1A0C4E9A5583338CF42B627DA804DEC9E9DDAA7DFDDE0FF3C9E7D1372CF27DC7E29C1254F86E633F23BB7C90C47E4AFA7DD05257090CE92C2C04A3DC63EF3570 8 AdWare.Win32.Generic [Kaspersky] 7
  
  dirzooex %SystemDrive%\PROGRAM FILES (X86)\IUPWUBCYCMHGC
  deldir %SystemDrive%\PROGRAM FILES (X86)\IUPWUBCYCMHGC
  dirzooex %SystemDrive%\PROGRAM FILES (X86)\MUZPPGWVU
  deldir %SystemDrive%\PROGRAM FILES (X86)\MUZPPGWVU
  dirzooex %SystemDrive%\PROGRAM FILES (X86)\FPYEWGZDFWVVPLYCIFR
  deldir %SystemDrive%\PROGRAM FILES (X86)\FPYEWGZDFWVVPLYCIFR
  dirzoo %SystemDrive%\PROGRAM FILES (X86)\GYHHAWMNBKQU2
  deldir %SystemDrive%\PROGRAM FILES (X86)\GYHHAWMNBKQU2
  dirzoo %SystemDrive%\PROGRAM FILES (X86)\OPJPQBAMIIE
  deldir %SystemDrive%\PROGRAM FILES (X86)\OPJPQBAMIIE
  dirzoo %SystemDrive%\PROGRAM FILES (X86)\VJLJMRATOAUN
  deldir %SystemDrive%\PROGRAM FILES (X86)\VJLJMRATOAUN
  chklst
  delvir
  
  ;---------command-block---------
  delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
  delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
  delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
  delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&FR=NTG&PRODUCT_ID={615F046E-1435-4BE2-B9F6-2A169B800B8F}&GP=811610
  apply
  
  czoo
  restart  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

  Если архив отсутствует, то заархивруйте папку ZOO

  с паролем virus.
• Полученный архивотправьте по адресу newvirus@kaspersky.com

  Полученный ответ сообщите здесь (с указанием номера KLAN).

• Скачайте AdwCleaner

и сохраните его на Рабочем столе.

• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

Изменено 14 апреля, 2018 пользователем regist

[theoldfedokh 0]

Удалось собрать логи через безопасный режим:

Вышеуказанные действия отошлю далее.

ADW cleaner при запуске мгновенно закрывается.

 [KLAN-7920425339]

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
LSJTACL.DLL.---.txt
UHMWVM.DLL.---.txt
VJTNMJS.DLL.---.txt

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

CollectionLog-2018.04.14-18.04.zip

Изменено 14 апреля, 2018 пользователем theoldfedokh

[regist 617]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 SetServiceStart('oaiofdvv', 4);
 SetServiceStart('tmaeysfl', 4);
 StopService('oaiofdvv');
 StopService('tmaeysfl');
 QuarantineFile('C:\Program Files (x86)\Common Files\aDJIuUIKUuX.exe', '');
 QuarantineFile('C:\Program Files (x86)\GYHHaWMnbkQU2\lUBhhMuwCvXmu.dll', '');
 QuarantineFile('C:\WINDOWS\CLQyipoKeDEmu.exe', '');
 QuarantineFile('C:\Windows\system32\Drivers\iqvw64e.sys', '');
 QuarantineFile('C:\WINDOWS\system32\drivers\oaiofdvv.sys', '');
 QuarantineFile('C:\WINDOWS\system32\drivers\tmaeysfl.sys', '');
 QuarantineFile('C:\WINDOWS\system32\Tasks\{3D916FAA-8A64-19B3-0580-40795C60E92E}', '');
 QuarantineFile('C:\WINDOWS\system32\Tasks\{F240FEAF-2247-8FF4-402D-B036040B07DA}', '');
 QuarantineFile('C:\WINDOWS\system32\Tasks\KlgKDPyHEeVbjwqnEgK2', '');
 QuarantineFile('C:\WINDOWS\system32\Tasks\XeRTeJCMKPYXWyYqW2', '');
 QuarantineFile('C:\WINDOWS\system32\Tasks\xRZOrQVCBWPMscb2', '');
 QuarantineFileF('C:\Program Files (x86)\FpyEWGzDFWVVpLycIFR', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files (x86)\GYHHaWMnbkQU2\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files (x86)\IUpWUBcycmhgC\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('D:\Program Files\program\shlxthdl', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Program Files (x86)\Common Files\aDJIuUIKUuX.exe');
 DeleteFile('C:\Program Files (x86)\GYHHaWMnbkQU2\lUBhhMuwCvXmu.dll', '32');
 DeleteFile('C:\WINDOWS\CLQyipoKeDEmu.exe');
 ExecuteFile('schtasks.exe', '/delete /TN "KlAEYQtzmHgics" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "KlgKDPyHEeVbjwqnEgK2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "XeRTeJCMKPYXWyYqW2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "xRZOrQVCBWPMscb2" /F', 0, 15000, true);
 QuarantineFile('{3D916FAA-8A64-19B3-0580-40795C60E92E}', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{3D916FAA-8A64-19B3-0580-40795C60E92E}" /F', 0, 15000, true);
 QuarantineFile('{F240FEAF-2247-8FF4-402D-B036040B07DA}', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{F240FEAF-2247-8FF4-402D-B036040B07DA}" /F', 0, 15000, true);
 DeleteService('oaiofdvv');
 DeleteFileMask('C:\Program Files (x86)\FpyEWGzDFWVVpLycIFR', '*', true);
 DeleteFileMask('C:\Program Files (x86)\GYHHaWMnbkQU2\', '*', true);
 DeleteFileMask('C:\Program Files (x86)\IUpWUBcycmhgC\', '*', true);
 DeleteFileMask('D:\Program Files\program\shlxthdl', '*', true);
 DeleteDirectory('C:\Program Files (x86)\FpyEWGzDFWVVpLycIFR');
 DeleteDirectory('C:\Program Files (x86)\GYHHaWMnbkQU2\');
 DeleteDirectory('C:\Program Files (x86)\IUpWUBcycmhgC\');
 DeleteDirectory('D:\Program Files\program\shlxthdl');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
end.

После выполнения скрипта компьютер перезагрузится.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Сделайте свежий лог uVS.

Изменено 14 апреля, 2018 пользователем regist

[theoldfedokh 0]

Это очень комично, но когда кликаю на вашу ссылку " Выполните скрипт в АВ3" у меня вылетает браузер. При чем даже когда ссылку копию и открываю в другом окне/браузере.

[regist 617]

AVZ - Файл - Выполнить скрипт - итак думаю понятно. По ссылке просто подробней расписано.

[theoldfedokh 0]

Смог только через безопасный режим, иначе просто сразу закрывался авз.

Смог только через безопасный режим, иначе просто сразу закрывался авз.

[KLAN-7921296252]

В антивирусных базах информация по присланным вами файлам отсутствует:

iqvw64e.sys
{3D916FAA-8A64-19B3-0580-40795C60E92E}
{F240FEAF-2247-8FF4-402D-B036040B07DA}
msvcp140.dll
ooofilt.dll
ooofilt_x64.dll
propertyhdl.dll
propertyhdl_x64.dll
shlxthdl.dll
shlxthdl_x64.dll
vcruntime140.dll

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Изменено 14 апреля, 2018 пользователем regist
убрал карантин