Не видно рабочий стол

[D.Rash]

При работе с ресурсоёмким приложением,отключил на время Касперский Free.Через час заметил лаги в работе программы и системы.Перезагрузил компьютер,касперский был в автозапуске,но троян уже прописался в системе .До этого около двух недель Касперский отбивал атаки(блокировал IP адреса) с внешки.После запуска системы не стало видно рабочего стола.Через ctrl+alt+del открываю меню,диспетчер задач только отсюда запускается.Все исполняемые файлы запускаются только из под Администратора.Некоторые не запускаются.Откат системы сделать не получается(нет точек или прав доступа).Подключить интернет то же не возможно.Накатил систему на резервный винт, все проверки проводил на заражённой неактивной а затем на активной системе.Проверка Касперским Free выявила 69 заражений(удалены).Проверка AVZ выявила ещё сколько то + обнаружен отладчик процессов.(логи остались)Попытки с помощью AVZ исправить(восстановление системы) не помогли.

KVRT ни чего не нашёл,Dr.Web CureIt определил ещё 9 заражённых файлов(вылечил).CollectionLog браузеры запустить не смог(не найдены приложения),перезагрузки то же не было.

Проблема осталась.Лог Collection прикрепляю.Запускал на активной заражённой системе.Выручайте пожалуйста.

Изменено 16 февраля, 2019 пользователем D.Rash

[SQ]

Лог Collection прикрепляю.Запускал на активной заражённой системе.Выручайте пожалуйста.

Здравствуйте,

Логов не видно. Прикрепите их воспользовавшись расширенной формой.

[D.Rash]

Здравствуйте,ещё раз отправляю логи

CollectionLog-2019.02.17-01.42.zip

[SQ]

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
 

O26 - Debugger: HKLM\..\1sass.exe: [Debugger] = C:\Windows\\system32\\svchost.exe
O26 - Debugger: HKLM\..\win1ogins.exe: [Debugger] = C:\Windows\\system32\\svchost.exe
O26 - Debugger: HKLM\..\win1ogon.exe: [Debugger] = C:\Windows\\system32\\svchost.exe

По каким-то причинам в логах отсутствуют логи AVZ.

 

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[D.Rash]

Добрый день,вот логи после сканирования FRST,сканировал на активной заражённой системе,win7x64

FRST.txt

Addition.txt

Изменено 17 февраля, 2019 пользователем D.Rash

[regist]

 

 

По каким-то причинам в логах отсутствуют логи AVZ.

Зайцев с обновлением AVZ чего-то поломал.

 

@D.Rash,

1) Папку Logs в папке с AVZ заархивируйте и прикрепите.

2) Перекачайте Автологер и заново соберите им логи.

Изменено 17 февраля, 2019 пользователем regist

[D.Rash]

Кстати отчёты avz могут отсутствовать из-за того что я их сохранял не по-умолчанию,а в другую удобную для меня папку.Но в них о заражённых файлах нет ни чего(avz запускался после чистки и удаления 69 заражений касперским),только об обнаружении и устранении отладчика процессов и о разрешении автозапуска с разных дисков и носителей(исправлено).Но это всегда при попадании вируса в систему.Вообще я эти вещи всегда вручную отключаю при установке/настройке системы ещё и удалённого помощника,удалённый рабочий стол и прочее.

Ну и ещё одно подозрение,которое скорее всего ошибочно(придётся извлекать из карантина потом)

Lost Alpha Configurator.exe.bak - PE файл с нестандартным расширением(степень опасности 5%)-несколько сот пользователей скачивали и запускали игру из этой раздачи - жалоб нет ни одной,степень опасности как у рекламы,конфигуратор игры просто меняет настройки и добавляет патчи в систему - вот и подозрение от avz.

Прикрепляю логи avz на всякий случай.
-----------------------------------

Пока пост писал пришёл ваш пост.

----------------

Сканирование автологером сейчас повторю.

 

 

 

По каким-то причинам в логах отсутствуют логи AVZ.

Зайцев с обновлением AVZ чего-то поломал.

 

@D.Rash,

1) Папку Logs в папке с AVZ заархивируйте и прикрепите.

2) Перекачайте Автологер и заново соберите им логи.

 

 

Вот архивы avz и Автологера

avz2_log.txt

avz3_log.txt

CollectionLog-2019.02.17-01.42.zip

LOG.rar

LOG.rar

CollectionLog-2019.02.17-01.42.zip

Изменено 17 февраля, 2019 пользователем D.Rash

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  Start::
  CreateRestorePoint:
  CloseProcesses:
  File: C:\Program Files (x86)\Everything\Everything.exe
  File: C:\Program Files\Mem Reduct\memreduct.exe
  IFEO\1sass.exe: [Debugger] C:\Windows\\system32\\svchost.exe
  IFEO\osk.exe: [Debugger] C:\Windows\Fonts\lsass.exe
  IFEO\sethc.exe: [Debugger] C:\Windows\Fonts\smss.exe
  IFEO\win1ogins.exe: [Debugger] C:\Windows\\system32\\svchost.exe
  IFEO\win1ogon.exe: [Debugger] C:\Windows\\system32\\svchost.exe
  Folder: C:\Windows\Fonts
  S2 cftmon; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
  S2 cftmon; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
  File: C:\Windows\System32\Drivers\al1atuq2.sys
  File: C:\Windows\System32\DRIVERS\usb2ser.sys
  File: C:\Windows\System32\DRIVERS\oem-drv64.sys
  Folder: C:\Program Files (x86)\exfg
  Folder: C:\Windows\tasksche.exe
  Folder: C:\Windows\SysWOW64\WUDHostServices.exe
  Folder: C:\Windows\srvany.exe
  Folder: C:\Windows\ntoskrnl.exe
  Folder: C:\Program Files\dll
  Folder: C:\Windows\SysWOW64\wmassrv.dll
  Folder: C:\Windows\SysWOW64\HalPluginsServices.dll
  Folder: C:\Windows\system\lsaus.exe
  Folder: C:\Windows\sysprepthemes
  Folder: C:\Windows\svchost.exe
  Folder: C:\Windows\SpeechsTracing
  Folder: C:\Windows\SecureBootThemes
  Folder: C:\Windows\boy.exe
  Folder: C:\ProgramData\storm
  Folder: C:\ProgramData\Mozilla
  Folder: C:\Users\Rash\facebook-100032998602433
  File: C:\BOOTSECT.BAK
  FirewallRules: [{F155C295-CDB2-49A6-9FBE-529A8261C2C0}] => (Allow) C:\Program Files (x86)\i2p\I2P.exe No File
  FirewallRules: [{31A18FA7-3A76-4773-B2C2-C16913A261AD}] => (Allow) C:\Program Files (x86)\i2p\I2P.exe No File
  FirewallRules: [{F154064B-4140-4F14-881C-E012BFD6A3D7}] => (Allow) C:\Program Files (x86)\i2p\I2P.exe No File
  FirewallRules: [{9AB73A1F-B8CC-4BE4-BFDD-9942343FD0F9}] => (Allow) C:\Program Files (x86)\i2p\I2P.exe No File
  FirewallRules: [{A85A4B8E-2307-41A8-ABC8-61268A680820}] => (Allow) C:\Program Files (x86)\i2p\I2Psvc.exe No File
  FirewallRules: [{2B87DE21-F22E-4092-B771-A35D6A6725F7}] => (Allow) C:\Program Files (x86)\i2p\I2Psvc.exe No File
  FirewallRules: [{086C79AD-3036-40AA-85AF-1F00BEC31FA2}] => (Allow) C:\Program Files (x86)\i2p\I2Psvc.exe No File
  FirewallRules: [{5BBBE352-2CC6-484E-B8C7-81451AA69641}] => (Allow) C:\Program Files (x86)\i2p\I2Psvc.exe No File
  FirewallRules: [{E21F8E08-2035-400C-8917-9329D9774949}] => (Allow) C:\Program Files (x86)\Tor Browser\Browser\firefox.exe No File
  FirewallRules: [{5F02A1A6-518E-48AC-836A-35A80FB5BE9B}] => (Allow) C:\Program Files (x86)\Tor Browser\Browser\firefox.exe No File
  FirewallRules: [{4096E685-192C-4B55-8E6E-6D33E732A147}] => (Allow) C:\Program Files (x86)\Tor Browser\Browser\firefox.exe No File
  FirewallRules: [{DBA13914-4679-443D-A9CF-4F6FDD63F503}] => (Allow) C:\Program Files (x86)\Tor Browser\Browser\firefox.exe No File
  FirewallRules: [{60B7582E-466A-4B4D-8A24-B45E344F914A}] => (Allow) C:\Users\Rash\AppData\Local\Yandex\YandexBrowser\Application\browser.exe No File
  FirewallRules: [{89F3F83A-B3E8-46C1-A063-2209733FEAF3}] => (Allow) C:\Users\Rash\AppData\Local\Yandex\YandexBrowser\Application\browser.exe No File
  FirewallRules: [{17255616-7DAF-471F-B932-45F72A056253}] => (Allow) C:\Users\Rash\AppData\Local\Yandex\YandexBrowser\Application\browser.exe No File
  FirewallRules: [{B1E158F5-1831-4445-A949-D9CA455011BE}] => (Allow) C:\Users\Rash\AppData\Local\Yandex\YandexBrowser\Application\browser.exe No File
  FirewallRules: [{90B6F2B9-D6B7-49C0-959E-13FE8790C2BE}] => (Allow) C:\Users\Rash\AppData\Roaming\ACEStream\engine\ace_engine.exe No File
  FirewallRules: [{F7DDBFD2-AA71-4EEE-B192-AECDA9EEC2DF}] => (Allow) C:\Users\Rash\AppData\Roaming\ACEStream\engine\ace_engine.exe No File
  FirewallRules: [{E705A773-4E85-4E27-93EF-6FE11DACA4BE}] => (Allow) C:\Users\Rash\AppData\Local\vghd\bin\vghd.exe No File
  FirewallRules: [{DFCC69EB-E8A5-4957-A956-8F6A801F84A2}] => (Allow) C:\Users\Rash\AppData\Local\vghd\bin\vghd.exe No File
  FirewallRules: [{1079BE63-C963-4A25-8048-E1D14DD5F314}] => (Allow) D:\Игра\Новая папка\Downloaded\Public\Warframe.exe No File
  FirewallRules: [{1F2987B9-D30A-4F60-96D0-F5540459B441}] => (Allow) D:\Игра\Новая папка\Downloaded\Public\Warframe.x64.exe No File
  FirewallRules: [{B7D10D76-BF4D-468C-B321-4C9F2D4D3C9C}] => (Allow) D:\Игра\Новая папка\Downloaded\Public\Warframe.exe No File
  FirewallRules: [{9DC98830-492D-4F29-A93C-9BDC3F134A12}] => (Allow) D:\Игра\Новая папка\Downloaded\Public\Warframe.x64.exe No File
  FirewallRules: [{AD8C5822-D6B5-41CE-9E0C-B0D39BE24A31}] => (Allow) C:\Program Files (x86)\ASUS\AI Suite II\AI Suite II.exe No File
  FirewallRules: [{509E82F2-078F-4016-B7B0-8D0F810E6A9C}] => (Allow) C:\Program Files (x86)\ASUS\AI Suite II\AI Suite II.exe No File
  FirewallRules: [{5EBB194E-70ED-4F8D-AB12-6DA0EF6560CB}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe No File
  FirewallRules: [{C5E021B8-9CBC-4F52-9FBD-0E52AA39A79B}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe No File
  FirewallRules: [{87439EA1-AF07-47EF-9D15-BCB478645E06}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
  FirewallRules: [{6C4A568E-9020-46A3-868B-27A0F9040EA7}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
  FirewallRules: [{A16453E5-8153-4CDF-AF74-3B5D06CEB78B}] => (Allow) C:\Program Files\obs-studio\bin\64bit\obs64.exe No File
  FirewallRules: [{33A02D15-D797-4EE9-9CFF-F147A88F29A8}] => (Allow) C:\Program Files\obs-studio\bin\64bit\obs64.exe No File
  FirewallRules: [{B628DE68-8C2E-478A-8F96-14D8034A7F1C}] => (Allow) C:\Program Files\obs-studio\bin\64bit\obs64.exe No File
  FirewallRules: [{D85D40A7-E4B9-4265-BDEF-C34BFCC7E1D8}] => (Allow) C:\Program Files\obs-studio\bin\64bit\obs64.exe No File
  FirewallRules: [{25E4CFC1-1247-4CC1-97DB-330802419CA1}] => (Allow) C:\Program Files (x86)\SplitmediaLabs\XSplit Broadcaster\x64\XSplit.Core.exe No File
  FirewallRules: [{300183A5-398C-483F-9DF2-61EC133C7302}] => (Allow) C:\Program Files (x86)\SplitmediaLabs\XSplit Broadcaster\x64\XSplit.cam.exe No File
  FirewallRules: [{28E5C874-6175-451E-A608-995FBE331D84}] => (Allow) C:\Program Files (x86)\SplitmediaLabs\XSplit Broadcaster\x64\XSplit.Core.exe No File
  FirewallRules: [{D226CDD5-7711-45D7-B23B-396D3F32808A}] => (Allow) C:\Program Files (x86)\SplitmediaLabs\XSplit Broadcaster\x64\XSplit.cam.exe No File
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[D.Rash]

Всё выполнил,файл Fixlog.txt прикрепляю

Fixlog.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  Start::
  CreateRestorePoint:
  CloseProcesses:
  Folder: C:\Windows\Fonts\Mysql
  Folder: C:\ProgramData\storm\update
  Zip: C:\BOOTSECT.BAK;C:\Windows\Fonts\StaticCache.dat
  C:\Program Files (x86)\exfg
  C:\Windows\tasksche.exe
  C:\Windows\SysWOW64\WUDHostServices.exe
  C:\Windows\srvany.exe
  C:\Windows\ntoskrnl.exe
  C:\Program Files\dll
  C:\Windows\SysWOW64\wmassrv.dll
  C:\Windows\SysWOW64\HalPluginsServices.dll
  C:\Windows\system\lsaus.exe
  C:\Windows\sysprepthemes
  C:\Windows\svchost.exe
  C:\Windows\SpeechsTracing
  C:\Windows\SecureBootThemes
  C:\Windows\boy.exe
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

На рабочем столе образуется карантин вида <date>.zip загрузите через данную форму

 

[D.Rash]

Всё выполнил, при запуске программы, как и в первый раз,сам закрылся диспетчер задач. Но что-то пошло не так.Ждал пока программа закончит работу и компьютер перезагрузится с 4:49 до 6:05. Этого не произошло.Снял видео с экрана монитора, синий фон это то что закрывает рабочий стол.(27 сек.)

Изменено 18 февраля, 2019 пользователем D.Rash

[SQ]

По каким-то причинам не смог взять в карантин:

C:\Windows\Fonts\StaticCache.dat

Выполните следующее:

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  Start::
  CreateRestorePoint:
  CloseProcesses:
  C:\Windows\Fonts\Mysql
  C:\Program Files (x86)\exfg
  C:\Windows\tasksche.exe
  C:\Windows\SysWOW64\WUDHostServices.exe
  C:\Windows\srvany.exe
  C:\Windows\ntoskrnl.exe
  C:\Program Files\dll
  C:\Windows\SysWOW64\wmassrv.dll
  C:\Windows\SysWOW64\HalPluginsServices.dll
  C:\Windows\system\lsaus.exe
  C:\Windows\sysprepthemes
  C:\Windows\svchost.exe
  C:\Windows\SpeechsTracing
  C:\Windows\SecureBootThemes
  C:\Windows\boy.exe
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

 

[D.Rash]

Здравствуйте.Папка font больше всех была заражена,могу скрин отчтёта касперского прикрепить.Ещё случайно нашёл файл avz_sysinfo.htm,созданный через 2,5 часа после заражения(когда ещё сам боролся с трояном),так же могу загрузить,если нужен.

Все действия выполнил,файл Fixlog.txt прикрепил.

Fixlog.txt

[SQ]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

[regist]

+ Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.