D.Rash Опубликовано 16 февраля, 2019 Опубликовано 16 февраля, 2019 (изменено) При работе с ресурсоёмким приложением,отключил на время Касперский Free.Через час заметил лаги в работе программы и системы.Перезагрузил компьютер,касперский был в автозапуске,но троян уже прописался в системе .До этого около двух недель Касперский отбивал атаки(блокировал IP адреса) с внешки.После запуска системы не стало видно рабочего стола.Через ctrl+alt+del открываю меню,диспетчер задач только отсюда запускается.Все исполняемые файлы запускаются только из под Администратора.Некоторые не запускаются.Откат системы сделать не получается(нет точек или прав доступа).Подключить интернет то же не возможно.Накатил систему на резервный винт, все проверки проводил на заражённой неактивной а затем на активной системе.Проверка Касперским Free выявила 69 заражений(удалены).Проверка AVZ выявила ещё сколько то + обнаружен отладчик процессов.(логи остались)Попытки с помощью AVZ исправить(восстановление системы) не помогли. KVRT ни чего не нашёл,Dr.Web CureIt определил ещё 9 заражённых файлов(вылечил).CollectionLog браузеры запустить не смог(не найдены приложения),перезагрузки то же не было. Проблема осталась.Лог Collection прикрепляю.Запускал на активной заражённой системе.Выручайте пожалуйста. Изменено 16 февраля, 2019 пользователем D.Rash
SQ Опубликовано 17 февраля, 2019 Опубликовано 17 февраля, 2019 Лог Collection прикрепляю.Запускал на активной заражённой системе.Выручайте пожалуйста. Здравствуйте, Логов не видно. Прикрепите их воспользовавшись расширенной формой.
D.Rash Опубликовано 17 февраля, 2019 Автор Опубликовано 17 февраля, 2019 Здравствуйте,ещё раз отправляю логи CollectionLog-2019.02.17-01.42.zip
SQ Опубликовано 17 февраля, 2019 Опубликовано 17 февраля, 2019 Здравствуйте,HiJackThis (из каталога autologger)профиксить O26 - Debugger: HKLM\..\1sass.exe: [Debugger] = C:\Windows\\system32\\svchost.exe O26 - Debugger: HKLM\..\win1ogins.exe: [Debugger] = C:\Windows\\system32\\svchost.exe O26 - Debugger: HKLM\..\win1ogon.exe: [Debugger] = C:\Windows\\system32\\svchost.exe По каким-то причинам в логах отсутствуют логи AVZ. - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
D.Rash Опубликовано 17 февраля, 2019 Автор Опубликовано 17 февраля, 2019 (изменено) Добрый день,вот логи после сканирования FRST,сканировал на активной заражённой системе,win7x64 FRST.txt Addition.txt Изменено 17 февраля, 2019 пользователем D.Rash
regist Опубликовано 17 февраля, 2019 Опубликовано 17 февраля, 2019 (изменено) По каким-то причинам в логах отсутствуют логи AVZ. Зайцев с обновлением AVZ чего-то поломал. @D.Rash, 1) Папку Logs в папке с AVZ заархивируйте и прикрепите. 2) Перекачайте Автологер и заново соберите им логи. Изменено 17 февраля, 2019 пользователем regist 1
D.Rash Опубликовано 17 февраля, 2019 Автор Опубликовано 17 февраля, 2019 (изменено) Кстати отчёты avz могут отсутствовать из-за того что я их сохранял не по-умолчанию,а в другую удобную для меня папку.Но в них о заражённых файлах нет ни чего(avz запускался после чистки и удаления 69 заражений касперским),только об обнаружении и устранении отладчика процессов и о разрешении автозапуска с разных дисков и носителей(исправлено).Но это всегда при попадании вируса в систему.Вообще я эти вещи всегда вручную отключаю при установке/настройке системы ещё и удалённого помощника,удалённый рабочий стол и прочее. Ну и ещё одно подозрение,которое скорее всего ошибочно(придётся извлекать из карантина потом) Lost Alpha Configurator.exe.bak - PE файл с нестандартным расширением(степень опасности 5%)-несколько сот пользователей скачивали и запускали игру из этой раздачи - жалоб нет ни одной,степень опасности как у рекламы,конфигуратор игры просто меняет настройки и добавляет патчи в систему - вот и подозрение от avz. Прикрепляю логи avz на всякий случай.----------------------------------- Пока пост писал пришёл ваш пост. ---------------- Сканирование автологером сейчас повторю. По каким-то причинам в логах отсутствуют логи AVZ.Зайцев с обновлением AVZ чего-то поломал. @D.Rash, 1) Папку Logs в папке с AVZ заархивируйте и прикрепите. 2) Перекачайте Автологер и заново соберите им логи. Вот архивы avz и Автологера avz2_log.txt avz3_log.txt CollectionLog-2019.02.17-01.42.zip LOG.rar LOG.rar CollectionLog-2019.02.17-01.42.zip Изменено 17 февраля, 2019 пользователем D.Rash
SQ Опубликовано 17 февраля, 2019 Опубликовано 17 февраля, 2019 Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: Start:: CreateRestorePoint: CloseProcesses: File: C:\Program Files (x86)\Everything\Everything.exe File: C:\Program Files\Mem Reduct\memreduct.exe IFEO\1sass.exe: [Debugger] C:\Windows\\system32\\svchost.exe IFEO\osk.exe: [Debugger] C:\Windows\Fonts\lsass.exe IFEO\sethc.exe: [Debugger] C:\Windows\Fonts\smss.exe IFEO\win1ogins.exe: [Debugger] C:\Windows\\system32\\svchost.exe IFEO\win1ogon.exe: [Debugger] C:\Windows\\system32\\svchost.exe Folder: C:\Windows\Fonts S2 cftmon; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL) S2 cftmon; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL) File: C:\Windows\System32\Drivers\al1atuq2.sys File: C:\Windows\System32\DRIVERS\usb2ser.sys File: C:\Windows\System32\DRIVERS\oem-drv64.sys Folder: C:\Program Files (x86)\exfg Folder: C:\Windows\tasksche.exe Folder: C:\Windows\SysWOW64\WUDHostServices.exe Folder: C:\Windows\srvany.exe Folder: C:\Windows\ntoskrnl.exe Folder: C:\Program Files\dll Folder: C:\Windows\SysWOW64\wmassrv.dll Folder: C:\Windows\SysWOW64\HalPluginsServices.dll Folder: C:\Windows\system\lsaus.exe Folder: C:\Windows\sysprepthemes Folder: C:\Windows\svchost.exe Folder: C:\Windows\SpeechsTracing Folder: C:\Windows\SecureBootThemes Folder: C:\Windows\boy.exe Folder: C:\ProgramData\storm Folder: C:\ProgramData\Mozilla Folder: C:\Users\Rash\facebook-100032998602433 File: C:\BOOTSECT.BAK FirewallRules: [{F155C295-CDB2-49A6-9FBE-529A8261C2C0}] => (Allow) C:\Program Files (x86)\i2p\I2P.exe No File FirewallRules: [{31A18FA7-3A76-4773-B2C2-C16913A261AD}] => (Allow) C:\Program Files (x86)\i2p\I2P.exe No File FirewallRules: [{F154064B-4140-4F14-881C-E012BFD6A3D7}] => (Allow) C:\Program Files (x86)\i2p\I2P.exe No File FirewallRules: [{9AB73A1F-B8CC-4BE4-BFDD-9942343FD0F9}] => (Allow) C:\Program Files (x86)\i2p\I2P.exe No File FirewallRules: [{A85A4B8E-2307-41A8-ABC8-61268A680820}] => (Allow) C:\Program Files (x86)\i2p\I2Psvc.exe No File FirewallRules: [{2B87DE21-F22E-4092-B771-A35D6A6725F7}] => (Allow) C:\Program Files (x86)\i2p\I2Psvc.exe No File FirewallRules: [{086C79AD-3036-40AA-85AF-1F00BEC31FA2}] => (Allow) C:\Program Files (x86)\i2p\I2Psvc.exe No File FirewallRules: [{5BBBE352-2CC6-484E-B8C7-81451AA69641}] => (Allow) C:\Program Files (x86)\i2p\I2Psvc.exe No File FirewallRules: [{E21F8E08-2035-400C-8917-9329D9774949}] => (Allow) C:\Program Files (x86)\Tor Browser\Browser\firefox.exe No File FirewallRules: [{5F02A1A6-518E-48AC-836A-35A80FB5BE9B}] => (Allow) C:\Program Files (x86)\Tor Browser\Browser\firefox.exe No File FirewallRules: [{4096E685-192C-4B55-8E6E-6D33E732A147}] => (Allow) C:\Program Files (x86)\Tor Browser\Browser\firefox.exe No File FirewallRules: [{DBA13914-4679-443D-A9CF-4F6FDD63F503}] => (Allow) C:\Program Files (x86)\Tor Browser\Browser\firefox.exe No File FirewallRules: [{60B7582E-466A-4B4D-8A24-B45E344F914A}] => (Allow) C:\Users\Rash\AppData\Local\Yandex\YandexBrowser\Application\browser.exe No File FirewallRules: [{89F3F83A-B3E8-46C1-A063-2209733FEAF3}] => (Allow) C:\Users\Rash\AppData\Local\Yandex\YandexBrowser\Application\browser.exe No File FirewallRules: [{17255616-7DAF-471F-B932-45F72A056253}] => (Allow) C:\Users\Rash\AppData\Local\Yandex\YandexBrowser\Application\browser.exe No File FirewallRules: [{B1E158F5-1831-4445-A949-D9CA455011BE}] => (Allow) C:\Users\Rash\AppData\Local\Yandex\YandexBrowser\Application\browser.exe No File FirewallRules: [{90B6F2B9-D6B7-49C0-959E-13FE8790C2BE}] => (Allow) C:\Users\Rash\AppData\Roaming\ACEStream\engine\ace_engine.exe No File FirewallRules: [{F7DDBFD2-AA71-4EEE-B192-AECDA9EEC2DF}] => (Allow) C:\Users\Rash\AppData\Roaming\ACEStream\engine\ace_engine.exe No File FirewallRules: [{E705A773-4E85-4E27-93EF-6FE11DACA4BE}] => (Allow) C:\Users\Rash\AppData\Local\vghd\bin\vghd.exe No File FirewallRules: [{DFCC69EB-E8A5-4957-A956-8F6A801F84A2}] => (Allow) C:\Users\Rash\AppData\Local\vghd\bin\vghd.exe No File FirewallRules: [{1079BE63-C963-4A25-8048-E1D14DD5F314}] => (Allow) D:\Игра\Новая папка\Downloaded\Public\Warframe.exe No File FirewallRules: [{1F2987B9-D30A-4F60-96D0-F5540459B441}] => (Allow) D:\Игра\Новая папка\Downloaded\Public\Warframe.x64.exe No File FirewallRules: [{B7D10D76-BF4D-468C-B321-4C9F2D4D3C9C}] => (Allow) D:\Игра\Новая папка\Downloaded\Public\Warframe.exe No File FirewallRules: [{9DC98830-492D-4F29-A93C-9BDC3F134A12}] => (Allow) D:\Игра\Новая папка\Downloaded\Public\Warframe.x64.exe No File FirewallRules: [{AD8C5822-D6B5-41CE-9E0C-B0D39BE24A31}] => (Allow) C:\Program Files (x86)\ASUS\AI Suite II\AI Suite II.exe No File FirewallRules: [{509E82F2-078F-4016-B7B0-8D0F810E6A9C}] => (Allow) C:\Program Files (x86)\ASUS\AI Suite II\AI Suite II.exe No File FirewallRules: [{5EBB194E-70ED-4F8D-AB12-6DA0EF6560CB}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe No File FirewallRules: [{C5E021B8-9CBC-4F52-9FBD-0E52AA39A79B}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe No File FirewallRules: [{87439EA1-AF07-47EF-9D15-BCB478645E06}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe No File FirewallRules: [{6C4A568E-9020-46A3-868B-27A0F9040EA7}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe No File FirewallRules: [{A16453E5-8153-4CDF-AF74-3B5D06CEB78B}] => (Allow) C:\Program Files\obs-studio\bin\64bit\obs64.exe No File FirewallRules: [{33A02D15-D797-4EE9-9CFF-F147A88F29A8}] => (Allow) C:\Program Files\obs-studio\bin\64bit\obs64.exe No File FirewallRules: [{B628DE68-8C2E-478A-8F96-14D8034A7F1C}] => (Allow) C:\Program Files\obs-studio\bin\64bit\obs64.exe No File FirewallRules: [{D85D40A7-E4B9-4265-BDEF-C34BFCC7E1D8}] => (Allow) C:\Program Files\obs-studio\bin\64bit\obs64.exe No File FirewallRules: [{25E4CFC1-1247-4CC1-97DB-330802419CA1}] => (Allow) C:\Program Files (x86)\SplitmediaLabs\XSplit Broadcaster\x64\XSplit.Core.exe No File FirewallRules: [{300183A5-398C-483F-9DF2-61EC133C7302}] => (Allow) C:\Program Files (x86)\SplitmediaLabs\XSplit Broadcaster\x64\XSplit.cam.exe No File FirewallRules: [{28E5C874-6175-451E-A608-995FBE331D84}] => (Allow) C:\Program Files (x86)\SplitmediaLabs\XSplit Broadcaster\x64\XSplit.Core.exe No File FirewallRules: [{D226CDD5-7711-45D7-B23B-396D3F32808A}] => (Allow) C:\Program Files (x86)\SplitmediaLabs\XSplit Broadcaster\x64\XSplit.cam.exe No File Reboot: End:: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен.
D.Rash Опубликовано 17 февраля, 2019 Автор Опубликовано 17 февраля, 2019 Всё выполнил,файл Fixlog.txt прикрепляю Fixlog.txt
SQ Опубликовано 18 февраля, 2019 Опубликовано 18 февраля, 2019 Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:Start:: CreateRestorePoint: CloseProcesses: Folder: C:\Windows\Fonts\Mysql Folder: C:\ProgramData\storm\update Zip: C:\BOOTSECT.BAK;C:\Windows\Fonts\StaticCache.dat C:\Program Files (x86)\exfg C:\Windows\tasksche.exe C:\Windows\SysWOW64\WUDHostServices.exe C:\Windows\srvany.exe C:\Windows\ntoskrnl.exe C:\Program Files\dll C:\Windows\SysWOW64\wmassrv.dll C:\Windows\SysWOW64\HalPluginsServices.dll C:\Windows\system\lsaus.exe C:\Windows\sysprepthemes C:\Windows\svchost.exe C:\Windows\SpeechsTracing C:\Windows\SecureBootThemes C:\Windows\boy.exe Reboot: End:: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. На рабочем столе образуется карантин вида <date>.zip загрузите через данную форму
D.Rash Опубликовано 18 февраля, 2019 Автор Опубликовано 18 февраля, 2019 (изменено) Всё выполнил, при запуске программы, как и в первый раз,сам закрылся диспетчер задач. Но что-то пошло не так.Ждал пока программа закончит работу и компьютер перезагрузится с 4:49 до 6:05. Этого не произошло.Снял видео с экрана монитора, синий фон это то что закрывает рабочий стол.(27 сек.) Изменено 18 февраля, 2019 пользователем D.Rash
SQ Опубликовано 18 февраля, 2019 Опубликовано 18 февраля, 2019 По каким-то причинам не смог взять в карантин: C:\Windows\Fonts\StaticCache.dat Выполните следующее: Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:Start:: CreateRestorePoint: CloseProcesses: C:\Windows\Fonts\Mysql C:\Program Files (x86)\exfg C:\Windows\tasksche.exe C:\Windows\SysWOW64\WUDHostServices.exe C:\Windows\srvany.exe C:\Windows\ntoskrnl.exe C:\Program Files\dll C:\Windows\SysWOW64\wmassrv.dll C:\Windows\SysWOW64\HalPluginsServices.dll C:\Windows\system\lsaus.exe C:\Windows\sysprepthemes C:\Windows\svchost.exe C:\Windows\SpeechsTracing C:\Windows\SecureBootThemes C:\Windows\boy.exe Reboot: End:: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен.
D.Rash Опубликовано 19 февраля, 2019 Автор Опубликовано 19 февраля, 2019 Здравствуйте.Папка font больше всех была заражена,могу скрин отчтёта касперского прикрепить.Ещё случайно нашёл файл avz_sysinfo.htm,созданный через 2,5 часа после заражения(когда ещё сам боролся с трояном),так же могу загрузить,если нужен. Все действия выполнил,файл Fixlog.txt прикрепил. Fixlog.txt
SQ Опубликовано 19 февраля, 2019 Опубликовано 19 февраля, 2019 Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
regist Опубликовано 20 февраля, 2019 Опубликовано 20 февраля, 2019 + Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти