iljael 0 Опубликовано 27 мая, 2020 Share Опубликовано 27 мая, 2020 После заражения вирусом Вин7_32 при запуске КВРТ тут же автоматически закрывался. Пробовал загружаться в безопасном режиме , происходило тоже самое. Запустил сканирование через ВинХР с другого диска , КВРТ обнаружил и вылечил что то на диске где установлена Вин7_32, после этого КВРТ стал запускаться но после нажатия на кнопку (Начать проверку) ничего не происходит, в безопасном режиме тоже самое! Помогите пожалуста. CollectionLog-2020.05.27-13.54.zip GSI6_DISP9_W7_disp9_05_27_2020_13_17_56.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 27 мая, 2020 Share Опубликовано 27 мая, 2020 Здравствуйте! Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\Windows\rutserv.exe', ''); QuarantineFile('C:\Users\disp9\AppData\Local\Temp\ОЗУ\iec104.dll', ''); QuarantineFile('C:\Windows\java.exe', ''); QuarantineFile('C:\Windows\svchost.exe', ''); DeleteFile('C:\ProgramData\Windows\rutserv.exe', '32'); DeleteService('RManService'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true); end. Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Ссылка на сообщение Поделиться на другие сайты
iljael 0 Опубликовано 28 мая, 2020 Автор Share Опубликовано 28 мая, 2020 Отправил карантин в форме - 2020.05.28_quarantine_ef306ffb824c1618817e3bdc0b6cd30c.7z Autologger запускал без подсоединения сетевого кабеля , а то у меня после установки и запуска 360 бсоды вылетают (сейчас 360 уже удалён). CollectionLog-2020.05.28-08.39.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 28 мая, 2020 Share Опубликовано 28 мая, 2020 Очень старая и уязвимая версия Java(TM) 6 Update 16. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
iljael 0 Опубликовано 28 мая, 2020 Автор Share Опубликовано 28 мая, 2020 Отсутствие подключения к сети на анализируемом компе не мешает анализу ? FRST.txt Addition.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 28 мая, 2020 Share Опубликовано 28 мая, 2020 Нет, не мешает. Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код:Start:: CreateRestorePoint: HKU\S-1-5-21-2381401247-2856236452-1387556285-6701\...\Policies\Explorer: [NoAutoUpdate] 1 HKU\S-1-5-21-2381401247-2856236452-1387556285-6701\Software\Policies\...\system: [GroupPolicyRefreshTime] 10 HKU\S-1-5-21-2381401247-2856236452-1387556285-6701\Software\Policies\...\system: [GroupPolicyRefreshTimeOffset] 10 HKU\S-1-5-21-2381401247-2856236452-1387556285-6701\Software\Policies\...\system: [GroupPolicyMinTransferRate] 500 HKU\S-1-5-21-2381401247-2856236452-1387556285-6701\...\MountPoints2: {06b3707d-84d4-11e8-abe3-d43d7efa478b} - H:\AUTORUN.EXE HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 1 HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [11] Cube.exe GroupPolicy: Restriction ? <==== ATTENTION 2020-05-21 14:59 - 2020-05-27 10:09 - 000000000 __SHD C:\ProgramData\Doctor Web 2020-05-21 14:59 - 2020-05-26 09:31 - 000000000 __SHD C:\Program Files\RDP Wrapper 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Windows\NetworkDistribution 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Windows\McMwt 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\Norton 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\McAfee 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\Kaspersky Lab 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\grizzly 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\ESET 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\Driver Foundation Visions VHG 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\Avg 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\AVAST Software 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\SpyHunter 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\Malwarebytes 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\Kaspersky Lab 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\ESET 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\Enigma Software Group 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\COMODO 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\Cezurity 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\ByteFence 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\AVG 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\AVAST Software 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\AdwCleaner 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ___SH C:\Windows\svchost.exe 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ___SH C:\Windows\java.exe 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ___SH C:\Windows\boy.exe 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ___SH C:\ProgramData\script.exe 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ___SH C:\ProgramData\olly.exe 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ___SH C:\ProgramData\kz.exe 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ____S C:\ProgramData\lsass.exe 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ____D C:\ProgramData\MB3Install 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ____D C:\ProgramData\Malwarebytes 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ____D C:\ProgramData\Indus 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ____D C:\ProgramData\Avira 2020-05-21 14:58 - 2020-05-27 08:18 - 000000000 __SHD C:\ProgramData\RunDLL 2020-05-21 14:58 - 2020-05-27 08:18 - 000000000 __SHD C:\ProgramData\install 2020-05-21 14:58 - 2020-05-26 09:31 - 000000000 __SHD C:\ProgramData\Windows 2020-05-21 14:58 - 2020-05-25 16:19 - 000000000 __SHD C:\ProgramData\WindowsTask 2020-05-21 14:58 - 2020-05-25 16:19 - 000000000 __SHD C:\ProgramData\RealtekHD 2020-05-21 14:58 - 2020-05-21 14:58 - 000000000 __SHD C:\Windows\system32\%APPDATA% FirewallRules: [{0081CC45-7CBC-4C57-A481-2C8C1471DCEE}] => (Block) LPort=445 FirewallRules: [{2A364EDB-7AF6-4B36-93D6-2BCE4BE5DB87}] => (Block) LPort=445 FirewallRules: [{30917BD9-BB0F-4365-BF8A-0811FD7B4E01}] => (Block) LPort=139 FirewallRules: [{803427D0-8FE1-48DD-BDC0-7B0B7D5544AA}] => (Block) LPort=139 FirewallRules: [{D848AFDD-1785-45A8-BDEA-D755EDF82FD5}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => No File FirewallRules: [{F428703A-53A9-4059-A438-4AE181B0023A}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File FirewallRules: [{C8DABE07-3D1A-4CDF-B797-F110EE7D0B4E}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File FirewallRules: [{223B7A0D-0D5B-47FB-B442-CB4305957A19}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => No File FirewallRules: [{27587383-A650-4DD9-9E5D-C6824ECCD05A}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File FirewallRules: [{27E24930-E9D2-4575-AA5E-D038D806F170}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File FirewallRules: [{D34F85D0-FED6-4EEC-A624-A1158D3D4E43}] => (Allow) C:\ProgramData\RealtekHD\taskhostw.exe => No File FirewallRules: [{10584486-54A1-4A78-816E-B0B23F680B6E}] => (Allow) C:\ProgramData\windows\rutserv.exe => No File FirewallRules: [{D84965D6-A777-4932-8DC2-7E3924DA990A}] => (Allow) C:\ProgramData\rundll\system.exe => No File FirewallRules: [{83BB5110-3DD9-4504-92D4-6815F25EBF72}] => (Allow) C:\ProgramData\rundll\rundll.exe => No File FirewallRules: [{E55DACA0-724C-4478-8C24-11762102BED3}] => (Allow) C:\ProgramData\rundll\Doublepulsar-1.3.1.exe => No File FirewallRules: [{F2923A7A-9158-4082-AA59-BD69C1D6E010}] => (Allow) C:\ProgramData\rundll\Eternalblue-2.2.0.exe => No File FirewallRules: [{473C0B40-539C-4E24-B095-16E8AF2ED81B}] => (Allow) LPort=9494 FirewallRules: [{1A55E172-6BE4-4740-AD09-F0F9DC55DEBC}] => (Allow) LPort=9393 FirewallRules: [{8F1BA702-5F13-4CE7-A698-F2AB984BB88C}] => (Allow) LPort=9494 FirewallRules: [{5FEFAA0C-F7FC-48BE-AD5E-575BAE7E5C23}] => (Allow) LPort=9393 FirewallRules: [{BFC6AFA2-A6CC-4C0E-A2A4-EAB0216ED168}] => (Allow) LPort=3389 FirewallRules: [{FB25CDE3-E3AC-44BF-B28C-98B36DA55A1A}] => (Allow) C:\Program Files\360\Total Security\softmgr\360InstantSetup.exe => No File FirewallRules: [{4DCBAD83-FFDB-40FA-8B2F-9223CB6D7AE1}] => (Allow) C:\Program Files\360\Total Security\softmgr\360InstantSetup.exe => No File FirewallRules: [{4558A3F6-D824-4D9B-B2D7-6C7A9662C8A5}] => (Allow) C:\Program Files\360\Total Security\LiveUpdate360.exe => No File FirewallRules: [{A49AA744-C7BB-48AE-9C68-CDA0C3846446}] => (Allow) C:\Program Files\360\Total Security\LiveUpdate360.exe => No File FirewallRules: [{97829526-CE50-451D-9962-0FAAE6C2795E}] => (Allow) C:\Program Files\360\Total Security\LiveUpdate360.exe => No File FirewallRules: [{FA2A6FFC-1C82-4D94-9EF1-2394A7B928F4}] => (Allow) C:\Program Files\360\Total Security\LiveUpdate360.exe => No File FirewallRules: [{B9EB3C2C-44B3-42AC-94C8-0C177F4545B1}] => (Allow) C:\Program Files\360\Total Security\safemon\QHSafeTray.exe => No File FirewallRules: [{732A7164-0145-40FE-9E80-C82607EED9AB}] => (Allow) C:\Program Files\360\Total Security\safemon\QHSafeTray.exe => No File EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
iljael 0 Опубликовано 28 мая, 2020 Автор Share Опубликовано 28 мая, 2020 Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 28 мая, 2020 Share Опубликовано 28 мая, 2020 Проблема решена? Ссылка на сообщение Поделиться на другие сайты
iljael 0 Опубликовано 28 мая, 2020 Автор Share Опубликовано 28 мая, 2020 (изменено) Нет , после нажатия кнопки ни чего не происходит.Можно только объекты сканирования выбирать. Может в безопасном попробовать ? Я выключал ещё некоторые службы ,может нужна какая нибудь обязательная служба ? Хотя другие приложения вроде нормально запускаются. Изменено 28 мая, 2020 пользователем iljael Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 28 мая, 2020 Share Опубликовано 28 мая, 2020 После выполнения скрипта вы утилиту KVRT скачали заново? Ссылка на сообщение Поделиться на другие сайты
iljael 0 Опубликовано 29 мая, 2020 Автор Share Опубликовано 29 мая, 2020 (изменено) Нет , а надо было ? Она же из винХР нормально запускается. Сейчас попробую заново скачать. Нет не заработал. Может образ диска с этой бедой скинуть на яндекс диск для анализа , или ещё попытаться исправить на месте? Изменено 29 мая, 2020 пользователем iljael Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 29 мая, 2020 Share Опубликовано 29 мая, 2020 11 часов назад, iljael сказал: Она же из винХР нормально запускается А при чём тут XP? У вас ведь Microsoft Windows 7 Максимальная Service Pack 1 (X86). Удалите старые и соберите новые отчёты FRST.txt и Addition.txt Ссылка на сообщение Поделиться на другие сайты
iljael 0 Опубликовано 1 июня, 2020 Автор Share Опубликовано 1 июня, 2020 Извините за задержку , но с исследуемым компом могу работать только с ПН. по Пятницу. На ХР запускается тот же файл кврт что и на вин7 так что я считал что кврт рабочий и загружать его заново не нужно. С бсодами справился удалив обновления которые поставил 360. Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 1 июня, 2020 Share Опубликовано 1 июня, 2020 4 минуты назад, iljael сказал: я считал что кврт рабочий и загружать его заново не нужно Скачивать нужно в любом случае, т.к. база обновляется на сервере, а не автоматически. То есть, это инструмент для разовой проверки/лечения. Отключите до перезагрузки антивирус. Выделите следующий код:Start:: CreateRestorePoint: HKLM\...\Policies\Explorer: [NoRemoteRecursiveEvents] 1 HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1 2020-05-29 14:36 - 2020-06-01 10:18 - 011139072 _____ C:\ProgramData\temp5.exe 2020-06-01 08:47 - 2018-05-14 15:43 - 000000000 __SHD C:\KVRT_Data Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
iljael 0 Опубликовано 1 июня, 2020 Автор Share Опубликовано 1 июня, 2020 Антивирусы сейчас у меня не установлены Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения