Перейти к содержанию

после лечения KVRT обнулилась оперативная память


Рекомендуемые сообщения

Добрый день!

На компьютере появился вирус, который в числе прочего не позволял зайти на сайт с Cureit и блокировал запуск KVRT. Я "зафиксила" код 

Start::
CreateRestorePoint:

HKLM\...\Policies\Explorer: [NoRemoteRecursiveEvents] 1
HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1
2020-05-29 14:36 - 2020-06-01 10:18 - 011139072 _____ C:\ProgramData\temp5.exe
2020-06-01 08:47 - 2018-05-14 15:43 - 000000000 __SHD C:\KVRT_Data
Reboot:
End::

После этого KVRT запустился. Обнаружил троян в системной памяти (тут я могу напутать цитату сообщения) и предложил полечить его. Я запустила лечение. Программа начала повторную проверку, собралась перезагрузить комп, но вывалилась в биос с пометкой 0 Мб в разделе оперативная память (4 сигнала от материнской платы и синий экран после выхода из биоса). Поможет ли здесь "обнуление" биоса с помощью "заглушки"? (Честно говоря, такая проблема уже была, в точности по той же схеме, но я не помню, как я её решила. Но точно не переставляла систему и не пользовалась загрузочной флешкой, т.к. я этого не умею.)

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Скрипты пишутся индивидуально, поэтому выполнение чужих скриптов чревато проблемами.

В итоге система у вас загружается или нет?

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Тогда в соседнем разделе попробуйте с помощью специалистов восстановить загрузку. Затем, если будут подозрения на вирус, вернётесь сюда и выполните Порядок оформления запроса о помощи

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Добрый вечер!

Предыдущая проблема решена самой системой (после сброса биоса появилось окно с восстановлением системы), KVRT больше вирусов не показывает, но нет возможности скачать cureit и установить Kaspersky Anti-virus (пробная версия).

CollectionLog-2020.11.09-21.40.zip

Ссылка на сообщение
Поделиться на другие сайты

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Цитата

NetShield Kit 1.3.30.0

 

Если будет "сопротивляться", удаляйте принудительно через Geek Uninstaller

 

В системе установлен

Цитата

Kaspersky Safe Kids

Ставили самостоятельно?

Ссылка на сообщение
Поделиться на другие сайты

NetShield Kit 1.3.30.0 не нашла ни системно, ни в Geek Uninstaller.

Kaspersky Safe Kids стоит и обновляется около трёх лет. Были проблемы, консультировалась с Вашими коллегами. Сейчас особых проблем с ним нет.

 

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    () [File not signed] C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe
    HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    GroupPolicy: Restriction - Windows Defender <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {1B6E2C7D-416D-4630-B56A-141A0BC1ADC4} - System32\Tasks\NetShield Kit Self Repair => C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe [6587392 2020-11-05] () [File not signed]
    Task: {86BCF7AD-D0CE-449E-A8A3-FBCCA883C018} - System32\Tasks\NetShield Kit scheduled Autoupdate => C:\Program Files (x86)\NetShield Kit\cli.exe [189952 2020-11-05] (Sigma Software) [File not signed]
    Task: {93CA6FC0-07A7-440C-9730-E860F82537BA} - System32\Tasks\Microsoft\Windows\Wininet\SystemC => C:\Programdata\RealtekHD\taskhostw.exe <==== ATTENTION
    CHR HKU\S-1-5-21-1005736867-1550127111-1475207813-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
    CHR HKLM-x32\...\Chrome\Extension: [imhlianhlhdicjchlbmbfaefhhjencbe]
    C:\Users\admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\cnbpedcoekjafichoehopgaaldogogch
    C:\Users\admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\meejmcfbiapijdfaadackoblffmidlig
    R2 NetShieldKitSvc; C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe [6587392 2020-11-05] () [File not signed]
    2020-11-09 20:08 - 2020-11-09 20:08 - 000003482 _____ C:\WINDOWS\system32\Tasks\NetShield Kit Self Repair
    2020-11-09 20:08 - 2020-11-09 20:08 - 000003240 _____ C:\WINDOWS\system32\Tasks\NetShield Kit scheduled Autoupdate
    2020-10-16 20:38 - 2020-10-16 20:38 - 000000000 ____D C:\ProgramData\vjbjrNDNPHVlHRnRd
    2020-10-16 20:38 - 2020-10-16 20:38 - 000000000 ____D C:\ProgramData\tlpfLpHDPlxhpbx
    2020-10-16 20:38 - 2020-10-16 20:38 - 000000000 ____D C:\ProgramData\malldir
    2020-10-14 21:31 - 2020-10-16 20:38 - 000000000 ____D C:\ProgramData\VkontaekatDJ
    2020-09-08 21:51 - 2020-09-08 21:51 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
    2020-09-08 21:51 - 2020-09-08 21:51 - 000000000 __SHD C:\Program Files\Kaspersky Lab
    2020-09-08 21:51 - 2020-09-08 21:51 - 000000000 __SHD C:\Program Files\AVG
    2020-11-08 17:59 - 2020-05-28 12:31 - 000000000 __SHD C:\ProgramData\Doctor Web
    2020-10-17 13:04 - 2020-05-28 12:31 - 000000000 __SHD C:\AdwCleaner
    NetShield Kit 1.3.30.0 (HKLM-x32\...\{d6a73ef4-3351-41a3-bcf4-86b86086276a}) (Version: 1.3.30.0 - Sigma Software) Hidden
    ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [376]
    HKU\S-1-5-21-1005736867-1550127111-1475207813-1001\Software\Classes\.scr: scrfile =>  <==== ATTENTION
    URLSearchHook: HKU\S-1-5-21-1005736867-1550127111-1475207813-1001 - (No Name) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - No File
    SearchScopes: HKU\S-1-5-21-1005736867-1550127111-1475207813-1001 -> DefaultScope {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxp://search-cdn.net/fip/?q={searchTerms}
    FirewallRules: [{44B5E8BF-26CC-49D9-B718-34C3A1589BD2}] => (Allow) LPort=3389
    FirewallRules: [{C7238D8A-D507-4B21-89F1-E9956469B1E7}] => (Allow) LPort=3389
    FirewallRules: [{1C0719DC-C7D4-4715-8215-F082E1FED754}] => (Block) LPort=139
    FirewallRules: [{0B0C239E-B24F-42C1-9D07-85EB210EB59D}] => (Block) LPort=139
    FirewallRules: [{CED71E47-1B11-4325-8AC4-07D24B2DA264}] => (Block) LPort=445
    FirewallRules: [{70F339EA-EE3F-4002-984B-8A97A33CD2E9}] => (Block) LPort=445
    FirewallRules: [{A97C0B87-8D67-49DC-9D12-C1A5BC2658F9}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
    FirewallRules: [{4788B614-0A9C-4E10-9126-02D1277279DB}] => (Allow) LPort=50248
    FirewallRules: [{2702EA40-8C24-44D8-ACDA-2BC20B3B3367}] => (Allow) E:\Дистрибутивы\Служебные\Удалённый доступ\AnyDesk.exe => No File
    FirewallRules: [{BFF48936-7EB1-4080-AB10-CC68ECA24423}] => (Allow) E:\Дистрибутивы\Служебные\Удалённый доступ\AnyDesk.exe => No File
    FirewallRules: [{6FC38C83-7298-47E9-B020-28E0066B5287}] => (Allow) E:\Дистрибутивы\Служебные\Удалённый доступ\AnyDesk.exe => No File
    FirewallRules: [{528D8368-2346-4D1A-B6C9-45E18FF4EE07}] => (Allow) E:\Дистрибутивы\Служебные\Удалённый доступ\AnyDesk.exe => No File
    CMD: net user john /delete
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

09.11.2020 в 21:11, Алёна В сказал:

NetShield Kit 1.3.30.0 не нашла ни системно, ни в Geek Uninstaller.

Теперь должен появиться в перечне установленных программ. Удалите.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

Сообщите решена ли проблема.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Erema42
      Добрый день, прошу помощи. Был установлен KIS, он перестал запускаться. Решил его переустановить. Новый установщик не запускается. С ПК не могу зайти на сайт касперского в раздел поддержки. Не могу зайти на сайты большинства антивирусов. Запустился только DR. WEB, им им удалось просканировать и убрать трояны, но по прежнему не могу установить KIS и KVRT не запускается. Помогите пожалуйста.
    • От Sirenfall
      Неделю назад была поймана пачка вирусов. Встроенный дефендер не справился, поэтому сразу были предприняты меры по очистке через cruel it (вирус предварительно заблокировал переход на большинство сайтов с антивирусами перенаправив их на localhost, но cruel перекинул с другого пк).
      После тщательной проверки была найдена пачка вирусов, среди них был rdp. После cruel, прогнал AVZ. После лечения большая часть симптомов ушла. В скрытых процессах не наблюдалось ничего. Но, подозрение на существование угрозы всё ещё сохранилось. Сейчас решил проверить ПК через  
      malwarebytes, но его установить не удалось (сперва ошибка "недопустимый путь" при указании папки c:\\program files, а при указании иной - после перезагрузки "Возникла ошибка").
      Далее решено было попробовать через KVRT. Запустить удалось, но не нажимается кнопка "начать проверку", анимация нажатия есть, но ничего не происходит.
      Также обратил внимание, что остались скрытые папки в program files (rdp, kaspersky lab, возможно и другие).
      Avast, ESET nod 32  - ничего не показали.
      Полагаю, что что-то до сих пор осталось на ПК. 
      Прощу помощи в устранении проблемы
       
      CollectionLog-2021.02.13-22.43.zip
    • От Heps
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам При нажатии на кнопку в "Начать сканирование" ничего не происходит
      CollectionLog-2021.01.25-14.46.zip
    • От deniska123
      KVRT не начинает проверку анимация нажатия есть но не чего не происходит что делать? помогите пожалуйста
×
×
  • Создать...