после лечения KVRT обнулилась оперативная память

[Алёна В]

Добрый день!

На компьютере появился вирус, который в числе прочего не позволял зайти на сайт с Cureit и блокировал запуск KVRT. Я "зафиксила" код 

Start::
CreateRestorePoint:

HKLM\...\Policies\Explorer: [NoRemoteRecursiveEvents] 1
HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1
2020-05-29 14:36 - 2020-06-01 10:18 - 011139072 _____ C:\ProgramData\temp5.exe
2020-06-01 08:47 - 2018-05-14 15:43 - 000000000 __SHD C:\KVRT_Data
Reboot:
End::

После этого KVRT запустился. Обнаружил троян в системной памяти (тут я могу напутать цитату сообщения) и предложил полечить его. Я запустила лечение. Программа начала повторную проверку, собралась перезагрузить комп, но вывалилась в биос с пометкой 0 Мб в разделе оперативная память (4 сигнала от материнской платы и синий экран после выхода из биоса). Поможет ли здесь "обнуление" биоса с помощью "заглушки"? (Честно говоря, такая проблема уже была, в точности по той же схеме, но я не помню, как я её решила. Но точно не переставляла систему и не пользовалась загрузочной флешкой, т.к. я этого не умею.)

[Sandor]

Здравствуйте!

 

Скрипты пишутся индивидуально, поэтому выполнение чужих скриптов чревато проблемами.

В итоге система у вас загружается или нет?

Изменено 9 ноября, 2020 пользователем Sandor

[Алёна В]

нет... но я ещё не дома. думаю, что делать-то...

[Sandor]

Тогда в соседнем разделе попробуйте с помощью специалистов восстановить загрузку. Затем, если будут подозрения на вирус, вернётесь сюда и выполните Порядок оформления запроса о помощи

Изменено 9 ноября, 2020 пользователем Sandor

[Алёна В]

Спасибо) Пойду к соседям

[Алёна В]

Добрый вечер!

Предыдущая проблема решена самой системой (после сброса биоса появилось окно с восстановлением системы), KVRT больше вирусов не показывает, но нет возможности скачать cureit и установить Kaspersky Anti-virus (пробная версия).

CollectionLog-2020.11.09-21.40.zip

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Цитата

NetShield Kit 1.3.30.0

 

Если будет "сопротивляться", удаляйте принудительно через Geek Uninstaller

 

В системе установлен

Цитата

Kaspersky Safe Kids

Ставили самостоятельно?

[Алёна В]

NetShield Kit 1.3.30.0 не нашла ни системно, ни в Geek Uninstaller.

Kaspersky Safe Kids стоит и обновляется около трёх лет. Были проблемы, консультировалась с Вашими коллегами. Сейчас особых проблем с ним нет.

 

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Алёна В]

Сделала.

admin.zip

[Sandor]

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  () [File not signed] C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe
  HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  GroupPolicy: Restriction - Windows Defender <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
  Task: {1B6E2C7D-416D-4630-B56A-141A0BC1ADC4} - System32\Tasks\NetShield Kit Self Repair => C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe [6587392 2020-11-05] () [File not signed]
  Task: {86BCF7AD-D0CE-449E-A8A3-FBCCA883C018} - System32\Tasks\NetShield Kit scheduled Autoupdate => C:\Program Files (x86)\NetShield Kit\cli.exe [189952 2020-11-05] (Sigma Software) [File not signed]
  Task: {93CA6FC0-07A7-440C-9730-E860F82537BA} - System32\Tasks\Microsoft\Windows\Wininet\SystemC => C:\Programdata\RealtekHD\taskhostw.exe <==== ATTENTION
  CHR HKU\S-1-5-21-1005736867-1550127111-1475207813-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
  CHR HKLM-x32\...\Chrome\Extension: [imhlianhlhdicjchlbmbfaefhhjencbe]
  C:\Users\admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\cnbpedcoekjafichoehopgaaldogogch
  C:\Users\admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\meejmcfbiapijdfaadackoblffmidlig
  R2 NetShieldKitSvc; C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe [6587392 2020-11-05] () [File not signed]
  2020-11-09 20:08 - 2020-11-09 20:08 - 000003482 _____ C:\WINDOWS\system32\Tasks\NetShield Kit Self Repair
  2020-11-09 20:08 - 2020-11-09 20:08 - 000003240 _____ C:\WINDOWS\system32\Tasks\NetShield Kit scheduled Autoupdate
  2020-10-16 20:38 - 2020-10-16 20:38 - 000000000 ____D C:\ProgramData\vjbjrNDNPHVlHRnRd
  2020-10-16 20:38 - 2020-10-16 20:38 - 000000000 ____D C:\ProgramData\tlpfLpHDPlxhpbx
  2020-10-16 20:38 - 2020-10-16 20:38 - 000000000 ____D C:\ProgramData\malldir
  2020-10-14 21:31 - 2020-10-16 20:38 - 000000000 ____D C:\ProgramData\VkontaekatDJ
  2020-09-08 21:51 - 2020-09-08 21:51 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
  2020-09-08 21:51 - 2020-09-08 21:51 - 000000000 __SHD C:\Program Files\Kaspersky Lab
  2020-09-08 21:51 - 2020-09-08 21:51 - 000000000 __SHD C:\Program Files\AVG
  2020-11-08 17:59 - 2020-05-28 12:31 - 000000000 __SHD C:\ProgramData\Doctor Web
  2020-10-17 13:04 - 2020-05-28 12:31 - 000000000 __SHD C:\AdwCleaner
  NetShield Kit 1.3.30.0 (HKLM-x32\...\{d6a73ef4-3351-41a3-bcf4-86b86086276a}) (Version: 1.3.30.0 - Sigma Software) Hidden
  ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [376]
  HKU\S-1-5-21-1005736867-1550127111-1475207813-1001\Software\Classes\.scr: scrfile =>  <==== ATTENTION
  URLSearchHook: HKU\S-1-5-21-1005736867-1550127111-1475207813-1001 - (No Name) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - No File
  SearchScopes: HKU\S-1-5-21-1005736867-1550127111-1475207813-1001 -> DefaultScope {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxp://search-cdn.net/fip/?q={searchTerms}
  FirewallRules: [{44B5E8BF-26CC-49D9-B718-34C3A1589BD2}] => (Allow) LPort=3389
  FirewallRules: [{C7238D8A-D507-4B21-89F1-E9956469B1E7}] => (Allow) LPort=3389
  FirewallRules: [{1C0719DC-C7D4-4715-8215-F082E1FED754}] => (Block) LPort=139
  FirewallRules: [{0B0C239E-B24F-42C1-9D07-85EB210EB59D}] => (Block) LPort=139
  FirewallRules: [{CED71E47-1B11-4325-8AC4-07D24B2DA264}] => (Block) LPort=445
  FirewallRules: [{70F339EA-EE3F-4002-984B-8A97A33CD2E9}] => (Block) LPort=445
  FirewallRules: [{A97C0B87-8D67-49DC-9D12-C1A5BC2658F9}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
  FirewallRules: [{4788B614-0A9C-4E10-9126-02D1277279DB}] => (Allow) LPort=50248
  FirewallRules: [{2702EA40-8C24-44D8-ACDA-2BC20B3B3367}] => (Allow) E:\Дистрибутивы\Служебные\Удалённый доступ\AnyDesk.exe => No File
  FirewallRules: [{BFF48936-7EB1-4080-AB10-CC68ECA24423}] => (Allow) E:\Дистрибутивы\Служебные\Удалённый доступ\AnyDesk.exe => No File
  FirewallRules: [{6FC38C83-7298-47E9-B020-28E0066B5287}] => (Allow) E:\Дистрибутивы\Служебные\Удалённый доступ\AnyDesk.exe => No File
  FirewallRules: [{528D8368-2346-4D1A-B6C9-45E18FF4EE07}] => (Allow) E:\Дистрибутивы\Служебные\Удалённый доступ\AnyDesk.exe => No File
  CMD: net user john /delete
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

09.11.2020 в 21:11, Алёна В сказал:

NetShield Kit 1.3.30.0 не нашла ни системно, ни в Geek Uninstaller.

Теперь должен появиться в перечне установленных программ. Удалите.

Изменено 11 ноября, 2020 пользователем Sandor

[Алёна В]

сделала, программу удалила (через Geek)

Fixlog.txt

[Sandor]

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[Алёна В]

Сделала.

AdwCleaner[S00].txt

[Sandor]

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

Сообщите решена ли проблема.