Перейти к содержанию

после лечения KVRT обнулилась оперативная память


Рекомендуемые сообщения

Добрый день!

На компьютере появился вирус, который в числе прочего не позволял зайти на сайт с Cureit и блокировал запуск KVRT. Я "зафиксила" код 

Start::
CreateRestorePoint:

HKLM\...\Policies\Explorer: [NoRemoteRecursiveEvents] 1
HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1
2020-05-29 14:36 - 2020-06-01 10:18 - 011139072 _____ C:\ProgramData\temp5.exe
2020-06-01 08:47 - 2018-05-14 15:43 - 000000000 __SHD C:\KVRT_Data
Reboot:
End::

После этого KVRT запустился. Обнаружил троян в системной памяти (тут я могу напутать цитату сообщения) и предложил полечить его. Я запустила лечение. Программа начала повторную проверку, собралась перезагрузить комп, но вывалилась в биос с пометкой 0 Мб в разделе оперативная память (4 сигнала от материнской платы и синий экран после выхода из биоса). Поможет ли здесь "обнуление" биоса с помощью "заглушки"? (Честно говоря, такая проблема уже была, в точности по той же схеме, но я не помню, как я её решила. Но точно не переставляла систему и не пользовалась загрузочной флешкой, т.к. я этого не умею.)

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Скрипты пишутся индивидуально, поэтому выполнение чужих скриптов чревато проблемами.

В итоге система у вас загружается или нет?

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Тогда в соседнем разделе попробуйте с помощью специалистов восстановить загрузку. Затем, если будут подозрения на вирус, вернётесь сюда и выполните Порядок оформления запроса о помощи

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Добрый вечер!

Предыдущая проблема решена самой системой (после сброса биоса появилось окно с восстановлением системы), KVRT больше вирусов не показывает, но нет возможности скачать cureit и установить Kaspersky Anti-virus (пробная версия).

CollectionLog-2020.11.09-21.40.zip

Ссылка на сообщение
Поделиться на другие сайты

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Цитата

NetShield Kit 1.3.30.0

 

Если будет "сопротивляться", удаляйте принудительно через Geek Uninstaller

 

В системе установлен

Цитата

Kaspersky Safe Kids

Ставили самостоятельно?

Ссылка на сообщение
Поделиться на другие сайты

NetShield Kit 1.3.30.0 не нашла ни системно, ни в Geek Uninstaller.

Kaspersky Safe Kids стоит и обновляется около трёх лет. Были проблемы, консультировалась с Вашими коллегами. Сейчас особых проблем с ним нет.

 

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    () [File not signed] C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe
    HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    GroupPolicy: Restriction - Windows Defender <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {1B6E2C7D-416D-4630-B56A-141A0BC1ADC4} - System32\Tasks\NetShield Kit Self Repair => C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe [6587392 2020-11-05] () [File not signed]
    Task: {86BCF7AD-D0CE-449E-A8A3-FBCCA883C018} - System32\Tasks\NetShield Kit scheduled Autoupdate => C:\Program Files (x86)\NetShield Kit\cli.exe [189952 2020-11-05] (Sigma Software) [File not signed]
    Task: {93CA6FC0-07A7-440C-9730-E860F82537BA} - System32\Tasks\Microsoft\Windows\Wininet\SystemC => C:\Programdata\RealtekHD\taskhostw.exe <==== ATTENTION
    CHR HKU\S-1-5-21-1005736867-1550127111-1475207813-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
    CHR HKLM-x32\...\Chrome\Extension: [imhlianhlhdicjchlbmbfaefhhjencbe]
    C:\Users\admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\cnbpedcoekjafichoehopgaaldogogch
    C:\Users\admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\meejmcfbiapijdfaadackoblffmidlig
    R2 NetShieldKitSvc; C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe [6587392 2020-11-05] () [File not signed]
    2020-11-09 20:08 - 2020-11-09 20:08 - 000003482 _____ C:\WINDOWS\system32\Tasks\NetShield Kit Self Repair
    2020-11-09 20:08 - 2020-11-09 20:08 - 000003240 _____ C:\WINDOWS\system32\Tasks\NetShield Kit scheduled Autoupdate
    2020-10-16 20:38 - 2020-10-16 20:38 - 000000000 ____D C:\ProgramData\vjbjrNDNPHVlHRnRd
    2020-10-16 20:38 - 2020-10-16 20:38 - 000000000 ____D C:\ProgramData\tlpfLpHDPlxhpbx
    2020-10-16 20:38 - 2020-10-16 20:38 - 000000000 ____D C:\ProgramData\malldir
    2020-10-14 21:31 - 2020-10-16 20:38 - 000000000 ____D C:\ProgramData\VkontaekatDJ
    2020-09-08 21:51 - 2020-09-08 21:51 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
    2020-09-08 21:51 - 2020-09-08 21:51 - 000000000 __SHD C:\Program Files\Kaspersky Lab
    2020-09-08 21:51 - 2020-09-08 21:51 - 000000000 __SHD C:\Program Files\AVG
    2020-11-08 17:59 - 2020-05-28 12:31 - 000000000 __SHD C:\ProgramData\Doctor Web
    2020-10-17 13:04 - 2020-05-28 12:31 - 000000000 __SHD C:\AdwCleaner
    NetShield Kit 1.3.30.0 (HKLM-x32\...\{d6a73ef4-3351-41a3-bcf4-86b86086276a}) (Version: 1.3.30.0 - Sigma Software) Hidden
    ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [376]
    HKU\S-1-5-21-1005736867-1550127111-1475207813-1001\Software\Classes\.scr: scrfile =>  <==== ATTENTION
    URLSearchHook: HKU\S-1-5-21-1005736867-1550127111-1475207813-1001 - (No Name) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - No File
    SearchScopes: HKU\S-1-5-21-1005736867-1550127111-1475207813-1001 -> DefaultScope {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxp://search-cdn.net/fip/?q={searchTerms}
    FirewallRules: [{44B5E8BF-26CC-49D9-B718-34C3A1589BD2}] => (Allow) LPort=3389
    FirewallRules: [{C7238D8A-D507-4B21-89F1-E9956469B1E7}] => (Allow) LPort=3389
    FirewallRules: [{1C0719DC-C7D4-4715-8215-F082E1FED754}] => (Block) LPort=139
    FirewallRules: [{0B0C239E-B24F-42C1-9D07-85EB210EB59D}] => (Block) LPort=139
    FirewallRules: [{CED71E47-1B11-4325-8AC4-07D24B2DA264}] => (Block) LPort=445
    FirewallRules: [{70F339EA-EE3F-4002-984B-8A97A33CD2E9}] => (Block) LPort=445
    FirewallRules: [{A97C0B87-8D67-49DC-9D12-C1A5BC2658F9}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
    FirewallRules: [{4788B614-0A9C-4E10-9126-02D1277279DB}] => (Allow) LPort=50248
    FirewallRules: [{2702EA40-8C24-44D8-ACDA-2BC20B3B3367}] => (Allow) E:\Дистрибутивы\Служебные\Удалённый доступ\AnyDesk.exe => No File
    FirewallRules: [{BFF48936-7EB1-4080-AB10-CC68ECA24423}] => (Allow) E:\Дистрибутивы\Служебные\Удалённый доступ\AnyDesk.exe => No File
    FirewallRules: [{6FC38C83-7298-47E9-B020-28E0066B5287}] => (Allow) E:\Дистрибутивы\Служебные\Удалённый доступ\AnyDesk.exe => No File
    FirewallRules: [{528D8368-2346-4D1A-B6C9-45E18FF4EE07}] => (Allow) E:\Дистрибутивы\Служебные\Удалённый доступ\AnyDesk.exe => No File
    CMD: net user john /delete
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

09.11.2020 в 21:11, Алёна В сказал:

NetShield Kit 1.3.30.0 не нашла ни системно, ни в Geek Uninstaller.

Теперь должен появиться в перечне установленных программ. Удалите.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

Сообщите решена ли проблема.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От twiceage
      Запускаю KVRT.exe ставлю 2 галочки, нажимаю кнопку "Начать проверку", но кроме анимации нажатия кнопки ничего не происходит.
    • От toxa6
      Добрый день! KVRT не реагирует на клавишу "Запустить", даже в безопасном режиме. Обычный антивирус Касперского даже не устанавливается.
      После сканирования Dr.Web CureIt было найдено два десятка угроз, которые были удалены. Однако это не принесло результата. KVRT по прежнему не работает, антивирус не устанавливается.
      CollectionLog-2020.11.08-23.16.zip
    • От altro
      Здравствуйте.
       
      Как выгрузить отчет проверки KVRT в любом формате, но предпочтительно CSV? После проверки найдено много зараженных файлов, нужно сохранить куда-нибудь список, какой файл и чем был инфицирован, но нигде в интерфейсе не могу найти возможность экспорта. Даже Ctrl C работает только по одной строке, а там около 8 тысяч записей. Нужен полный список.
    • От irmiden
      В RVRT есть анимация нажатия кнопки начать сканирование, но ничего не происходит, так же пробовал это делать из безопасного режима, система win 10 x64
    • От Mikhail_Absorber
      Добрый день!
      Возникает проблема с бесконечным сканированием, когда запускаю KVRT.
      На скриншоте - пример, на самом деле проверка System Memory продолжалась более 12 часов, и никуда не сдвинулась. Более того, когда пытаюсь завершить проверку - программа просто зависает.
      Подскажите, пожалуйста, в чем может быть проблема.


×
×
  • Создать...