падение программ appcrash StackHash

[zorkiy]

Добрый вечер.
Утром при включении ноут перезагрузился, затем началось падение всех програм.
appcrash в модуле StackHash
днем провел проверку касперским.
затем касперским диск что то там, было выявленокучу всего и затерто, но проблема осталась.
win7
логи прикладываю.
заранее спасибо.

[Info_bot]

Уважаемый(ая) zorkiy, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Windows\system32\hjbjuij.dll','');
DeleteFile('C:\Windows\system32\hjbjuij.dll');
 QuarantineFile('C:\Users\vgrishin\AppData\Roaming\netprotocol.exe','');
 DeleteFile('C:\Users\vgrishin\AppData\Roaming\netprotocol.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[zorkiy]

папка карантин пуста
логи новые делались в этот раз дольше, без безопасного режима наблюдается заторможенность системы
и после перезагрузки появилось непонятное сообщение об ошибке (так же прикладываю.)
основная проблема решилась огромное спасибо.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Windows\system32\machineupdate32.exe','');
 DeleteFile('C:\Windows\system32\machineupdate32.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows De-bugger 32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[zorkiy]

скрипт выполнил
карантин приложил
логи новые снял
ошибка при перезагрузке осталась

[zorkiy]

up

[thyrex]

Удалите в МВАМ только указанные ниже записи

Код:

Обнаруженные ключи в реестре:  1
HKCU\Software\winxarj (Hoax.ArchSMS) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: жеAD`В“яѓ¬Ц‡зы+єRQv\PёpOбq”[;[hСл=? 1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”I№ў —њapю9'™Xf5У•µ™†1MZЕѓќ!1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”Gђ%Ы)н—Цp*–y°‹1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”КAВЬ2мдч -> Действие не было предпринято.

Обнаруженные папки:  1
C:\Users\vgrishin\AppData\Roaming\archsoft (Trojan.Agent) -> Действие не было предпринято.

Обнаруженные файлы:  33
C:\Users\vgrishin\AppData\Local\Temp\0.025424762247548083.exe (Exploit.Drop.2) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\rubashka.css (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\archstart.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\dir.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\dot.gif (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\foot.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\htmlayout.dll (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\logo.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\logo2.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\sb-h-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\sb-h-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\sb-scroll-back.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\sb-scroll-base.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\sb-scroll-slider.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\sb-v-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\sb-v-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\scroll.css (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\wfont.ttf (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\_todel.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\_todel2.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\_todel3.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\_todel4.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\_todel5.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\_todel6.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\_todel7.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.

[zorkiy]

выполнил, ошибка при перезагрузке осталась. =(

[thyrex]

Сделайте лог ComboFix

[zorkiy]

сделал

[thyrex]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск С.

Код:

KillAll::

File::
c:\windows\SysWow64\558B.tmp

Driver::

Folder::
C:\tIumgEZnhqulGSd

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[zorkiy]

выполнил
ошибка пропала

[zorkiy]

нужно еще собирать какие нибудь логи или можно начинать удаление установленных инструментов?

[thyrex]

Лог прислали старый

[zorkiy]

Лог прислали старый

Оо не могу новый найти, еще раз проводить сканирование со скриптом или достаточно просто сканирования для получения нового лога?

[thyrex]

Просто запустите Combofix еще раз

[zorkiy]

выполнил

[thyrex]

c:\windows\SysWow64\558B.tmp удалите вручную

Что с проблемой?

[zorkiy]

проблема решилассь при перезагрузке ошибок нет, есть легкое подтупливание системы при включении, возможно стоит почистить автозапуск, но потом как буд-то раскочегаривается и нормально.
смущает еще наличие процессов conhost.exe 5 штук.
и куча svhost пождирающих память

Добавлено через 3 часа 49 минут

up