-
Junior Member
- Вес репутации
- 45
падение программ appcrash StackHash
Добрый вечер.
Утром при включении ноут перезагрузился, затем началось падение всех програм.
appcrash в модуле StackHash
днем провел проверку касперским.
затем касперским диск что то там, было выявленокучу всего и затерто, но проблема осталась.
win7
логи прикладываю.
заранее спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) zorkiy, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Windows\system32\hjbjuij.dll','');
DeleteFile('C:\Windows\system32\hjbjuij.dll');
QuarantineFile('C:\Users\vgrishin\AppData\Roaming\netprotocol.exe','');
DeleteFile('C:\Users\vgrishin\AppData\Roaming\netprotocol.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 45
папка карантин пуста
логи новые делались в этот раз дольше, без безопасного режима наблюдается заторможенность системы
и после перезагрузки появилось непонятное сообщение об ошибке (так же прикладываю.)
основная проблема решилась огромное спасибо.
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Windows\system32\machineupdate32.exe','');
DeleteFile('C:\Windows\system32\machineupdate32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows De-bugger 32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 45
скрипт выполнил
карантин приложил
логи новые снял
ошибка при перезагрузке осталась
-
Junior Member
- Вес репутации
- 45
up
-
Удалите в МВАМ только указанные ниже записи
Код:
Обнаруженные ключи в реестре: 1
HKCU\Software\winxarj (Hoax.ArchSMS) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: жеAD`В“яѓ¬Ц‡зы+єRQv\PёpOбq”[;[hСл=? 1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”I№ў —њapю9'™Xf5У•µ™†1MZЕѓќ!1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”Gђ%Ы)н—Цp*–y°‹1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”КAВЬ2мдч -> Действие не было предпринято.
Обнаруженные папки: 1
C:\Users\vgrishin\AppData\Roaming\archsoft (Trojan.Agent) -> Действие не было предпринято.
Обнаруженные файлы: 33
C:\Users\vgrishin\AppData\Local\Temp\0.025424762247548083.exe (Exploit.Drop.2) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\rubashka.css (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\archstart.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\dir.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\dot.gif (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\foot.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\htmlayout.dll (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\logo.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\logo2.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\sb-h-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\sb-h-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\sb-scroll-back.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\sb-scroll-base.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\sb-scroll-slider.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\sb-v-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\sb-v-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\scroll.css (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\wfont.ttf (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\_todel.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\_todel2.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\_todel3.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\_todel4.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\_todel5.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\_todel6.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\archsoft\_todel7.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\vgrishin\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 45
выполнил, ошибка при перезагрузке осталась. =(
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 45
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск С.
Код:
KillAll::
File::
c:\windows\SysWow64\558B.tmp
Driver::
Folder::
C:\tIumgEZnhqulGSd
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 45
-
Junior Member
- Вес репутации
- 45
нужно еще собирать какие нибудь логи или можно начинать удаление установленных инструментов?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 45
Сообщение от
thyrex
Лог прислали старый
Оо не могу новый найти, еще раз проводить сканирование со скриптом или достаточно просто сканирования для получения нового лога?
-
Просто запустите Combofix еще раз
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 45
-
c:\windows\SysWow64\558B.tmp удалите вручную
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 45
проблема решилассь при перезагрузке ошибок нет, есть легкое подтупливание системы при включении, возможно стоит почистить автозапуск, но потом как буд-то раскочегаривается и нормально.
смущает еще наличие процессов conhost.exe 5 штук.
и куча svhost пождирающих память
Добавлено через 3 часа 49 минут
up
Последний раз редактировалось zorkiy; 30.01.2012 в 21:19.
Причина: Добавлено