Здравствуйте.
Не переключается язык на клавиатуре.Не выключается компьютер и не перезагружается (при попытке сделать это выскакивает синий экран).Частые разрывы соединения интернет.
Утилитой dr.web cureit нашёл вредоносные файлы,но при их удалении ( и даже удалении из карантина) комп выключается.
При следующей проверке та же история.
Заранее спасибо.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) stepan063, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin TerminateProcessByName('c:\windows\syswow64\windows services\svchost.exe'); TerminateProcessByName('c:\users\user\appdata\local\temp\stolypin.exe'); TerminateProcessByName('c:\program files (x86)\smtp service\smtpsv.exe'); TerminateProcessByName('c:\windows\smss.exe'); QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8c1ac1cac441720524db3bdc136099c1.exe', ''); QuarantineFile('c:\windows\syswow64\windows services\svchost.exe', ''); QuarantineFile('c:\users\user\appdata\local\temp\stolypin.exe', ''); QuarantineFile('c:\program files (x86)\smtp service\smtpsv.exe', ''); QuarantineFile('c:\windows\smss.exe', ''); QuarantineFileF('c:\windows\syswow64\windows services', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0); QuarantineFileF('c:\program files (x86)\smtp service', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0); DeleteFile('c:\windows\smss.exe', '32'); DeleteFile('c:\program files (x86)\smtp service\smtpsv.exe', '32'); DeleteFile('c:\users\user\appdata\local\temp\stolypin.exe', '32'); DeleteFile('c:\windows\syswow64\windows services\svchost.exe', '32'); DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8c1ac1cac441720524db3bdc136099c1.exe', '32'); DeleteFileMask('c:\program files (x86)\smtp service', '*', true); DeleteFileMask('c:\windows\syswow64\windows services', '*', true); DeleteDirectory('c:\program files (x86)\smtp service'); DeleteDirectory('c:\windows\syswow64\windows services'); ExecuteSysClean; ExecuteWizard('SCU',2,2,true); ExecuteRepair(10); ExecuteRepair(22); ExecuteRepair(9); RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Обновите базы AVZ ("Файл" -> "Обновление баз"), выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
WBR,
Vadim
файл карантина отправлен
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin QuarantineFile('C:\Windows\system32\Google Updater\updater.exe', ''); QuarantineFileF('C:\Windows\system32\Google Updater', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0); DeleteFile('C:\Windows\system32\Google Updater\updater.exe', '32'); DeleteFileMask('C:\Windows\system32\Google Updater', '*', true); DeleteDirectory(C:\Windows\system32\Google Updater''); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SMTP Service'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Google'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\5cd8f17f4086744065eb0992a09e05a2', 'command'); ExecuteSysClean; ExecuteRepair(9); ExecuteWizard('TSW', 2, 2, true); RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
WBR,
Vadim
При попытке выполнить первый скрипт выскакивает сообщение об ошибке : )expected в позиции 6:19 .
Это происходит вот на этом шаге : DeleteDirectory(C:\Windows\system32\Google Updater'')
Выполняйте:Отправьте карантин.Код:begin QuarantineFile('C:\Windows\system32\Google Updater\updater.exe', ''); QuarantineFileF('C:\Windows\system32\Google Updater', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0); DeleteFile('C:\Windows\system32\Google Updater\updater.exe', '32'); DeleteFileMask('C:\Windows\system32\Google Updater', '*', true); DeleteDirectory('C:\Windows\system32\Google Updater'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SMTP Service'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Google'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\5cd8f17f4086744065eb0992a09e05a2', 'command'); ExecuteSysClean; ExecuteRepair(9); ExecuteWizard('TSW', 2, 2, true); RebootWindows(true); end.
И лог FRST далее.
WBR,
Vadim
файл карантина отправлен
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Код:CloseProcesses: CreateRestorePoint: HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,C:\Windows\system32\Google Updater\updater.exe HKU\S-1-5-21-2953308322-3552214542-3279755546-1001\...\Winlogon: [Shell] explorer.exe,"C:\Windows\SysWOW64\Windows Services\svchost.exe" <==== ATTENTION IFEO\AvastSvc.exe: [Debugger] nqij.exe IFEO\AvastUI.exe: [Debugger] nqij.exe IFEO\avcenter.exe: [Debugger] nqij.exe IFEO\avconfig.exe: [Debugger] nqij.exe IFEO\avgcsrvx.exe: [Debugger] nqij.exe IFEO\avgidsagent.exe: [Debugger] nqij.exe IFEO\avgnt.exe: [Debugger] nqij.exe IFEO\avgrsx.exe: [Debugger] nqij.exe IFEO\avguard.exe: [Debugger] nqij.exe IFEO\avgui.exe: [Debugger] nqij.exe IFEO\avgwdsvc.exe: [Debugger] nqij.exe IFEO\avp.exe: [Debugger] nqij.exe IFEO\avscan.exe: [Debugger] nqij.exe IFEO\bdagent.exe: [Debugger] nqij.exe IFEO\blindman.exe: [Debugger] nqij.exe IFEO\ccuac.exe: [Debugger] nqij.exe IFEO\ComboFix.exe: [Debugger] nqij.exe IFEO\egui.exe: [Debugger] nqij.exe IFEO\hijackthis.exe: [Debugger] nqij.exe IFEO\instup.exe: [Debugger] nqij.exe IFEO\keyscrambler.exe: [Debugger] nqij.exe IFEO\mbam.exe: [Debugger] nqij.exe IFEO\mbamgui.exe: [Debugger] nqij.exe IFEO\mbampt.exe: [Debugger] nqij.exe IFEO\mbamscheduler.exe: [Debugger] nqij.exe IFEO\mbamservice.exe: [Debugger] nqij.exe IFEO\MpCmdRun.exe: [Debugger] nqij.exe IFEO\MSASCui.exe: [Debugger] nqij.exe IFEO\MsMpEng.exe: [Debugger] nqij.exe IFEO\msseces.exe: [Debugger] nqij.exe IFEO\rstrui.exe: [Debugger] nqij.exe IFEO\SDFiles.exe: [Debugger] nqij.exe IFEO\SDMain.exe: [Debugger] nqij.exe IFEO\SDWinSec.exe: [Debugger] nqij.exe IFEO\spybotsd.exe: [Debugger] nqij.exe IFEO\wireshark.exe: [Debugger] nqij.exe IFEO\zlclient.exe: [Debugger] nqij.exe HKU\S-1-5-21-2953308322-3552214542-3279755546-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://mail.ru/cnt/10445?gp=newcustom3 SearchScopes: HKU\S-1-5-21-2953308322-3552214542-3279755546-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=newcustom3 CHR HKLM-x32\...\Chrome\Extension: [lpoimibckejjdjcfbdnajaicnklhfplh] - hxxps://chrome.google.com/webstore/detail/lpoimibckejjdjcfbdnajaicnklhfplh CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx <not found> 2016-01-13 04:06 - 2016-01-13 04:06 - 00674304 _____ (Microsoft Corp.) C:\Users\User\AppData\Roaming\cc.exe 2016-01-13 03:59 - 2016-01-13 03:59 - 00099328 _____ C:\Windows\Updater.exe Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^User^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^5cd8f17f4086744065eb0992a09e05a2.exe" /f EmptyTemp: Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
У Вас там Kaspersky Internet Security 2013 в непонятном состоянии, в списке установленных отсутствует, драйвера и модули загружаются. Лучше удалите так или так.
WBR,
Vadim
Создал лог-файл потом удалил каспера.
Удалите папку C:\FRST со всем содержимым.
Теперь можно и другой антивирус устанавливать, Kaspersky Free, например.
Ка ситуация сейчас?
Последний раз редактировалось Vvvyg; 17.01.2016 в 19:02.
WBR,
Vadim
Синий экран пропал.Комп перезагружается и выключается нормально.
Но с клавой проблемы.Наверное это какая-то системная ошибка?
- - - - -Добавлено - - - - -
И Kaspersky Free не удаётся установить.Запускается установщик потом вылетает и тишина.
- - - - -Добавлено - - - - -
Запускаю kavremover и он опять обнаруживает Kaspersky Internet Security 2013.
Произвожу удаление,перезагружаюсь, запускаю kavremover опять обнаруживает Kaspersky Internet Security 2013.
Последний раз редактировалось stepan063; 17.01.2016 в 19:04.
Бывает при удалениии продуктов Касперского. Попробуйте рекомендации.Сообщение от stepan063
WBR,
Vadim
Но получается,что KIS 2013 не удалился?Синий экран пропал.Комп перезагружается и выключается нормально.
Но с клавой проблемы.Наверное это какая-то системная ошибка?
- - - - -Добавлено - - - - -
И Kaspersky Free не удаётся установить.Запускается установщик потом вылетает и тишина.
- - - - -Добавлено - - - - -
Запускаю kavremover и он опять обнаруживает Kaspersky Internet Security 2013.
Произвожу удаление,перезагружаюсь, запускаю kavremover опять обнаруживает Kaspersky Internet Security 2013.
Не полностью, похоже.
Если можете как-то работать на компьютере - Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
WBR,
Vadim
вот образ автозапуска
На месте KIS 2013. Попробуйте kavremover запустить, загрузив систему в безопасном режиме.
WBR,
Vadim
В безопасном запустил утилиту и удалил Kaspersky.
Запустил утилиту потом в обычном-опять видит KIS 2013.
Попробуйте такой вариант.
Нажмите Win-R, (или Пуск -> Выполнить), в открывшемся окне вставьте:и нажмите Ok. Должен запуститься штатный процесс деинсталляции KIS 2013.Код:MsiExec.exe /I{560985FB-4B76-4121-9189-7A2CDC7886D6} REMOVE=ALL
Кстати, припомните, не пытались его удалить с помощью Revo Uninstaller Pro? Похоже на то...
WBR,
Vadim
Да именно так и удалял.Кстати, припомните, не пытались его удалить с помощью Revo Uninstaller Pro? Похоже на то...
С помощью стандартного процесса деинсталляции KIS 2013 удалился.
Спасибо вам огромное.
- - - - -Добавлено - - - - -
Но вот Kaspersky Free не удаётся установить.
Уважаемый(ая) stepan063, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
