Здравствуйте. ДВД привод перестал определяться даже в диспетчере устройств. В БИОСе он есть, грузился с флэшки в ВинПЕ(7) - работает отлично.
Printable View
Здравствуйте. ДВД привод перестал определяться даже в диспетчере устройств. В БИОСе он есть, грузился с флэшки в ВинПЕ(7) - работает отлично.
Уважаемый(ая) [B]drosophila[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте,
[QUOTE]Протокол антивирусной утилиты AVZ версии 4.43[/QUOTE]
Переделайте логи утилитой AVZ версии 4.45
[QUOTE]>>> Подозрение на маскировку ключа реестра службы\драйвера "hyixad"[/QUOTE]
- Покажите лог [URL="http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe"]TDSSKiller[/URL]
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
Здравствуйте. Проделал Ваши рекомендации, пока без изменений.
[QUOTE]10:45:52.0640 0x0e70 Suspicious service (NoAccess): hyixad[/QUOTE]
Сделайте лог [url="http://virusinfo.info/showthread.php?t=40118"]gmer[/url]
Увы, при попытке сканировать с отмеченным системным разделом компьютер уходит в BSOD (stop:0x0000000A(0x00000005,0xD0000002,....). Прикрепляю архив с минидампом.
Aнтивирус выгружали?
Если нет, то выгрузите его и попробуйте еще раз сделать лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer [/URL]
антивирусник не стоит. В процессах есть MsMpEng.exe может ли он мешать? В безопасном режиме сканируется нормально, но лог не сохраняется.
Возможно.
Важно: Перед выполнением следующих инструкции завершите все открытые приложения.
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\hyixad');
RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\hyixad\Parameters');
QuarantineFile(RegKeyStrParamRead('HKLM','SYSTEM\CurrentControlSet\Services\hyixad\Parameters','ServiceDll'),'');
BC_ImportQuarantineList;
BC_Activate;
end.
[/CODE]
После выполнения скрипта сервер перезагрузите вручную.
После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
- Сделайте повторные логи AVZ , выполнить только 2-й стандартный скрипт в AVZ.(virusinfo_syscheck.zip).
извиняюсь. Невнимательно прочитал рекомендации и отправил изначально не тот карантин. Исправился, добавляю лог.
Странное поведение не нахожу в логе информацию о
[QUOTE]службы\драйвера "hyixad"[/QUOTE]
- Покажите новый лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
напрягает MsMpEng.exe: я завершаю процесс, а он секунд через 10 снова запускается (хотя может быть это и нормально)
Уточните пожалуйста в реестре есть ли следующая ветка:
[CODE]HKLM\SYSTEM\CurrentControlSet\Services\hyixad[/CODE]
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
Да ветка в реестре есть и в ней много строчек разных.
У Вас установлена какая-то ограничевающая политика на сервере?
[CODE]
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
[/CODE]
Знакома ли Вам следующее ПО:
[CODE]
2014-03-04 15:23 - 2014-03-04 15:23 - 0087608 _____ () C:\Documents and Settings\Администратор\Application Data\inst.exe
2014-03-04 15:23 - 2014-03-04 15:23 - 0007887 _____ () C:\Documents and Settings\Администратор\Application Data\pcouffin.cat
2014-03-04 15:23 - 2014-03-04 15:23 - 0001144 _____ () C:\Documents and Settings\Администратор\Application Data\pcouffin.inf
2014-03-04 15:23 - 2014-03-04 15:23 - 0000055 _____ () C:\Documents and Settings\Администратор\Application Data\pcouffin.log
2014-03-04 15:23 - 2014-03-04 15:23 - 0047360 _____ (VSO Software) C:\Documents and Settings\Администратор\Application Data\pcouffin.sys
[/CODE]
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
HKLM\...\Command Processor: <======= ATTENTION
SearchScopes: HKU\S-1-5-21-3736770051-2710713494-3255328876-500 -> {3E0C9769-C75E-4D54-9BA8-ACE7DDE006DD6B4} URL = hxxp://startru.net/?q={searchTerms}&utm_medium=ise&utm_source=op&utm_campaign=bp&utm_content=11-04
Toolbar: HKU\S-1-5-21-3736770051-2710713494-3255328876-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKU\S-1-5-21-3736770051-2710713494-3255328876-500 -> No Name - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - No File
FF Plugin: @real.com/nppl3260;version=6.0.12.69 -> Z:\Media Convert Master\codec\real\browser\plugins\nppl3260.dll [No File]
FF Plugin: @real.com/nprpjplug;version=6.0.12.69 -> Z:\Media Convert Master\codec\real\browser\plugins\nprpjplug.dll [No File]
NETSVC: txjspsrt -> no filepath.
NETSVC: qideolcuu -> no filepath.
NETSVC: hxvepet -> no filepath.
NETSVC: vndklram -> no filepath.
NETSVC: azzhs -> no filepath.
NETSVC: wnkcmw -> no filepath.
NETSVC: jtqpz -> no filepath.
NETSVC: huwpqupjs -> no filepath.
NETSVC: qfukhcihg -> no filepath.
NETSVC: hyixad -> no filepath.
2013-10-28 11:47 - 2013-10-28 11:47 - 0000006 _____ () C:\Documents and Settings\Администратор\Application Data\smw_inst
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KernelFaultCheck]
StandardProfile\GloballyOpenPorts: [4659:TCP] => Enabled:mnfzke
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*][B]Перегрузите[/B] сервер по завершению выполнения фикса..[/LIST]
У Вас установлена какая-то ограничевающая политика на сервере?
[CODE]
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
[/CODE]
Сервер, как таковой отсутствует. Ограничивающих политик быть не должно. Подозрительное ПО мне не знакомо, но как с ним распрощаться если его нет в "установка и удаление программ".
[QUOTE=drosophila;1354473]
Сервер, как таковой отсутствует. Ограничивающих политик быть не должно. Подозрительное ПО мне не знакомо, но как с ним распрощаться если его нет в "установка и удаление программ".[/QUOTE]
Соберите новые логи FRST.
вот новые логи
Перед выполнением завершите все открытые приложения.
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3736770051-2710713494-3255328876-500\...\MountPoints2: {2e313563-43ea-11e0-bb74-001d928aacbf} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-3736770051-2710713494-3255328876-500\...\MountPoints2: {371c3964-84f7-11e0-8200-001d928aacbf} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-3736770051-2710713494-3255328876-500\...\MountPoints2: {a8e7cebc-db3d-11df-a7e4-001d928aacbf} - G:\zivotdalje/samoidi.exe
HKU\S-1-5-21-3736770051-2710713494-3255328876-500\...\Winlogon: [Shell] C:\WINDOWS\explorer.exe [1054208 2007-03-15] (Microsoft Corporation) <==== ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
Winsock: Catalog5 03 C:\WINDOWS\system32\mswsock.dll [258048 2007-03-15] (Microsoft Corporation)ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
cmd: netsh winsock reset
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*] Перегрузите Ваш сервер вручную.[*] обратите внимание на то, что присутстуют ошибки LSP/SPI настройках Windows и в скрипте установлен сброс настроек winsock.[/LIST]
После выполнения скрипта FRST сам перезагрузил компьютер