-
помогите
[COLOR=#333333]При сканировании avz обнаруживает множественные перехваты фунций,маскировки процессов (подмены PID),подмену машинного кода. AVZ функции перехватывает. Другой перехватчик avz не определяет. После перезагрузки та же картина. В avz во вкладке сервис/модули пространства ядра присутствует дрйвер, который постоянно меняет название(примеры:axalwufp.SYS,anyn8ufa.SYS,axa80od h.SYS,arwta817.SYS, ajody11X.SYS и т.д.). В паке C:\Windows\System32\Drivers\ ни одного из этих драйверов не видно. В инете информацию об этих драйверах не нашeл. Кроме того Hitman обнаруживает присутствие "невидимого" драйвера жёсткого диска(IRP_MJ_SCSI kernel-mode hook на atapi.sys) плюс пропал рабочий стол пишет завершена работа проводник в рестре все окей [/COLOR]
-
Уважаемый(ая) [B]Алэкс[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
-
Здравствуйте,
Выполните правила форума, приложите необходимые логи.
-
Вложений: 1
вот логи
[QUOTE=SQ;1423412]Здравствуйте,
Выполните правила форума, приложите необходимые логи.[/QUOTE]
вот логи собраннь\е програмой
-
Здравствуйте,
Сами ставили hit malware?
HiJackThis (из каталога автологгера) [URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[CODE]
O4 - MSConfig\startupreg: [vpbehdboah] :explorer "http://etkalon.ru/?utm_source=uoua03&utm_content=cf9148732163c242548d9f8a5d025f8b&utm_term=94C8C58972A3FDB75B71CF666D0C4F32&utm_d=20160825" (2016/12/30)
O4 - MSConfig\startupreg: [{AC948AD4-DFDD-4ED8-AAFE-318C31EF1DD4}] "C:\Users\саня\Downloads\APKToWin10M.exe" /cmdloc "HKCU\Software\Antonio de la Iglesia AiTemp\{AC948AD4-DFDD-4ED8-AAFE-318C31EF1DD4}" (2016/12/30)
O22 - ScheduledTask: (Ready) ForceUpdater1 - {root} - C:\Users\саня\AppData\Roaming\ForceUpdater1\python\pythonw.exe update.pyc
[/CODE]
Удалите ярлык[CODE]
"C:\Users\саня\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk"
[/CODE]
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\саня\Downloads\APKToWin10M.exe','');
QuarantineFile('C:\Users\саня\Desktop\myAC\acdev.sys','');
QuarantineFile('C:\Windows\TEMP\DPTF\dptf_wwanproxy.dll','');
QuarantineFile('C:\Windows\TEMP\DPTF\dptf_pnmwlanproxy.dll','');
QuarantineFile('c:\program files\hit malware\1.0\weskyavd.exe','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vpbehdboah','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{AC948AD4-DFDD-4ED8-AAFE-318C31EF1DD4}','command');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.
-
после вь\полнения скрипта в avz всё начало дико виснуть exe файль\ не открь\ваються мой компьютер и папки не аткрь\ваеться что сделал этот скрипт?.
-
[QUOTE=Алэкс;1423749]после вь\полнения скрипта в avz всё начало дико виснуть exe файль\ не открь\ваються мой компьютер и папки не аткрь\ваеться что сделал этот скрипт?.[/QUOTE]
- В скрипте AVZ взяты в карантин некоторые файлы, также убраны с автозагрузки два приложения.
- Уточните пожалуйста в безопасном режиме также все виснет?
- По каким причинам не приложили карантин и лог утилиты AdwCleaner?
-
после перезагрузки пк я не могу запускать многие програмь\ и успел сделать сбор логов только AdwCleaner
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
короче думаю мне нужно просто переустановить винду и не париться со всем этим
-
Пробуйте тогда новые логи по правилам.
-
Вложений: 1
логи adwcleaer
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
после сканирования avz появляется рабочий стол
-
[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
-
Вложений: 1
-
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
-
Вложений: 2
-
Удалите следующее ПО через установку программ в панели управления:
[CODE]
DLL Suite (HKLM\...\DLL Suite 9.0.0.13) (Version: - )
DLL Suite 9.0 (HKLM\...\{E557052E-9828-40E4-BFF6-311D3E89DB81}_is1) (Version: 9.0.0.0 - )
Dll-Files Fixer (HKLM\...\Dll-Files Fixer_is1) (Version: 1.0 - Dll-Files.com)
DLL-Files.com Client (HKLM\...\DA71BA65-680A-4212-9150-6239217B53DC_DLL-Files.c~79141F26_is1) (Version: 2.1.1000.4462 - DLL-Files.com Client)
DriverPack Notifier (HKLM\...\DriverPack Notifier) (Version: 2.2.1 - DriverPack Solution)
[/CODE]
[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [DriverPack Notifier] => C:\Program Files\DriverPack Notifier\DriverPackNotifier.exe [258560 2015-12-18] ()
HKLM\...\Run: [DLLSuite2016] => C:\Program Files\DLL Suite\DLLSuite.exe [2008592 2016-12-08] (VskSoft)
HKU\S-1-5-21-3702209746-1957629629-1609204281-1000\...\Winlogon: [Shell] C:\Windows\explorer.exe [2616320 2011-02-25] (Microsoft Corporation) <==== ATTENTION
Startup: C:\Users\саня\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\avz.exe.lnk [2017-01-04]
ShortcutTarget: avz.exe.lnk -> C:\Users\саня\Downloads\avz4\avz44\avz.exe (Лаборатория Касперского, 2007-2015)
FF Extension: (The Safe Surfing) - C:\Users\саня\AppData\Roaming\Mozilla\Firefox\Profiles\8r5cixnm.default\Extensions\{3B4DE07A-DE43-4DBC-873F-05835FF67DCE} [2016-09-07] [not signed]
FF Extension: (No Name) - C:\Users\саня\AppData\Roaming\Mozilla\Firefox\Profiles\8r5cixnm.default\extensions\[email protected] [not found]
FF Extension: (No Name) - C:\Users\саня\AppData\Roaming\Mozilla\Firefox\Profiles\8r5cixnm.default\extensions\[email protected] [not found]
FF Extension: (The Safe Surfing) - C:\Users\саня\AppData\Roaming\Profiles\w5irw688.default\Extensions\{3B4DE07A-DE43-4DBC-873F-05835FF67DCE} [2016-09-07] [not signed]
CHR Extension: (Tampermonkey) - C:\Users\саня\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-08-26]
CHR Extension: (The Safe Surfing) - C:\Users\саня\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-09-07]
OPR Extension: (The Safe Surfing) - C:\Users\саня\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-09-07]
File: C:\Users\саня\AppData\Roaming\SafeWeb.exe.sha1
File: C:\Users\саня\AppData\Roaming\SafeWeb.exe
2016-12-27 18:14 - 2016-12-27 18:14 - 00000000 ____D C:\Users\саня\AppData\Roaming\DRPNPS
Folder: C:\Users\саня\AppData\Local\IIIQF
2016-12-28 11:44 - 2016-08-06 17:14 - 00000000 ____D C:\Users\саня\AppData\Roaming\DRPSu
File: C:\Users\саня\AppData\Roaming\flprx.exe
File: C:\Users\саня\AppData\Roaming\wtsn.exe
File: C:\Users\саня\AppData\Roaming\flprx.exe
File: C:\Users\саня\AppData\Roaming\flprx.exe.sha1
File: C:\Users\саня\AppData\Roaming\gprx.exe
File: C:\Users\саня\AppData\Roaming\gprx.exe.sha1
File: C:\Users\саня\AppData\Roaming\SafeWeb.exe
File: C:\Users\саня\AppData\Roaming\SafeWeb.exe.sha1
File: C:\Users\саня\AppData\Roaming\sprx.exe
File: C:\Users\саня\AppData\Roaming\sprx.exe.sha1
File: C:\Users\саня\AppData\Roaming\wtsn.exe
File: C:\Users\саня\AppData\Roaming\wtsn.exe.sha1
2016-08-06 17:35 - 2016-08-06 17:35 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
C:\Users\саня\AppData\Local\Temp\libeay32.dll
C:\Users\саня\AppData\Local\Temp\msvcr120.dll
C:\Users\саня\AppData\Local\Temp\Setup-yabrowser.exe
C:\Users\саня\AppData\Local\Temp\sqlite-3.8.11.2-140a25ed-d093-4772-ac6c-9003a4609e29-sqlitejdbc.dll
C:\Users\саня\AppData\Local\Temp\sqlite-3.8.11.2-24962138-7e5a-40e3-9b0c-c8516b71b47b-sqlitejdbc.dll
C:\Users\саня\AppData\Local\Temp\sqlite3.dll
C:\Users\саня\AppData\Local\Temp\utt6C44.tmp.exe
C:\Users\саня\AppData\Local\Temp\utt7D75.tmp.exe
C:\Users\саня\AppData\Local\Temp\YandexWorking.exe
C:\Users\саня\AppData\Local\Temp\yupdate-exec-yabrowser.exe
Task: {6D0EF365-96D5-4F2B-A4E4-83F827D3CE18} - \Phoenix Browser Updater -> No File <==== ATTENTION
Task: {788B8390-9AAB-445D-BA63-58E924D97B96} - System32\Tasks\DLL-Files.Com Fixer_Updates => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe [2014-03-01] (Dll-FIles.Com)
Task: {7F6ACE51-647F-46C0-988F-B6F24DFA10EC} - System32\Tasks\DLL-Files.Com Fixer_MONTHLY => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe [2014-03-01] (Dll-FIles.Com)
Task: {A12AB18C-2406-4922-9E44-4C7350DB3E26} - \b2929b72a96a471893ecaa9c51368bae -> No File <==== ATTENTION
Task: {F2A0C207-3087-4046-AF02-537E14AEE36B} - System32\Tasks\ForceUpdater1 => C:\Users\саня\AppData\Roaming\ForceUpdater1\python\pythonw.exe [2015-12-05] ()
Task: {FB519262-C10F-4D2B-A275-4AEC604A18A1} - \Anaqeght Builder -> No File <==== ATTENTION
Task: {FBC42807-5C43-491F-A54E-83AD77EFDB70} - \Garena+ Plugin Host Service -> No File <==== ATTENTION
Task: C:\Windows\Tasks\DLL-Files.Com Fixer_MONTHLY.job => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe
Task: C:\Windows\Tasks\DLL-Files.Com Fixer_Updates.job => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe
MSCONFIG\startupreg: vpbehdboah =>
MSCONFIG\startupreg: {AC948AD4-DFDD-4ED8-AAFE-318C31EF1DD4} =>
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Обратите внимание на следующие системные события, похоже на аппаратные проблемы с диском (hdd)
[CODE]
Error: (01/06/2017 08:04:08 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.
Error: (01/06/2017 08:04:05 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.
Error: (01/06/2017 08:04:01 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.
Error: (01/06/2017 08:03:58 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.
[/CODE]
-
Вложений: 1
воот
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
часто после перезагрузки слетает драйвер на видеокарту
-
[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
Zip: C:\Users\саня\AppData\Roaming\flprx.exe;C:\Users\саня\AppData\Roaming\wtsn.exe;C:\Users\саня\AppData\Roaming\flprx.exe;C:\Users\саня\AppData\Roaming\flprx.exe.sha1;C:\Users\саня\AppData\Roaming\gprx.exe;C:\Users\саня\AppData\Roaming\gprx.exe.sha1;C:\Users\саня\AppData\Roaming\SafeWeb.exe;C:\Users\саня\AppData\Roaming\SafeWeb.exe.sha1;C:\Users\саня\AppData\Roaming\sprx.exe;C:\Users\саня\AppData\Roaming\sprx.exe.sha1;C:\Users\саня\AppData\Roaming\wtsn.exe;C:\Users\саня\AppData\Roaming\wtsn.exe.sha1
C:\Users\саня\AppData\Roaming\flprx.exe
C:\Users\саня\AppData\Roaming\wtsn.exe
C:\Users\саня\AppData\Roaming\flprx.exe
C:\Users\саня\AppData\Roaming\flprx.exe.sha1
C:\Users\саня\AppData\Roaming\gprx.exe
C:\Users\саня\AppData\Roaming\gprx.exe.sha1
C:\Users\саня\AppData\Roaming\SafeWeb.exe
C:\Users\саня\AppData\Roaming\SafeWeb.exe.sha1
C:\Users\саня\AppData\Roaming\sprx.exe
C:\Users\саня\AppData\Roaming\sprx.exe.sha1
C:\Users\саня\AppData\Roaming\wtsn.exe
C:\Users\саня\AppData\Roaming\wtsn.exe.sha1
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Файл [B]Upload.zip[/B] (либо в следующем формате [B]<дата>_<время>.zip[/B]) с рабочего стола загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
-
Вложений: 1
логи
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
что я могу сделать против слетаюшчего дравера видеокарть\?
-
Проверьте создался ли на рабочем столе архив вида [B]Upload.zip[/B] (либо в следующем формате [B]<дата>_<время>.zip[/B]). загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[QUOTE=Алэкс;1424756]
что я могу сделать против слетаюшчего дравера видеокарть\?[/QUOTE]
Опишите по подробнее какие драйвера и что значит слетают?
-
одним словом драйвер на видеокарту просто неработает я его ставл но после перезагрузки пк он не работает
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
какой имено файл карантина нужен? у меня их три
-
[QUOTE=Алэкс;1424792]одним словом драйвер на видеокарту просто неработает я его ставл но после перезагрузки пк он не работает
[/QUOTE]
Возможно не тот драйвер устанавливаетесь.
[QUOTE=Алэкс;1424792]
какой имено файл карантина нужен? у меня их три[/QUOTE]
тот что на рабочем столе например следующего вида [B]07.01.2017-17.00.zip[/B]
-
[QUOTE=SQ;1424736][LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
Zip: C:\Users\саня\AppData\Roaming\flprx.exe;C:\Users\саня\AppData\Roaming\wtsn.exe;C:\Users\саня\AppData\Roaming\flprx.exe;C:\Users\саня\AppData\Roaming\flprx.exe.sha1;C:\Users\саня\AppData\Roaming\gprx.exe;C:\Users\саня\AppData\Roaming\gprx.exe.sha1;C:\Users\саня\AppData\Roaming\SafeWeb.exe;C:\Users\саня\AppData\Roaming\SafeWeb.exe.sha1;C:\Users\саня\AppData\Roaming\sprx.exe;C:\Users\саня\AppData\Roaming\sprx.exe.sha1;C:\Users\саня\AppData\Roaming\wtsn.exe;C:\Users\саня\AppData\Roaming\wtsn.exe.sha1
C:\Users\саня\AppData\Roaming\flprx.exe
C:\Users\саня\AppData\Roaming\wtsn.exe
C:\Users\саня\AppData\Roaming\flprx.exe
C:\Users\саня\AppData\Roaming\flprx.exe.sha1
C:\Users\саня\AppData\Roaming\gprx.exe
C:\Users\саня\AppData\Roaming\gprx.exe.sha1
C:\Users\саня\AppData\Roaming\SafeWeb.exe
C:\Users\саня\AppData\Roaming\SafeWeb.exe.sha1
C:\Users\саня\AppData\Roaming\sprx.exe
C:\Users\саня\AppData\Roaming\sprx.exe.sha1
C:\Users\саня\AppData\Roaming\wtsn.exe
C:\Users\саня\AppData\Roaming\wtsn.exe.sha1
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Файл [B]Upload.zip[/B] (либо в следующем формате [B]<дата>_<время>.zip[/B]) с рабочего стола загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.[/QUOTE]
после этого скрипта перестал проподать рабочий стол после перезагрузки
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
у меня три таких файла создалась и все почти с одинаковь\м названием и с разнь\ми файлами
-
[QUOTE=Алэкс;1425067]
у меня три таких файла создалась и все почти с одинаковь\м названием и с разнь\ми файлами[/QUOTE]
По подробнее пожалуйста где, как и когда?
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/URL]
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \07.01.2017_13.54.06.zip - [B]not-a-virus:AdWare.Win32.Agent.kczz[/B][/LIST][/LIST]
Page generated in 0.00011 seconds with 10 queries