При подключении к интернету происходит перезагрузка, в защищённом режиме не перегружается.
При подключении к интернету происходит перезагрузка, в защищённом режиме не перегружается.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Dflz, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.Код:R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=31f66254c37b6f1041f85dab2a226a78&text={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=31f66254c37b6f1041f85dab2a226a78&text={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Search: [CustomizeSearch] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=31f66254c37b6f1041f85dab2a226a78&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search: [SearchAssistant] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=31f66254c37b6f1041f85dab2a226a78&text= R3 - HKCU: Default URLSearchHook is missing R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C} [URL,SuggestionsURL,SuggestionsURLFallback] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=31f66254c37b6f1041f85dab2a226a78&text={searchTerms} - >> R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3D} [URL,SuggestionsURL,SuggestionsURLFallback] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=31f66254c37b6f1041f85dab2a226a78&text= - >> R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} [SuggestionsURL] = http://suggests.go.mail.ru/ie8?q={SearchTerms} - Поиск@Mail.Ru R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} [URL] = http://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=blackbear2 - Поиск@Mail.Ru
Удалите McAfee Security Scan Plus, TuneUp Utilities 2013.
Сделайте лог Malwarebytes AdwCleaner.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
логи
Нужен отчёт ClearLink.
Несколько не до конца удалённых антивирусов.Avast Antivirus (включен и обновлен)
Microsoft Security Essentials (включен и обновлен)
COMODO Antivirus (выключен и устарел)
360 Total Security (отключен)
Это обновите, или удалите обязательно.Java 7 Update 67 v.7.0.670 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u152-windows-i586.exe).
Adobe Flash Player 24 NPAPI v.24.0.0.194 Внимание! Скачать обновления
Удалите остатки Avast! утилитой aswclear.exe в безопасном режиме.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
отчёт ClearLink.
- - - - -Добавлено - - - - -
удалён аваст, comodo, 360 Total..
при загрузке в защищённом режиме на заражённом компе получаю - Ошибка: Обнаружен вирус
загрузка на другом компе - без проблем
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!Код:CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION FF Extension: (Advanced SystemCare Surfing Protection) - C:\Users\ф\AppData\Roaming\Mozilla\Firefox\Profiles\ksfa0tjp.default\Extensions\[email protected] [2015-05-13] [Legacy] [not signed] FF Extension: (Edu App 1.0.1) - C:\Users\ф\AppData\Roaming\Mozilla\Firefox\Profiles\ksfa0tjp.default\Extensions\{6b823d22-283a-46a7-a88e-741fe70bb794}.xpi [2015-05-13] [Legacy] [not signed] FF Extension: (TSearch) - C:\Users\ф\AppData\Roaming\Mozilla\Firefox\Profiles\ksfa0tjp.default\Extensions\{6E727987-C8EA-44DA-8749-310C0FBE3C3E} [2015-05-13] [Legacy] [not signed] FF Extension: (Пульт) - C:\Users\ф\AppData\Roaming\Mozilla\Firefox\Profiles\ksfa0tjp.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2018-01-28] FF Extension: (Quick Searcher) - C:\Users\ф\AppData\Roaming\Mozilla\Firefox\Profiles\ksfa0tjp.default\Extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [2015-05-13] [Legacy] [not signed] CHR HKLM\...\Chrome\Extension: [mfmjpfoggikolkfilofbpgcnhdcgahib] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [pfjgibhmcgncmjhdodpaolfbjpjjajal] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-67798766-410731612-459328508-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx OPR Extension: (Quick Searcher) - C:\Users\ф\AppData\Roaming\Opera Software\Opera Stable\Extensions\eolegipcadlgmbpioaljgifleoaoiojc [2015-05-13] S3 45870FD1759C9C01; \??\c:\users\ф\appdata\local\temp\25FEBB05E9.sys [X] S3 ALSysIO; \??\C:\Users\Administrator\AppData\Local\Temp\ALSysIO.sys [X] U1 aswbdisk; no ImagePath S3 cpuz135; \??\C:\Users\Administrator\AppData\Local\Temp\cpuz135\cpuz135_x32.sys [X] S1 QMUdisk; \??\C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\QMUdisk.sys [X] 2018-03-20 09:53 - 2018-03-20 09:53 - 000000000 ____D C:\ProgramData\360safe 2018-03-18 21:23 - 2018-03-20 09:47 - 000000000 ____D C:\ProgramData\Comodo 2018-03-20 09:55 - 2015-05-18 00:17 - 000000000 ____D C:\Program Files\360 2018-03-20 09:51 - 2015-09-20 20:03 - 000000000 __SHD C:\$360Section 2018-03-20 09:50 - 2017-03-23 12:26 - 000000000 ____D C:\Program Files\Common Files\AV 2018-03-20 09:31 - 2013-09-07 17:29 - 000000000 ____D C:\Users\Все пользователи\AVAST Software 2018-03-20 09:31 - 2013-09-07 17:29 - 000000000 ____D C:\ProgramData\AVAST Software 2018-03-19 13:35 - 2015-05-13 18:53 - 000000000 ____D C:\ProgramData\IObit 2018-03-19 13:35 - 2015-05-13 18:53 - 000000000 ____D C:\Program Files\Common Files\IObit 2018-03-19 13:35 - 2015-05-13 18:52 - 000000000 ____D C:\Users\ф\AppData\Roaming\IObit 2015-05-13 18:50 - 2015-05-13 18:50 - 000000042 _____ () C:\Users\ф\AppData\Roaming\299A34260B2807 2015-05-13 18:50 - 2015-05-13 18:50 - 000000006 _____ () C:\Users\ф\AppData\Roaming\smw_inst Task: {3CF717EB-23DA-4CB1-9416-271898157E14} - \Программа онлайн-обновления Adobe. -> No File <==== ATTENTION Task: {4A6E08D6-DC0B-49DD-A01A-55AC5AC8AA16} - System32\Tasks\Avast Software\Overseer => C:\Program Files\AVAST Software\Avast1\setup\overseer.exe Task: {58F42109-02E4-4C13-94C2-FF7B859F8129} - System32\Tasks\{5190ACDF-3A9A-452E-A327-CAA6342A4439} => C:\Program Files\Google\Chrome\Application\chrome.exe Task: {80392FAD-2771-442F-A551-4EB3D612FB05} - System32\Tasks\{D09F3CC9-DCE5-4A49-85B1-941D21C113D8} => C:\Program Files\Google\Chrome\Application\chrome.exe Task: {8042D362-5D0C-46DA-9D07-E4DA33D665B2} - System32\Tasks\Avast Emergency Update => C:\Program Files\AVAST Software\Avast1\AvEmUpdate.exe Task: {D2D6637B-5E0C-4204-9DB3-98991A8FD285} - System32\Tasks\Java Update Scheduler => C:\Program Files\Common Files\Java\Java Update\jusched.exe MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk => C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
При загрузке в каком браузере вирус "находится"?
WBR,
Vadim
При загрузке в каком браузере вирус "находится"?
хром
запустил FRST в защищенном режиме с поддержкой сетевых драйверов
лог приложен.
увидев в логе такое
Error: Restore point can only be created in normal mode.
пробую запустить в нормальном режиме
на запуск ругается что нет прав.
попытка изменить права ни к чему не приводит...
но файл FRST.exe исчезает. на какое-то время в папке появляется какой-то батовский файл и пропадает.
переименовывал FRST.exe в xxx.exe - тот же эфект.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
WBR,
Vadim
как удалить загруженные файлы в прошедшие года?
Удалите вложения, относящиеся к самым старым темам.
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.Код:;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE del %SystemDrive%\PROGRAM FILES\PS.BAT delref %SystemDrive%\PROGRAM FILES\TUNEUP UTILITIES 2013\ONECLICK.EXE delref %SystemDrive%\USERS\Ф\DOWNLOADS\SETUP_OPENOCR_CUNEIFORM_RUS.EXE delref %SystemDrive%\PROGRAM FILES\360\TOTAL SECURITY\QHSAFEMAIN.EXE del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\DNS GAMES\ALAWAR.RU ФАБРИКА ИГР.LNK del %SystemDrive%\USERS\Ф\DESKTOP\AUSLOGICS REGISTRY CLEANER.LNK del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\CHEMBIOOFFICE 2014\DATABASE SUBSCRIPTIONS.LNK del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\DNS GAMES\ИГРЫ DNS.LNK del %SystemDrive%\USERS\Ф\DESKTOP\ОЧИСТКА ВРЕМЕННЫХ ФАЙЛОВ.LNK del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\DNS GAMES\УДАЛИТЬ ИГРЫ DNS.LNK del %SystemDrive%\PROGRAM FILES\WELCOMETOPUNTO.BAT apply deltmp
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/viruses/disinfection/5350.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
WBR,
Vadim
TDSSKiller файл отчета не создал. (угроз не обнаружено)
получил файл с помощью кнопки/меню отчёт
и копированием выведенного в файл txt
- - - - -Добавлено - - - - -
перезагрузка продолжается
- - - - -Добавлено - - - - -
работает до тех пор пока не воткнут сетевой кабель, при подключении кабеля - перезагрузка, как только происходит выход в инет.
когда стоял comodo и был режим у файрвола "полная блокировка" при подключении сетевого шнурка - не перегружался.
если сетевой шнур подключен к свиту , а сам свич по сети никуда не подключен - работает без перегрузки.
как можно отследить момент куда обращается?
Червь у вас по сети ходит, или удалённо подключаются. Надо искать в сети.
Брандмауэр Запущен? Смените пароли учёток Tim и Администратор.
WBR,
Vadim
как найти учету Tim?
в реестре её нет..
как можно вычислить сетевого червя?
Брандмауэр запущен.
в защищенном режиме не перегружается...
может ли в этом помочь "больной" комп?
- - - - -Добавлено - - - - -
для выяснения было проделано следующее
подключение напрямую к шнурку прова - работает
подключение через другой роутер только исследуемого компа - работает
подключение через другой роутер не только исследуемого компа (локальная сеть из 2 компов) - работает
подключение к прежнему роутеру, к которому подключён только "больной" комп, wan не подключён - перезагрузка.
причина начала лечения - перезагрузка при подключении к инету совершенно в другом месте....
заражение роутера D-link ?
- - - - -Добавлено - - - - -
и еще
когда принесли ком он спокойно вышел в инет....
но чере некоторое время стал перегружаться
- - - - -Добавлено - - - - -
ещё наблюдение
первоначально перегрузка была обнаружена при подключении к к инету через раздачу инета смартфоном.
была проведена проверка сейчас - перезагрузка при работе с этим смартфоном повторилась
подключение к другому смартфону раздающему инет по wi-fi проходит без проблем.
что-то сохранено в заражённом компе?
почему такая реакция на некоторые устройства?
- - - - -Добавлено - - - - -
пытаюсь запустить Farbar Recovery Scan Tool в нормальном режиме - кричит о правах и удаляет исполняемый файл
Последний раз редактировалось Dflz; 22.03.2018 в 18:37.
Пардон, ощибся, она одна - Ф.Сообщение от Dflz
Может, не заражение, а порт на роутере подгоревший? В разные подключали?
Другие компьютеры от этого роутера перезагружаются?
- - - - -Добавлено - - - - -
пытаюсь запустить Farbar Recovery Scan Tool в нормальном режиме - кричит о правах и удаляет исполняемый файл[/QUOTE]
Сделайте лог сканирования МВАМ.
Выполните скрипт в uVS:В папке с UVS появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку в теме.Код:;uVS v3.81.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 Exec wevtutil.exe epl System system.evtx Exec wevtutil.exe epl Application Application.evtx Exec wevtutil.exe epl Security Security.evtx Exec pack\7za.exe a -t7z -sdel -mx9 -m0=ppmd:o=32:mem=512m Events.7z *.evtx
WBR,
Vadim
физически исправен.Может, не заражение, а порт на роутере подгоревший? В разные подключали?
Другие компьютеры от этого роутера перезагружаются?
к роутеру подключен другой роутер в режиме точки доступа - даже если воткнуть шнурок в него - перезагрузка, и подключение через wi-fi(точку доступа) к проблематичному роутеру - перезагрузка.
всё остальное работает без проблем.
как комп может идентифицировать устройства к которым подключен ?
и почему в защищённом режиме с поддержкой сетевых драйверов - работает без перезагрузки? (в инет выходит без проблем)
запустил gmer, логи его интересны?
Последний раз редактировалось Dflz; 22.03.2018 в 21:43.
Вряд ли, раз TDSSKiller ничего не нашёл, делайте, что просил.
- - - - -Добавлено - - - - -
По роутеру этому дьявольскому. Не исключён вариант проникновения через Wi-Fi, меняйте пароль на веб-интерфейс, ключ Wi-Fi, обновите прошивку, только имейте ввиду, что у Dlink одна модель может в нескольких аппаратных конфигурациях выпускаться, смотрите внимательно на сайте.
WBR,
Vadim
а как тогда объяснить вариант когда простое соединение компа и роутера (без wi-fi и без подключения к wan) вызывает перезагрузкуПо роутеру этому дьявольскому. Не исключён вариант проникновения через Wi-Fi
был вариант подключения нового роутера dir-615 (в котором встроен wi-fi) и этот wi-fi имеет такие же настройки как и точка доступа(при смене устройств wi-fi не потребовалось менять настройки в смартфонах) комп работает без проблем. что исключает проникновение снаружи.
раз есть такое выборочное влияние на устройства связи с инетом (проверено на 4 устройствах - 2 смартфона раздающих wi-fi - с одного перегрузка, с другово нормальная работа и двух роутеров -с одного перегрузка - с другого - нет. к этому можно добавить и wi-fi) в логе gmer вызывает вопрос такие строчки
gmer
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@"\4C\4=\4=\0045\4;\4L\4=\4K\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0T\0e\0r\0e\0d\0o 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@#\4A\4B\4@\4>\49\4A\4B\0042\0040\4 \0B\0l\0u\0e\0t\0o\0o\0t\0h\0 \0(\0;\48\4G\4=\4>\49\4 \0A\0045\4B\48\4) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@#\4A\4B\4@\4>\49\4A\4B\0042\4>\4 \0B\0l\0u\0e\0t\0o\0o\0t\0h\0 \0(\0?\4@\4>\4B\4>\4:\4>\4;\4 \0R\0F\0C\0O\0M\0M\0 \0T\0D\0I\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\20\0044\0040\4?\4B\0045\4@\4 \0M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0006\0t\0o\0004 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\20\0044\0040\4?\4B\0045\4@\4 \0M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0I\0S\0A\0T\0A\0P 2?3?4?Скрыть
вполне возможно, что устройств, вызывающих перезагрузку, может быть больше 2.
- - - - -Добавлено - - - - -
http://rgho.st/8JSVdtMVg
Давайте полный лог Gmer до кучи, вечером всё посмотрю.
WBR,
Vadim
он не большой
Ваши права в разделе
Ответить с цитированием
