Вирус, удаляющий драйверы на видеокарту

[Max12]

Здравствуйте, всё началось с того, что посреди игры мой компьютер перезагрузился, на экране появилась рябь, пиксели разных цветов. После перезагрузки вроде всё прошло. Затем компьютер опять перезагрузился. После этого на экране появилось множество белых полос. Затем было много перезагрузок, какие-то не проходили, после каких-то мне предлагали "восстановить систему", после некоторых перезагрузок не доходила даже до экрана с учётными записями и компьютер вновь начинал перезагружаться. Потом я обнаружил, что у меня не обновлены драйверы. Установил их, перезагрузил, они исчезли. ПОпробовал ещё раз -- та же ситуация. Затем 360 Total Security прогнал, он что-то нашёл, я это удалил. Затем прогнал avptool от Касперского. Он что-то нашёл, я удалил, перезагрузил компьютер, avptool снова начал работать. Нашёл значительно больше объектов, я их удалил. Установил драйверы, перезагрузил компьютер, но драйверы опять исчезли. Лог от вашей программы я вроде прикрепил. Помогите, пожалуйста, как избавиться от вируса?

[Info_bot]

Уважаемый(ая) Max12, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Max12]

Я не понял, где "карантин" от Autologger

- - - - -Добавлено - - - - -

Я лог прикрепил вроде

[Sandor]

Здравствуйте!

Временно отключите защитное ПО.
Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\CinemaPlus-3.2cV13.05\96565258-7f89-4611-9b90-b911f7e3318f-1-7.exe', '');
 QuarantineFile('C:\Program Files (x86)\CinemaPlus-3.2cV13.05\96565258-7f89-4611-9b90-b911f7e3318f-5.exe', '');
 QuarantineFile('C:\Program Files (x86)\CinemaPlus-3.2cV13.05\96565258-7f89-4611-9b90-b911f7e3318f-6.exe', '');
 QuarantineFile('C:\Program Files (x86)\CinemaPlus-3.2cV29.04\d09958be-cd12-479d-85b4-73e02b85189b-5.exe', '');
 QuarantineFile('C:\Users\����������\AppData\Roaming\MXGGSOEK.exe', '');
 QuarantineFile('C:\Users\����������\AppData\Roaming\TJAOMV.exe', '');
 QuarantineFile('C:\Users\����������\AppData\Roaming\WUTHPZ.exe', '');
 QuarantineFile('C:\Users\Баранозавр\AppData\Local\SmartWeb\SmartWebHelper.exe', '');
 QuarantineFileF('c:\users\баранозавр\appdata\local\smartweb', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteSchedulerTask('96565258-7f89-4611-9b90-b911f7e3318f-1-7');
 DeleteSchedulerTask('96565258-7f89-4611-9b90-b911f7e3318f-5');
 DeleteSchedulerTask('96565258-7f89-4611-9b90-b911f7e3318f-6');
 DeleteSchedulerTask('d09958be-cd12-479d-85b4-73e02b85189b-5');
 DeleteSchedulerTask('MXGGSOEK.job');
 DeleteSchedulerTask('SmartWeb Upgrade Trigger Task');
 DeleteSchedulerTask('TJAOMV.job');
 DeleteSchedulerTask('WUTHPZ.job');
 DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV13.05\96565258-7f89-4611-9b90-b911f7e3318f-1-7.exe', '64');
 DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV13.05\96565258-7f89-4611-9b90-b911f7e3318f-5.exe', '64');
 DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV13.05\96565258-7f89-4611-9b90-b911f7e3318f-6.exe', '64');
 DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV29.04\d09958be-cd12-479d-85b4-73e02b85189b-5.exe', '64');
 DeleteFile('C:\Users\����������\AppData\Roaming\MXGGSOEK.exe', '32');
 DeleteFile('C:\Users\����������\AppData\Roaming\TJAOMV.exe', '32');
 DeleteFile('C:\Users\����������\AppData\Roaming\WUTHPZ.exe', '32');
 DeleteFile('C:\Users\Баранозавр\AppData\Local\SmartWeb\SmartWebHelper.exe', '64');
 DeleteFileMask('c:\users\баранозавр\appdata\local\smartweb', '*', true);
 DeleteDirectory('c:\users\баранозавр\appdata\local\smartweb');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.


Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.


Сделайте повторные логи по правилам. (CollectionLog)

[Max12]

При перезагрузке после скрипта появилась ошибка driver irql not less or equal, причина ошибки nvlddmkm.sys. Перезагрузка не прошла до конца, появилась рябь на мониторе. Пришлось аварийно отключить, затем включить компьютер. Логи прикрепил.

[Sandor]

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

[Max12]

А те файлы, что adw нашёл, их удалять? Или в карантин пихать?

- - - - -Добавлено - - - - -

Что нужно искать в "обнаруженных файлах"? Чем ещё проверить компьютер? К чему мы стремимся? Раскройте тайну, пожалуйста. Если я буду хоть немного в теме, я смогу сам что-то делать.

- - - - -Добавлено - - - - -

А, да. После перезагрузки выскочила ошибка dpc watchdog violation и синий экран смерти

[Sandor]

1.

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!


2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[Max12]

Компьютер теперь работает по 5 минут. Я не смог осуществить предыдущий шаг. После 5 минут всё виснет. Перед этим появляется рябь, компьютер работает всё медленнее и медленнее. Экран становится чёрным ещё. Я попробую сейчас сделать предыдущий шаг, но мне бы какой-нибудь ещё совет. Да, теперь драйверы не удаляются, хотя я ещё ни разу не перезагружал компьютер с момента проверки adwcleaner. Возможно, вирус среди драйверов. Может, там поискать?

- - - - -Добавлено - - - - -

Вот лог

- - - - -Добавлено - - - - -

Каждый раз, когда я пытаюсь скачать frst мне windows и мой total security говорят, что там есть троян. Как это объяснить?

[Vvvyg]

Ложный детект. У x64 версии FRST только один детект, да и тот эвристикой. Отключите на время антивирус и продолжайте, плохого тут не посоветуют.

[Sandor]

Лог AdwCleaner[C00].txt тоже покажите.

Ждём отчеты FRST, но боюсь, что проблема у вас с "железом", а не из-за вирусов.

[Max12]

Хорошо объяснили(нет). Так демонстрировать мне свои знания не нужно.

- - - - -Добавлено - - - - -

Объясните, пожалуйста, поподробнее. "Железо" это видеокарта, монитор, охлаждение видеокарты? Или это какие-то файлы? Лог прикреплю, как получится включить компьютер. На данный момент при включении он немного грузится, потом он не может выключиться до конца. Приходится его аварийно выключать.

- - - - -Добавлено - - - - -

P.S. Sandor, давай на ты, чтобы не было путаницы с "Вы","вы".

- - - - -Добавлено - - - - -

Сейчас при попытке включить опять выдал page fault in nonpaged area.

- - - - -Добавлено - - - - -

Предлагает автоматическое восстановление, делать?

- - - - -Добавлено - - - - -

Лог

- - - - -Добавлено - - - - -

FRST продолжает сканирование после создания отчёта. Отчёт не закончен? Или мне после появления следующего отчёта отключить его?

[Sandor]

"Железо" это видеокарта, монитор, охлаждение видеокарты?

А также блок питания, вздувшиеся конденсаторы, процессор, память и т.д.

Тут всё-таки специализация форума на вирусном заражении. Проблемы с "железом" лучше решать в другом месте.

Кое-что по нашей части дочистим:

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction - Chrome <==== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  CHR HKU\S-1-5-21-3872645296-494811174-1876012257-1001\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  Task: {01c728c2-43c8-4c8b-b7e6-9e85e1c696f9} - no filepath
  Task: {FA808B46-49B6-4738-85CC-314855CEB157} - System32\Tasks\Driver Booster SkipUAC (Баранозавр) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
  Task: C:\WINDOWS\Tasks\5VIcpbLmN9wb2RuIXVIl00Nt.job => C:\Users\\AppData\Roaming\5VIcpbLmN9wb2RuIXVIl00Nt.exe <==== ATTENTION
  Task: C:\WINDOWS\Tasks\6DH65EXI2C.job => C:\Users\\AppData\Roaming\6DH65EXI2C.exe <==== ATTENTION
  Task: C:\WINDOWS\Tasks\96565258-7f89-4611-9b90-b911f7e3318f-1-7.job => C:\Program Files (x86)\CinemaPlus-3.2cV13.05\96565258-7f89-4611-9b90-b911f7e3318f-1-7.exe <==== ATTENTION
  Task: C:\WINDOWS\Tasks\96565258-7f89-4611-9b90-b911f7e3318f-5.job => C:\Program Files (x86)\CinemaPlus-3.2cV13.05\96565258-7f89-4611-9b90-b911f7e3318f-5.exe <==== ATTENTION
  Task: C:\WINDOWS\Tasks\96565258-7f89-4611-9b90-b911f7e3318f-6.job => C:\Program Files (x86)\CinemaPlus-3.2cV13.05\96565258-7f89-4611-9b90-b911f7e3318f-6.exe <==== ATTENTION
  Task: C:\WINDOWS\Tasks\d09958be-cd12-479d-85b4-73e02b85189b-5.job => C:\Program Files (x86)\CinemaPlus-3.2cV29.04\d09958be-cd12-479d-85b4-73e02b85189b-5.exe <==== ATTENTION
  Task: C:\WINDOWS\Tasks\D4ny7ykTZzOlm.job => C:\Users\\AppData\Roaming\D4ny7ykTZzOlm.exe <==== ATTENTION
  Task: C:\WINDOWS\Tasks\hCVe1FQ2OLqWTOy9M8KQyt.job => C:\Users\\AppData\Roaming\hCVe1FQ2OLqWTOy9M8KQyt.exe <==== ATTENTION
  Task: C:\WINDOWS\Tasks\HO5N14vFg5YcwFyw0HVodc3o7m.job => C:\Users\\AppData\Roaming\HO5N14vFg5YcwFyw0HVodc3o7m.exe <==== ATTENTION
  Task: C:\WINDOWS\Tasks\IH6y4ACXMYn1Woef11dWRn.job => C:\Users\\AppData\Roaming\IH6y4ACXMYn1Woef11dWRn.exe <==== ATTENTION
  Task: C:\WINDOWS\Tasks\pMFRsQHDz4iio.job => C:\Users\\AppData\Roaming\pMFRsQHDz4iio.exe <==== ATTENTION
  Task: C:\WINDOWS\Tasks\RKtN9y3jthK.job => C:\Users\\AppData\Roaming\RKtN9y3jthK.exe <==== ATTENTION
  Task: C:\WINDOWS\Tasks\WB8TXR4xYM5lTBCU1NrPk13.job => C:\Users\\AppData\Roaming\WB8TXR4xYM5lTBCU1NrPk13.exe <==== ATTENTION
  Task: C:\WINDOWS\Tasks\yBeYRRQHB7.job => C:\Users\\AppData\Roaming\yBeYRRQHB7.exe <==== ATTENTION
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [476]
  AlternateDataStreams: C:\Users\Баранозавр\ntuser.ini:NTV [12558]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.


Затем:

1. Откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
2. Введите sfc /scannow и нажмите Энтер.
3. Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
4. После того как закончится проверка в командной строке введите команду:
   
   Код:

   findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt

5. После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.