Здравствуйте. ДВД привод перестал определяться даже в диспетчере устройств. В БИОСе он есть, грузился с флэшки в ВинПЕ(7) - работает отлично.
Здравствуйте. ДВД привод перестал определяться даже в диспетчере устройств. В БИОСе он есть, грузился с флэшки в ВинПЕ(7) - работает отлично.
Уважаемый(ая) drosophila, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
Переделайте логи утилитой AVZ версии 4.45Протокол антивирусной утилиты AVZ версии 4.43
- Покажите лог TDSSKiller>>> Подозрение на маскировку ключа реестра службы\драйвера "hyixad"
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
Последний раз редактировалось SQ; 30.01.2016 в 00:30.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Здравствуйте. Проделал Ваши рекомендации, пока без изменений.
Сделайте лог gmer10:45:52.0640 0x0e70 Suspicious service (NoAccess): hyixad
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Увы, при попытке сканировать с отмеченным системным разделом компьютер уходит в BSOD (stop:0x0000000A(0x00000005,0xD0000002,....). Прикрепляю архив с минидампом.
Aнтивирус выгружали?
Если нет, то выгрузите его и попробуйте еще раз сделать лог gmer
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
антивирусник не стоит. В процессах есть MsMpEng.exe может ли он мешать? В безопасном режиме сканируется нормально, но лог не сохраняется.
Возможно.
Важно: Перед выполнением следующих инструкции завершите все открытые приложения.
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта сервер перезагрузите вручную.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\hyixad'); RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\hyixad\Parameters'); QuarantineFile(RegKeyStrParamRead('HKLM','SYSTEM\CurrentControlSet\Services\hyixad\Parameters','ServiceDll'),''); BC_ImportQuarantineList; BC_Activate; end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи AVZ , выполнить только 2-й стандартный скрипт в AVZ.(virusinfo_syscheck.zip).
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
извиняюсь. Невнимательно прочитал рекомендации и отправил изначально не тот карантин. Исправился, добавляю лог.
Странное поведение не нахожу в логе информацию о
- Покажите новый лог TDSSKillerслужбы\драйвера "hyixad"
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
напрягает MsMpEng.exe: я завершаю процесс, а он секунд через 10 снова запускается (хотя может быть это и нормально)
Уточните пожалуйста в реестре есть ли следующая ветка:
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Код:HKLM\SYSTEM\CurrentControlSet\Services\hyixad
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Да ветка в реестре есть и в ней много строчек разных.
У Вас установлена какая-то ограничевающая политика на сервере?
Знакома ли Вам следующее ПО:Код:GroupPolicyScripts: Restriction <======= ATTENTION GroupPolicyScripts\User: Restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
Код:2014-03-04 15:23 - 2014-03-04 15:23 - 0087608 _____ () C:\Documents and Settings\Администратор\Application Data\inst.exe 2014-03-04 15:23 - 2014-03-04 15:23 - 0007887 _____ () C:\Documents and Settings\Администратор\Application Data\pcouffin.cat 2014-03-04 15:23 - 2014-03-04 15:23 - 0001144 _____ () C:\Documents and Settings\Администратор\Application Data\pcouffin.inf 2014-03-04 15:23 - 2014-03-04 15:23 - 0000055 _____ () C:\Documents and Settings\Администратор\Application Data\pcouffin.log 2014-03-04 15:23 - 2014-03-04 15:23 - 0047360 _____ (VSO Software) C:\Documents and Settings\Администратор\Application Data\pcouffin.sys
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: HKLM\...\Command Processor: <======= ATTENTION SearchScopes: HKU\S-1-5-21-3736770051-2710713494-3255328876-500 -> {3E0C9769-C75E-4D54-9BA8-ACE7DDE006DD6B4} URL = hxxp://startru.net/?q={searchTerms}&utm_medium=ise&utm_source=op&utm_campaign=bp&utm_content=11-04 Toolbar: HKU\S-1-5-21-3736770051-2710713494-3255328876-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File Toolbar: HKU\S-1-5-21-3736770051-2710713494-3255328876-500 -> No Name - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - No File FF Plugin: @real.com/nppl3260;version=6.0.12.69 -> Z:\Media Convert Master\codec\real\browser\plugins\nppl3260.dll [No File] FF Plugin: @real.com/nprpjplug;version=6.0.12.69 -> Z:\Media Convert Master\codec\real\browser\plugins\nprpjplug.dll [No File] NETSVC: txjspsrt -> no filepath. NETSVC: qideolcuu -> no filepath. NETSVC: hxvepet -> no filepath. NETSVC: vndklram -> no filepath. NETSVC: azzhs -> no filepath. NETSVC: wnkcmw -> no filepath. NETSVC: jtqpz -> no filepath. NETSVC: huwpqupjs -> no filepath. NETSVC: qfukhcihg -> no filepath. NETSVC: hyixad -> no filepath. 2013-10-28 11:47 - 2013-10-28 11:47 - 0000006 _____ () C:\Documents and Settings\Администратор\Application Data\smw_inst [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KernelFaultCheck] StandardProfile\GloballyOpenPorts: [4659:TCP] => Enabled:mnfzke- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Перегрузите сервер по завершению выполнения фикса..
Последний раз редактировалось SQ; 30.01.2016 в 22:13.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
У Вас установлена какая-то ограничевающая политика на сервере?
Сервер, как таковой отсутствует. Ограничивающих политик быть не должно. Подозрительное ПО мне не знакомо, но как с ним распрощаться если его нет в "установка и удаление программ".Код:GroupPolicyScripts: Restriction <======= ATTENTION GroupPolicyScripts\User: Restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
вот новые логи
Перед выполнением завершите все открытые приложения.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-3736770051-2710713494-3255328876-500\...\MountPoints2: {2e313563-43ea-11e0-bb74-001d928aacbf} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn HKU\S-1-5-21-3736770051-2710713494-3255328876-500\...\MountPoints2: {371c3964-84f7-11e0-8200-001d928aacbf} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn HKU\S-1-5-21-3736770051-2710713494-3255328876-500\...\MountPoints2: {a8e7cebc-db3d-11df-a7e4-001d928aacbf} - G:\zivotdalje/samoidi.exe HKU\S-1-5-21-3736770051-2710713494-3255328876-500\...\Winlogon: [Shell] C:\WINDOWS\explorer.exe [1054208 2007-03-15] (Microsoft Corporation) <==== ATTENTION GroupPolicyScripts: Restriction <======= ATTENTION GroupPolicyScripts\User: Restriction <======= ATTENTION Winsock: Catalog5 03 C:\WINDOWS\system32\mswsock.dll [258048 2007-03-15] (Microsoft Corporation)ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION cmd: netsh winsock reset- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Перегрузите Ваш сервер вручную.
- обратите внимание на то, что присутстуют ошибки LSP/SPI настройках Windows и в скрипте установлен сброс настроек winsock.
Последний раз редактировалось SQ; 01.02.2016 в 01:18.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
После выполнения скрипта FRST сам перезагрузил компьютер
Уважаемый(ая) drosophila, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.