-
Junior Member
- Вес репутации
- 24
Не запускается Windows 7 [Trojan.Win32.Agentb.jqab]
Здравствуйте, не запускается Windows 7. Сначала запускался, вводил пароль и когда открывался "Рабочий стол" выходила вот такая ошибка: https://cloud.mail.ru/public/59oc/5jqw8Wu9W
Больше половины экрана черно-зеленый такой. А сейчас и вовсе не запускается, только в безопасном режиме. Я сейчас захожу и пишу тут с помощью "Последняя удачная конфигурация". Раньше была примерно такая же проблема, когда было мало месть на диске "D" я удалил тогда несколько файлов, и проблема тогда было устранена.
И сейчас спустя несколько месяцев, опять такая же история, было мало месть из 736гб было свободно 60гб, и проблема опять появился, не запускался, тогда я в безопасном режиме освободил место, и свободных мест стало 115гб. И проблема опять исчезла, посидел день, и в конце дня, вечером опять завис и такой черно-зеленый экран. Несколько раз перезагружал, в безопасном режиме, проверил антивирусом, но ничего не помогает. На диске "C" 116гб свободного мест из 194гб. Прошу помочь, сканировал с помощью аутологгер, но прикрепить тут не могу, так как мест мало. Залил на облако, доступен по ссылке выше вместе со скринами ошибок.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) erik51711, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте,
Удалите старые вложения Мой кабинет => Вложения
Удалите остатки от антивируса Avast утилитой Avast Remover.
HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.
Код:
O4 - HKLM\..\SafeBoot: [AlternateShell] = (no file) (disabled)
O4 - MSConfig\startupreg: UnHackMe Monitor [command] = (HKCU) (2017/06/11) (no file)
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Windows\system32\explorer.exe','');
QuarantineFile('C:\Windows\winstart.bat','');
BC_ImportQuarantineList;
BC_Activate;
ExecuteRepair(10);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 24
А теперь не могу зайти даже с помощью "Последняя удачная конфигурация" только в безопасном режиме могу зайти. Но там нету интернета, не могу закинуть на комп никакой файл, так как не принимает usb в этом режиме, есть только аутологгер в компе сейчас? Не подскажете что сделать в данной ситуации?
-
А получается зайти в безопасный режим с сетью?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 24
В безопасном режиме сети нет. И файлы туда закинуть тоже никак.
- - - - -Добавлено - - - - -
После многочисленных запусков, все таки удалось запустить windows в том же "Последняя удачная конфигурация" режиме.
Карантин прислал, и плюс прикрепляю первый файл.
И еще лог AdwCleaner.
И хочу спросить, другие следующие действия можно выполнять в безопасном режиме, если комп опять не будет включаться?
-
Выполняйте в нормальном режиме.
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 24
Удалил все. Логи прикрепил. И да кстати, в папке AdwCleaner появился папка Quarantine, где есть также 120 папок весом 787мб.
-
Сообщение от
erik51711
Удалил все. Логи прикрепил. И да кстати, в папке AdwCleaner появился папка Quarantine, где есть также 120 папок весом 787мб.
Она необходимо, чтобы восстановить ранее удаленные обьекты, на случай если они были удаленны по ошибке.
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 24
-
- Закройте и сохраните все открытые приложения.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
Start::
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CloseProcesses:
S2 HCloverService; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 HCloverService; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
File: C:\Program Files (x86)\Microsoft Office\Office14\GROOVE.EXE
S3 TermService; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S3 TermService; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
File: C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe
File: C:\Program Files (x86)\OkayFreedom\OkayFreedomService.exe
File: C:\Program Files\OpenVPN\bin\openvpnserv2.exe
File: C:\Program Files\OpenVPN\bin\openvpnserv.exe
File: C:\Program Files\OpenVPN\bin\openvpnserv.exe
Folder: C:\Program Files\RDP Wrapper
File: C:\ProgramData\olly.exe
File: C:\ProgramData\System Idle.exe
File: C:\Users\Все пользователи\olly.exe
File: C:\Users\Все пользователи\System Idle.exe
File: C:\Users\Admin\AppData\Roaming\Bot.exe
File: C:\Users\Admin\AppData\Roaming\Nvidiadriver.exe
Zip: C:\ProgramData\olly.exe;C:\ProgramData\System Idle.exe;C:\Users\Все пользователи\olly.exe;C:\Users\Все пользователи\System Idle.exe;C:\Users\Admin\AppData\Roaming\Bot.exe;C:\Users\Admin\AppData\Roaming\Nvidiadriver.exe
CustomCLSID: HKU\S-1-5-21-3995110552-1342024479-2904598299-1000_Classes\CLSID\{733EB758-7CF0-4927-A3B9-75EB28490615}\InprocServer32 -> C:\Users\Admin\AppData\Local\Orbitum\Update\1.3.99.0\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-3995110552-1342024479-2904598299-1000_Classes\CLSID\{E2380A43-3EB6-4428-9D4E-8E22B8CCB5D4}\InprocServer32 -> C:\Users\Admin\AppData\Local\Orbitum\Update\1.3.99.0\psuser_64.dll => No File
ContextMenuHandlers1: [BB FlashBack 2] -> {A8065B9E-193F-4797-B62D-8F6321E7FCCB} => -> No File
FirewallRules: [TCP Query User{F4F34344-8C2A-4A9A-B6C4-22C0DB918FF5}C:\program files (x86)\mozilla firefox\uninstall\helper.exe] => (Allow) C:\program files (x86)\mozilla firefox\uninstall\helper.exe No File
FirewallRules: [UDP Query User{9263AE71-B640-484A-A8F7-497A3818F219}C:\program files (x86)\mozilla firefox\uninstall\helper.exe] => (Allow) C:\program files (x86)\mozilla firefox\uninstall\helper.exe No File
FirewallRules: [TCP Query User{D6A591AC-0D13-411C-9295-D6AFDFCAE971}C:\program files (x86)\4kdownload\4kvideodownloader\4kvideodownloader.exe] => (Allow) C:\program files (x86)\4kdownload\4kvideodownloader\4kvideodownloader.exe No File
FirewallRules: [UDP Query User{B50FFB02-6BA0-4FB1-B16E-5FC6F80BABA8}C:\program files (x86)\4kdownload\4kvideodownloader\4kvideodownloader.exe] => (Allow) C:\program files (x86)\4kdownload\4kvideodownloader\4kvideodownloader.exe No File
FirewallRules: [TCP Query User{AA16C779-412D-469D-98F3-F34DD6FD4173}D:\games\homefront - the revolution\bin64\homefront2_release.exe] => (Block) D:\games\homefront - the revolution\bin64\homefront2_release.exe No File
FirewallRules: [UDP Query User{29C4E1D3-F688-41D7-B1B0-9DD75AC963D2}D:\games\homefront - the revolution\bin64\homefront2_release.exe] => (Block) D:\games\homefront - the revolution\bin64\homefront2_release.exe No File
FirewallRules: [{4485B904-EE85-41FF-9FB5-646ED47E97D3}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
FirewallRules: [{ECF72D92-6D0D-463F-A578-5807A357058A}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
FirewallRules: [TCP Query User{FBF4654A-51F9-4A4B-81A5-AE761E7FC0EA}C:\program files (x86)\steam\uninstall.exe] => (Allow) C:\program files (x86)\steam\uninstall.exe No File
FirewallRules: [UDP Query User{BD977290-5B88-41A1-9799-46B451335F9D}C:\program files (x86)\steam\uninstall.exe] => (Allow) C:\program files (x86)\steam\uninstall.exe No File
FirewallRules: [{3C788DF2-4DA3-48DE-B694-638B19227D88}] => (Allow) C:\Program Files\SoftEther VPN Client\vpncmgr.exe No File
FirewallRules: [{178E69C0-5515-457C-8EB7-5A03856243F9}] => (Allow) C:\Program Files\SoftEther VPN Client\vpncmd.exe No File
FirewallRules: [{4BDB98CB-544D-4B74-AF22-1205CBF7C78D}] => (Allow) C:\Program Files\SoftEther VPN Client\vpnclient.exe No File
FirewallRules: [{82544DC3-946F-4862-9C3A-B6FA9F8F20B4}] => (Allow) C:\Program Files\SoftEther VPN Client\vpnclient_x64.exe No File
FirewallRules: [{1AEC5D4D-FE65-42A3-8C47-5CBA68FA1C3C}] => (Allow) C:\Program Files\SoftEther VPN Client\vpncmgr_x64.exe No File
FirewallRules: [{3CFE171B-3F38-4E2B-B371-618A57FD1516}] => (Allow) C:\Program Files\SoftEther VPN Client\vpncmd_x64.exe No File
FirewallRules: [TCP Query User{1502AC62-C38F-43D0-B932-D0B2D34D029A}C:\program files (x86)\4g hostless modem\4g hostless modem\checkndisport_df.exe] => (Block) C:\program files (x86)\4g hostless modem\4g hostless modem\checkndisport_df.exe No File
FirewallRules: [UDP Query User{021C6F84-50DD-4A0A-867D-B70304B7116A}C:\program files (x86)\4g hostless modem\4g hostless modem\checkndisport_df.exe] => (Block) C:\program files (x86)\4g hostless modem\4g hostless modem\checkndisport_df.exe No File
Reboot:
End::
- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 24
Карантин 2 штуки, с названиями: 07.07.2019_09.35.04 и 07.07.2019_09.35.06, первый прислал, а второй не дает прислать, пишет что данный файл уже загружен. Логи прикрепил.
-
- Закройте и сохраните все открытые приложения.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
Start::
CreateRestorePoint:
CloseProcesses:
S2 OkayFreedom VPN Starter Service; "C:\Program Files (x86)\OkayFreedom\OkayFreedomService.exe" [X]
S3 OpenVPNService; "C:\Program Files\OpenVPN\bin\openvpnserv2.exe" [X]
S2 OpenVPNServiceInteractive; "C:\Program Files\OpenVPN\bin\openvpnserv.exe" [X]
S3 OpenVPNServiceLegacy; "C:\Program Files\OpenVPN\bin\openvpnserv.exe" [X]
C:\ProgramData\olly.exe
C:\ProgramData\System Idle.exe
C:\Users\Все пользователи\olly.exe
C:\Users\Все пользователи\System Idle.exe
C:\Users\Admin\AppData\Roaming\Bot.exe
C:\Users\Admin\AppData\Roaming\Nvidiadriver.exe
C:\Windows\system32\explorer.exe
Reboot:
End::
- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 24
-
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 24
-
Выполните скрипт в uVS:
Код:
;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
zoo %SystemDrive%\PROGRAM FILES (X86)\CLOVER\CLVUTIL.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\COMBOPLAYER\COMBOPLAYERSERVICEINSTALLER.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\FVD DOWNLOADER MODULE\FVD_DOWNLOADER_MODULE.EXE
zoo D:\111111\NOX\BIN\NOX_UNLOAD.EXE
zoo D:\GAMES\SONIC GENERATIONS.V 1.0.0.5 + 1 DLC\SONICGENERATIONS.EXE
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\ORBITUM\UPDATE\1.3.99.0\GOOGLEUPDATEONDEMAND.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMAN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMFSA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMGETALL.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMGETALL64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMIECC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMIECC64.DLL
delref %SystemDrive%\PROGRA~1\LSOFTT~1\ACTIVE~1\FILEPR~1.EXE
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\ORBITUM\UPDATE\1.3.99.0\NPGOOGLEUPDATE3.DLL
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\ORBITUM\UPDATE\1.3.99.0\PSUSER.DLL
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\ORBITUM\UPDATE\1.3.99.0\PSUSER_64.DLL
delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\ANUGTYPRAQEPY\QOPALYANAMISH.DLL
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\ORBITUM\UPDATE\GOOGLEUPDATE.EXE
restart
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 24
Готово, отправил карантин.
-
Отправил карантин на анализ в вирлаб, ожидайте результат.
сообщите что с проблемой?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 24
Windows запускается, несколько раз перезагрузил, запускается. Но, все как то медленно начал работать, окна, страницы на сайтах плавают.