Увы, рано обрадовался, попробывал отключать KIS на время и процесс опять так же нагружается.
Надо всё же с загрузочной флэшки загружаться и образ делать. СD/DVD привод есть в системе и CD-R/RW болванки, может, с диска проще загрузиться будет?
WBR,
Vadim
Нет, я раньше делал загрузку с флешки, ладно попробую снова с флешки сделать.
Странно Касперский как заглушка пока включен (даже 4 активных браузера работают и все хорошо) , этот вирус никак не проявляется, отключю и опять до перезагрузки процесс опять загружается.
Попробывал отключить В KIS'е в защите "Веб-Антивирус" это после перезагрузки, и проц опять загружается.
Еще в Мониторе ресурсов У процесса lsass.exe В столбце Завершено (КБ) с этой проблемой значение железобетонно 2 420 296 КБ
- - - - -Добавлено - - - - -
Полный образ автозагрузки из под LiveCD диска C:\Windows
Последний раз редактировалось Evgeniy35Rus; 23.05.2020 в 12:19.
Выполняйте скрипт из вложения, загрузившись с LiveCD. Сохраните заранее в папку с UVS, потом Скрипт -> Выполнить скрипт из файла...
COMP.TXT
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
WBR,
Vadim
вообще выполнил скрипт, правда архив был в .7z пришлось по требованиям отправки под .zip с паролем переделать (Понял причину .7z сначала не тот файл отправил)
ЛОГ
Вау, походу решилось (я уже было начинал готовиться к переустановке винды) (даже с выключенным Касперским все нормально с процессом), странно скрипт маленький, а компьютер попытал не хило, блин не думал что вирус вот так очень глубоко может сидеть, что даже ни файлов подозрительных, ни записей нету на первый взгляд, и активность такая не заметная в фоне была
не тот файл на карантин отправил( сейчас отправлю нужный
Полное имя C:\WINDOWS\SYSTEM32\DRIVERS\WDF10283.SYS
WDF10283.SYS - это и был вирус, жаль дата сбилась у файла, так бы понял когда подцепил (не особо понял как по логам он вирусом определился, если только из-за неизвестной подписи)
Последний раз редактировалось Evgeniy35Rus; 23.05.2020 в 17:18.
Вспоминайте, что в тот день устанавливали/запускали.Создан 18.05.2020 в 16:44:59
Изменен 18.05.2020 в 16:49:01
WBR,
Vadim
Если не лень - сделайте лог Farbar Recovery Scan Tool, кое что, похоже, подчистить надо.
WBR,
Vadim
готово
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: Task: {039C5BD6-A5CA-45C2-8CDC-A4A261B29AAE} - \KMSAuto -> No File <==== ATTENTION S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] Folder: C:\Windows\speechstracing 2020-05-22 12:57 - 2020-05-22 12:57 - 000000000 _____ C:\Windows\SysWOW64\RMVR-SRVC-.1.0.0.1266_6268.tiny.dmp FirewallRules: [{C6F1F700-D977-4305-9A23-31C26D54143A}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File FirewallRules: [{E1F6B62E-8090-4EB6-93B2-D7C4DB45E258}] => (Block) LPort=445 FirewallRules: [{BED5C2D7-67EA-432B-90ED-125E068D314D}] => (Block) LPort=445 FirewallRules: [{D396B619-E357-4F38-875B-B055E954E746}] => (Block) LPort=139 FirewallRules: [{3683E392-9B74-4DFD-ABC1-730F95BBDB5D}] => (Block) LPort=139 End::
WBR,
Vadim
Выполнил
В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
- Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
- Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
- Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
- Прикрепите этот файл к своему следующему сообщению.
SecurityCheck.txt
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 10.0.9200.17609 Внимание! Скачать обновления
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office стандартный 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Standard 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45505 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
------------------------------- [ Browser ] -------------------------------
Maxthon Cloud Browser v.4.9.4.3000 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
---------------------------- [ UnwantedApps ] -----------------------------
Autorun Organizer, версия 4.41 v.4.41 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
TNod User & Password Finder v.1.6.4.0 Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.
Кнопка "Яндекс" на панели задач v.2.2.0.50 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
C:\soft\Autorun Organizer\AutorunOrganizer.exe v.0.0.0.0
Следы двух версий антивируса:
Kaspersky Internet Security v.20.0.14.1085
Kaspersky Free v.20.0.14.1085
Удалите текущий стандартно, пройдитесь утилитой, скачайте и установите заново один.
Читайте Советы и рекомендации после лечения компьютера.
не особо с антивирусом охота возиться, там просто принцип можно ставить free, потом ключом до IS повысить
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 2
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 3
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
- \wdf10283.sys._0fc2a538715b6e8a11ac95bb79338ad379b 0c830 - Root=
kit.Win64.Agent.bfi ( AVAST4: Win64:Trojan-gen )
Уважаемый(ая) Evgeniy35Rus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.