Решена Удаление руткита TSDD 4.0 ПОМОГИТЕ УДАЛИТЬ

Тема в разделе "Лечение компьютерных вирусов", создана пользователем kamper, 31 авг 2016.

Статус темы:
Закрыта.
  1. kamper
    Оффлайн

    kamper Новый пользователь

    Сообщения:
    58
    Симпатии:
    2
    Здравствуйте!помогите справиться с руткитом tsdd 4.0 появляется синий экран смерти
     
  2. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
  3. kamper
    Оффлайн

    kamper Новый пользователь

    Сообщения:
    58
    Симпатии:
    2
    --- Объединённое сообщение, 2 сен 2016 ---
    лог отправил
     

    Вложения:

  4. kamper
    Оффлайн

    kamper Новый пользователь

    Сообщения:
    58
    Симпатии:
    2
    Здравствуйте! лог отправил что не так сделал когда решите мою проблему?
     
  5. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    253
    Симпатии:
    90
    Когда будет время, Вы, кажется в разделе бесплатного лечения, не так ли? Чего-либо настойчиво спрашивать тут не стоит...
    Удалите:
    IObit Malware Fighter
    PC Tools Spyware Doctor 9.0
    SpyHunter
    Spybot - Search & Destroy
    AVG Anti-Rootkit Free

    Зоопарк из антивирусов в системе - верный путь к синим экранам.

    В AVZ меню "Файл" -> "Выполнить скрипт", вставьте содержимое окна "код" ниже и нажмите "Запустить":
    Код (Text):

    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFile('C:\Windows\system32\DRIVERS\aswTap.sys', '32');
     DeleteService('NDISKIO');
     DeleteService('ZAM_Guard');
     DeleteService('ZAM');
     DeleteService('TuneUpUtilitiesDrv');
     DeleteService('MFE_RR');
     DeleteService('karlchen');
     DeleteService('HAVProcessMonitor');
     DeleteService('eapihdrv');
     DeleteService('DwProt');
     DeleteService('catchme');
     DeleteService('aswTap');
     DeleteService('aswArKrn');
     DeleteService('5vhc6gx7');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    BC_ImportALL;
    ExecuteSysClean;
     ExecuteRepair(10);
    BC_Activate;
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится.

    Скачайте и запустите TDSSKiller: Утилита TDSSKiller.
    Файл C:\TDSSKiller.***_log.txt приложите в теме.
    (где *** - версия программы, дата и время запуска.)
     
    Kиpилл нравится это.
  6. kamper
    Оффлайн

    kamper Новый пользователь

    Сообщения:
    58
    Симпатии:
    2
    3.1 TDSSKiller 08.09.2016 14:46
     

    Вложения:

  7. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    253
    Симпатии:
    90
    Нет у Вас руткита.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Кроме уже установленных, отметьте галочками также "90 Days Files".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
     
  8. kamper
    Оффлайн

    kamper Новый пользователь

    Сообщения:
    58
    Симпатии:
    2
    Всё отправил посмотрите
     

    Вложения:

    • Shortcut.txt
      Размер файла:
      437,4 КБ
      Просмотров:
      2
    • Addition.txt
      Размер файла:
      47,9 КБ
      Просмотров:
      2
    • FRST.txt
      Размер файла:
      62 КБ
      Просмотров:
      3
  9. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    253
    Симпатии:
    90
    Настоятельно рекомендую удалить программы Advanced SystemCare 9, Surfing Protection и Driver Booster 3.5.

    Выполните скрипт в Farbar Recovery Scan Tool:
    Код (Text):

    CreateRestorePoint:
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    CHR HKU\S-1-5-21-1349674665-812338135-826244200-1001\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    Toolbar: HKU\.DEFAULT -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
    Toolbar: HKU\S-1-5-21-1349674665-812338135-826244200-1001 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
    Handler: abs - No CLSID Value -
    Handler: skype-ie-addon-data - No CLSID Value -
    CHR Extension: (Chrome Media Router) - C:\Users\123\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-09-08]
    CHR HKLM\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
    S3 rpcapd; "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini" [X]
    S1 qutmipc; C:\Windows\system32\drivers\qutmipc.sys [53960 2015-12-31] (360.cn)
    S3 Lavasoft Kernexplorer; no ImagePath
    S2 {1BA31E5A-C098-42d8-8F88-3C9F78A2FDDC}; no ImagePath
    2016-08-07 13:13 - 2016-08-07 13:14 - 00536240 _____ (Dashlane Inc.) C:\Users\123\Downloads\Dashlane_Launcher_ball-1458725556.exe
    2016-08-08 14:55 - 2014-06-28 13:48 - 00000000 ____D C:\Windows\system32\Norman TDSS Cleaner v2.0.2
    2016-06-27 10:30 - 2016-06-27 10:30 - 00000000 ____D C:\ProgramData\{FD6F83C0-EC70-4581-8361-C70CD1AA4B98}
    2016-06-20 17:17 - 2016-06-23 00:12 - 00073252 _____ C:\Windows\ZAM_Guard.krnl.trace
    2016-06-20 17:17 - 2016-06-22 11:04 - 00041317 _____ C:\Windows\ZAM.krnl.trace
    2011-03-25 19:02 - 2011-03-25 19:02 - 0000073 ____H () C:\Program Files\atjgwngthylhsuyeuxdleurhyresjwsdfjpfiow.fcs
    2011-03-25 19:01 - 2011-03-25 23:34 - 0000280 ____H () C:\Program Files\glnwybgffihpmaqikzrlqsbdg.kkn
    2011-03-25 19:02 - 2011-03-25 23:34 - 0002378 ____H () C:\Program Files\kzleqdsblyhzgeegsrtxmyrdqfoylumtrrt.egk
    2011-03-25 19:01 - 2011-03-25 19:01 - 0004248 ____H () C:\Program Files\lboivjzjuisltstwjjmrhuobpfpaoyrzyzcp.sxn
    2011-03-25 19:02 - 2011-03-25 23:34 - 0000316 ____H () C:\Program Files\tlawlbtfsiupzadixzeldsodtlxkamhrsvaprw.vkg
    2016-05-04 10:55 - 2016-05-04 10:55 - 0427348 _____ () C:\Users\123\AppData\Local\ars.cache
    2011-03-25 19:02 - 2011-03-25 19:02 - 0000073 ____H () C:\Users\123\AppData\Local\atjgwngthylhsuyeuxdleurhyresjwsdfjpfiow.fcs
    2016-05-04 10:56 - 2016-05-04 10:56 - 0408436 _____ () C:\Users\123\AppData\Local\census.cache
    2011-05-16 21:05 - 2011-05-16 21:05 - 0000091 _____ () C:\Users\123\AppData\Local\fusioncache.dat
    2011-03-25 19:01 - 2011-03-25 23:34 - 0000280 ____H () C:\Users\123\AppData\Local\glnwybgffihpmaqikzrlqsbdg.kkn
    2016-04-29 19:48 - 2016-04-29 19:48 - 0000036 _____ () C:\Users\123\AppData\Local\housecall.guid.cache
    2011-03-25 19:02 - 2011-03-25 23:34 - 0002378 ____H () C:\Users\123\AppData\Local\kzleqdsblyhzgeegsrtxmyrdqfoylumtrrt.egk
    2011-03-25 19:01 - 2011-03-25 19:01 - 0004248 ____H () C:\Users\123\AppData\Local\lboivjzjuisltstwjjmrhuobpfpaoyrzyzcp.sxn
    2016-04-29 20:16 - 2016-05-04 10:45 - 0000010 _____ () C:\Users\123\AppData\Local\sponge.last.runtime.cache
    2011-03-25 19:02 - 2011-03-25 23:34 - 0000316 ____H () C:\Users\123\AppData\Local\tlawlbtfsiupzadixzeldsodtlxkamhrsvaprw.vkg
    Task: {002E04AE-B103-41C6-8757-6ED8F42DA604} - \{9299117A-C224-4D07-B4AF-5BD392942DB4} -> No File <==== ATTENTION
    Task: {0F2B1678-1DAA-4461-AFC4-DC3F6547806F} - \{B96E35F4-939C-4FF3-922C-9C723953302F} -> No File <==== ATTENTION
    Task: {2620ABF5-C81D-4396-BEAA-7C848C4FBC29} - \{7608AB4B-1062-4825-9EB8-62EEC3A41591} -> No File <==== ATTENTION
    Task: {269FB436-8036-4DA0-AFD4-585FA618AB89} - \{145C435D-7E35-4BBF-9834-3431C101331D} -> No File <==== ATTENTION
    Task: {4C8DCDB7-7E5C-4E01-9797-9E7F011C4254} - \Opera scheduled Autoupdate 1447875321 -> No File <==== ATTENTION
    Task: {56B49A0C-A3CC-44FC-9FB3-BD3F3BE716D3} - \RotatorCom -> No File <==== ATTENTION
    Task: {5AFCCDCE-D0E9-4950-A030-6D47D6F34B6B} - \{2BCE0AF6-6F60-4874-BABA-E459B3A7DBD0} -> No File <==== ATTENTION
    Task: {86B1C0D2-ED3F-4853-A8CC-5C98B0C8015D} - \{C58D8736-8A73-4F3F-BC16-306E7ED41EA4} -> No File <==== ATTENTION
    Task: {92AB4E75-529B-4B0B-8C6F-DFC9D7F318AB} - \User_Feed_Synchronization-{3696D6D7-6A11-4168-886B-94B8A8E06670} -> No File <==== ATTENTION
    Task: {A078A2A7-D158-498F-81DF-2F1A482A5AFB} - \Adobe online update program -> No File <==== ATTENTION
    Task: {A28BACF4-0B56-4383-8C15-156917C3D182} - \TuneUpUtilities_Task_BkGndMaintenance2013 -> No File <==== ATTENTION
    Task: {AFD370EC-DEF5-4975-AE5A-D1843B249BDF} - \Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan -> No File <==== ATTENTION
    Task: {B868D78B-7985-401E-9CFC-F960B3D37C31} - \Uninstaller_SkipUac_Tester -> No File <==== ATTENTION
    Task: {BEF0610A-1EC5-4717-B382-0C2F9DB1038E} - \G2MUpdateTask-S-1-5-21-1349674665-812338135-826244200-1001 -> No File <==== ATTENTTask: {DBBF338C-D8C3-4AAF-9CEB-3A91011AF6AD} - \G2MUploadTask-S-1-5-21-1349674665-812338135-826244200-1001 -> No File <==== ATTENTION
    Task: {EC44AFF0-0BDA-4945-88CC-D083218E8650} - \Update Service YourFileDownloader -> No File <==== ATTENTION
    Task: {F1515F94-EA9F-486D-B8B4-946B4C2BEA25} - \AVAST Software\Avast settings backup -> No File <==== ATTENTION
    Task: {FA9DA06C-34CE-4B52-9616-6F8623F41AE3} - \Tilde automatic update -> No File <==== ATTENTION
    AlternateDataStreams: C:\Users\123\Downloads\ChromeSetup (1).exe:$CmdTcID [64]
    AlternateDataStreams: C:\Users\123\Downloads\ChromeSetup (1).exe:$CmdZnID [26]
    AlternateDataStreams: C:\Users\123\Downloads\ChromeSetup.exe:$CmdTcID [64]
    AlternateDataStreams: C:\Users\123\Downloads\ChromeSetup.exe:$CmdZnID [26]
    AlternateDataStreams: C:\Users\123\Downloads\Kali_Linux.rar:$CmdZnID [26]
    AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [143]
    AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [136]
    AlternateDataStreams: C:\ProgramData\TEMP:CB0AACC9 [150]
    AlternateDataStreams: C:\ProgramData\TEMP:DFC5A2B2 [220]
    Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\OCKQFXIBQ" /f
    EmptyTemp:
    Reboot:
     
    akok нравится это.
  10. kamper
    Оффлайн

    kamper Новый пользователь

    Сообщения:
    58
    Симпатии:
    2
    Всё сделал все программы которые относились advanced systemcare удалил
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      17,5 КБ
      Просмотров:
      1
  11. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    253
    Симпатии:
    90
  12. kamper
    Оффлайн

    kamper Новый пользователь

    Сообщения:
    58
    Симпатии:
    2
    Всё
    отправил
    --- Объединённое сообщение, 10 сен 2016 ---
    combofix можно будет проверить вирус ещё есть
     

    Вложения:

  13. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    253
    Симпатии:
    90
    Рекомендую ознакомиться со статьёй Так ли страшен контроль учетных записей (UAC)? и включить.

    Выполните эту рекомендацию.

    Браузером Amigo пользуетесь?
     
  14. kamper
    Оффлайн

    kamper Новый пользователь

    Сообщения:
    58
    Симпатии:
    2
    браузером амиго пользуюсь стоит lastpass приложение генератор паролей без этого приложения я не зайду на сайт там храняться пароли
     
  15. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    253
    Симпатии:
    90
  16. kamper
    Оффлайн

    kamper Новый пользователь

    Сообщения:
    58
    Симпатии:
    2
    всё включил контроль учётных записей
    --- Объединённое сообщение, 10 сен 2016 ---
    надо ещё combofix проверить и тогда всё закрепить
    --- Объединённое сообщение, 10 сен 2016 ---
    есть ещё вирус nsak в реестре не удалился
    --- Объединённое сообщение, 10 сен 2016 ---
    всплывает окно видеодрайвер перестал отвечать и был восстановлен
    --- Объединённое сообщение, 10 сен 2016 ---
    диспетчере устройств появилось неизвестное устройство
     
  17. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.487
    Симпатии:
    3.101
    для нас в этом нет необходимости

    не имеет никакого отношения к вирусам

    наверное только Вы его и видите, а потому считаете вирусом

    какое?
     
  18. kamper
    Оффлайн

    kamper Новый пользователь

    Сообщения:
    58
    Симпатии:
    2
    --- Объединённое сообщение, 11 сен 2016 ---
    combofix проверить надо что последней программой не можете проверить устройство установилась без меня установилась
    --- Объединённое сообщение, 11 сен 2016 ---
    лишний раз убедиться combofix проверить надо
     

    Вложения:

  19. kamper
    Оффлайн

    kamper Новый пользователь

    Сообщения:
    58
    Симпатии:
    2
    завтра прикрепу лог combofix
     
  20. kamper
    Оффлайн

    kamper Новый пользователь

    Сообщения:
    58
    Симпатии:
    2
    combofix просмотрел 7 вирусов
     
Статус темы:
Закрыта.

Поделиться этой страницей