Закрыто conhost.exe; ntuser.dat. Вирус крашит систему.

Статус
В этой теме нельзя размещать новые ответы.

Hustle.di

Новый пользователь
Сообщения
3
Реакции
0
Баллы
1
Доброго времени суток. Компьютер начал крашиться синим экраном смерти. Посмотрев в диспетчер задач, увидел что есть процесс conhost.exe, который, в свою очередь, находясь в папке C:\Windows\Temp постоянно возобновляется с перезагрузкой системы. Убивая данный процесс conhost.exe, компьютер может дальше работать без нареканий. В Безопасном режиме компьютер работает стабильно (думаю, это из-за отсутствия интернета). Пытался поймать службу связанную с conhost.exe, ничего не вышло. Отключил в Планировщике заданий все левые задачи. Папка C:\Windows\Temp после зачистки, начинает заполняться с файла ntuser.dat, в последствии в ней появляются файлы: conhost.exe; ntuser.dat; exclude и TMP000000078C641692C6E10C4C. Антивирусов на системе не стоит, но прогонял ее Dr.Web'ом - она нашла много троянов, в том числе и conhost.exe, но при перезагрузке и повторной проверке "Вэбом" они снова были на месте. Лог собрал как сказано в правилах форума.
 

Вложения

akok

Команда форума
Администратор
Сообщения
16,794
Реакции
13,200
Баллы
2,203
1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме


После подготовьте свежий лог автологера, дочистим хвосты.
 

Hustle.di

Новый пользователь
Сообщения
3
Реакции
0
Баллы
1
1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме


После подготовьте свежий лог автологера, дочистим хвосты.
Всё сделал. Сейчас перезагружу ПК.
 

Вложения

akok

Команда форума
Администратор
Сообщения
16,794
Реакции
13,200
Баллы
2,203
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.


"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R3 - HKCU: Default URLSearchHook is missing
Проверьте, что с проблемой сейчас.
 

Hustle.di

Новый пользователь
Сообщения
3
Реакции
0
Баллы
1
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.


"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R3 - HKCU: Default URLSearchHook is missing
Проверьте, что с проблемой сейчас.
Перезагрузил ПК. В первый перезапуск машина с процессом conhost.exe - закрашилась. Во второй раз conhost.exe так же запустился, но пк работает. Сделал свежий сбор логов.
 

Вложения

akok

Команда форума
Администратор
Сообщения
16,794
Реакции
13,200
Баллы
2,203
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\windows\debug\ok.dat','');
 QuarantineFile('c:\windows\help\lsmosee.exe','');
 QuarantineFile('c:\windows\debug\item.dat','');
 QuarantineFile('c:\windows\debug\item.dat','');
 QuarantineFile('c:\windows\update.exe','');
 QuarantineFile('C:\Windows\debug\lsmos.exe','');
 QuarantineFile('c:\windows\temp\conhost.exe','');
 DeleteFile('c:\windows\temp\conhost.exe','32');
 DeleteFile('C:\Windows\debug\lsmos.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start','x32');
 DeleteFile('c:\windows\update.exe','64');
 DeleteFile('c:\windows\debug\item.dat','64');
 DeleteFile('c:\windows\debug\item.dat','64');
 DeleteFile('c:\windows\help\lsmosee.exe','64');
 DeleteFile('c:\windows\debug\ok.dat','64');
 DeleteSchedulerTask('Mysa');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('Mysa3');
 DeleteSchedulerTask('ok');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Подготовьте лог SecurityCheck by glax24
 

akok

Команда форума
Администратор
Сообщения
16,794
Реакции
13,200
Баллы
2,203
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу