Решена lsma12 с "друзьями". Восстанавливается после удаления

Статус
В этой теме нельзя размещать новые ответы.

Роман Н

Новый пользователь
Сообщения
13
Реакции
0
Просканировав ТроянКиллером вроде всё убивается в безопасном режиме, но после перезагрузки эта сволочь появляется опять. Автологгером собрать данные не получается, потому что требует перезагрузку, после чего через минуту комп встаёт намертво. Замкнутый круг какой-то.
Похожая тема есть, но админы настоятельно рекомендуют в каждом случае разбираться отдельно. Я обычный юзер, помогите пожалуйста. Второй день мучаюсь.
тварь.png
 
Здравствуйте!

Автологгером собрать данные не получается, потому что требует перезагрузку
В первом диалоговом окне Автологера нажмите ОК, предварительно нажав Shift. Перезагрузки не будет.
 

Вложения

  • CollectionLog-2020.01.11-10.09.zip
    32.9 KB · Просмотры: 3
Пролечите систему с помощью KVRT (пробуйте в нормальном, не в безопасном режиме). Папку C:\KVRT\reports упакуйте в архив и прикрепите к следующему сообщению.
Соберите и прикрепите свежий CollectionLog (тоже из нормального режима).
 
Пролечите систему с помощью KVRT (пробуйте в нормальном, не в безопасном режиме). Папку C:\KVRT\reports упакуйте в архив и прикрепите к следующему сообщению.
Соберите и прикрепите свежий CollectionLog (тоже из нормального режима).
Из нормального режима не получается, максимум 1.5 минуты держит, потом всё виснет. В безопасном режиме находит, лечит, после перезагрузки по новой.
 
  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe.
  3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. Самостоятельно без указания консультанта ничего не удаляйте!!!
  9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  10. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt
 
  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe.
  3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. Самостоятельно без указания консультанта ничего не удаляйте!!!
  9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  10. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt
P.S. Кстати, после перезагрузки сейчас не виснет уже минут 5, если это важно
 

Вложения

  • TDSSKiller.3.1.0.28_11.01.2020_10.53.36_log.txt
    173.1 KB · Просмотры: 6
Повторите сканирование и удалите найденные угрозы. Перезагрузите систему и соберите свежий CollectionLog (из безопасного собирайте только, если в нормальном не получится).
 
Повторите сканирование и удалите найденные угрозы. Перезагрузите систему и соберите свежий CollectionLog (из безопасного собирайте только, если в нормальном не получится).
Почти закончилась проверка KVRT в нормальном режиме, раз уж зависания нет. Актуально ещё? Прикреплю позже лог
 
Хорошо. Не забудьте новый CollectionLog.
 

Вложения

  • Reports.rar
    10.4 KB · Просмотры: 3
Да, после лечения KVRT снова запустите Autologger и соберите свежий CollectionLog (как в вашем сообщении №3).
 
Да, после лечения KVRT снова запустите Autologger и соберите свежий CollectionLog (как в вашем сообщении №3).
Если это важно, то я после удаления компьютер не перезагружал. Иначе, боюсь, что опять нормальный режим зависнет окончательно.
 

Вложения

  • CollectionLog-2020.01.11-13.45.zip
    21.6 KB · Просмотры: 4
Последнее редактирование:
Основная задачи утилит сбить руткит который идет в нагрузку.
 
боюсь, что опять нормальный режим зависнет
Не бойтесь, не зависнет :)

Для верности ещё давайте такие отчёты посмотрим:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Не бойтесь, не зависнет :)

Для верности ещё давайте такие отчёты посмотрим:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Вложения

  • Addition.txt
    12.9 KB · Просмотры: 2
  • FRST.txt
    17.2 KB · Просмотры: 3
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Task: {0566D254-796A-404E-8CA1-EC8B77D93428} - \oka -> No File <==== ATTENTION
    Task: {4F38934E-D613-4576-905E-3201ED4359EA} - \Mysa1 -> No File <==== ATTENTION
    Task: {7ECEDA2E-8C2B-4913-B07F-F7C82A3E3EB6} - \Mysa -> No File <==== ATTENTION
    Task: {DA6CB988-8A75-4F33-AB93-BB021D430821} - \Mysa3 -> No File <==== ATTENTION
    Task: {DD738222-68F7-41D6-B793-7C6D9F12F805} - \ok -> No File <==== ATTENTION
    Task: {EC092FA3-5C79-4C51-B18D-EC94F2458A10} - \Mysa2 -> No File <==== ATTENTION
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckamm4\"",Filter="__EventFilter.Name=\"fuckamm3\":: <==== ATTENTION
    WMI:subscription\__EventFilter->fuckamm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Task: {0566D254-796A-404E-8CA1-EC8B77D93428} - \oka -> No File <==== ATTENTION
    Task: {4F38934E-D613-4576-905E-3201ED4359EA} - \Mysa1 -> No File <==== ATTENTION
    Task: {7ECEDA2E-8C2B-4913-B07F-F7C82A3E3EB6} - \Mysa -> No File <==== ATTENTION
    Task: {DA6CB988-8A75-4F33-AB93-BB021D430821} - \Mysa3 -> No File <==== ATTENTION
    Task: {DD738222-68F7-41D6-B793-7C6D9F12F805} - \ok -> No File <==== ATTENTION
    Task: {EC092FA3-5C79-4C51-B18D-EC94F2458A10} - \Mysa2 -> No File <==== ATTENTION
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckamm4\"",Filter="__EventFilter.Name=\"fuckamm3\":: <==== ATTENTION
    WMI:subscription\__EventFilter->fuckamm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Вложения

  • Fixlog.txt
    4.3 KB · Просмотры: 2
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу