• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Очень часто экран смерти (msime.exe и руткит)

Статус
В этой теме нельзя размещать новые ответы.

SeLeg

Активный пользователь
Сообщения
172
Реакции
2
Баллы
398
Здравствуйте. При отключенном avaste словил какую-то дрянь. Теперь постоянно экран смерти. Помогите, пожалуйста.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,957
Реакции
13,567
Баллы
2,203
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 SetServiceStart('wkxmxmqp', 4);
 QuarantineFile('C:\Windows\msime.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\reqbmhhi.sys', '');
 DeleteFile('C:\Windows\msime.exe', '32');
 DeleteFile('C:\Windows\system32\drivers\reqbmhhi.sys', '32');
 DeleteService('wkxmxmqp');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте при помощи этой формы

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe.
  3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. Самостоятельно без указания консультанта ничего не удаляйте!!!
  9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  10. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt
 

akok

Команда форума
Администратор
Сообщения
17,957
Реакции
13,567
Баллы
2,203
Если честно, впервые вижу руткит по win x64 вживую.

Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему.
После повторно запустите TDSSKiller, запустите сканирование, и для найденных элементов выберите действие удалить.
Код:
09:41:05.0626 0x2078  C:\Windows\system32\drivers\reqbmhhi.sys - copied to quarantine
09:41:05.0626 0x2078  wkxmxmqp ( UDS:DangerousObject.Multi.Generic ) - User select action: Quarantine
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

SeLeg

Активный пользователь
Сообщения
172
Реакции
2
Баллы
398
В активаторе сидел руткит. А также еще парочка зловредов, но их avast покилял.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,957
Реакции
13,567
Баллы
2,203
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Users\seleg\AppData\Roaming\run.exe;C:\Users\seleg\OYTZXxiilMi.exe;C:\Windows\SysWOW64\ENQaftAlE.exe
    HKLM-x32\...\Run: [] => [X]
    HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ATTENTION
    GroupPolicy: Restriction <==== ATTENTION
    GroupPolicy\User: Restriction <==== ATTENTION
    2018-02-17 09:34 - 2018-02-17 09:34 - 003174912 _____ C:\Windows\msime.exe
    1624-02-24 07:19 - 1624-02-24 07:19 - 000174592 ____N (Microsoft Corporation) C:\Users\seleg\OYTZXxiilMi.exe
    Task: {FC887065-6B37-4E7B-AD08-97BE6ADC096C} - \Windows\Recovery\Cleaner -> No File <==== ATTENTION
    FirewallRules: [{D6D7B807-5457-438C-A2F1-4FB53B6A5D2E}] => (Allow) C:\Windows\SysWOW64\ENQaftAlE.exe
    FirewallRules: [{343F183C-39AF-455F-9DC2-1ACCD21BDAFB}] => (Allow) C:\Windows\SysWOW64\FOOFO.exe
    C:\Windows\SysWOW64\ENQaftAlE.exe
    C:\Windows\SysWOW64\FOOFO.exe
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

akok

Команда форума
Администратор
Сообщения
17,957
Реакции
13,567
Баллы
2,203
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
 ExecuteStdScr(6);
 RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.

Что с проблемами?
 

SeLeg

Активный пользователь
Сообщения
172
Реакции
2
Баллы
398
Проблем пока не обнаружено. Спасибо!
 

akok

Команда форума
Администратор
Сообщения
17,957
Реакции
13,567
Баллы
2,203
Тогда финальные рекомендации.
Подготовьте лог лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении
 

SeLeg

Активный пользователь
Сообщения
172
Реакции
2
Баллы
398
Все сделал. Спасибо большое за помощь.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,957
Реакции
13,567
Баллы
2,203
Отлично, придраться не к чему. Удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу