Решена Очень часто экран смерти (msime.exe и руткит)

Статус
В этой теме нельзя размещать новые ответы.

SeLeg

Постоянный участник
Сообщения
176
Реакции
1
Здравствуйте. При отключенном avaste словил какую-то дрянь. Теперь постоянно экран смерти. Помогите, пожалуйста.
 

Вложения

  • CollectionLog-2018.02.16-22.20.zip
    84.5 KB · Просмотры: 6
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 SetServiceStart('wkxmxmqp', 4);
 QuarantineFile('C:\Windows\msime.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\reqbmhhi.sys', '');
 DeleteFile('C:\Windows\msime.exe', '32');
 DeleteFile('C:\Windows\system32\drivers\reqbmhhi.sys', '32');
 DeleteService('wkxmxmqp');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe.
  3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. Самостоятельно без указания консультанта ничего не удаляйте!!!
  9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  10. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt
 
Готово
 

Вложения

  • CollectionLog-2018.02.17-09.37.zip
    96.8 KB · Просмотры: 2
  • TDSSKiller.3.1.0.16_17.02.2018_09.39.08_log.txt
    268.2 KB · Просмотры: 8
Если честно, впервые вижу руткит по win x64 вживую.

Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему.
После повторно запустите TDSSKiller, запустите сканирование, и для найденных элементов выберите действие удалить.
Код:
09:41:05.0626 0x2078  C:\Windows\system32\drivers\reqbmhhi.sys - copied to quarantine
09:41:05.0626 0x2078  wkxmxmqp ( UDS:DangerousObject.Multi.Generic ) - User select action: Quarantine

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
В активаторе сидел руткит. А также еще парочка зловредов, но их avast покилял.
 

Вложения

  • Addition.txt
    44.3 KB · Просмотры: 1
  • FRST.txt
    208.2 KB · Просмотры: 4
  • Shortcut.txt
    38.7 KB · Просмотры: 0
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Users\seleg\AppData\Roaming\run.exe;C:\Users\seleg\OYTZXxiilMi.exe;C:\Windows\SysWOW64\ENQaftAlE.exe
    HKLM-x32\...\Run: [] => [X]
    HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ATTENTION
    GroupPolicy: Restriction <==== ATTENTION
    GroupPolicy\User: Restriction <==== ATTENTION
    2018-02-17 09:34 - 2018-02-17 09:34 - 003174912 _____ C:\Windows\msime.exe
    1624-02-24 07:19 - 1624-02-24 07:19 - 000174592 ____N (Microsoft Corporation) C:\Users\seleg\OYTZXxiilMi.exe
    Task: {FC887065-6B37-4E7B-AD08-97BE6ADC096C} - \Windows\Recovery\Cleaner -> No File <==== ATTENTION
    FirewallRules: [{D6D7B807-5457-438C-A2F1-4FB53B6A5D2E}] => (Allow) C:\Windows\SysWOW64\ENQaftAlE.exe
    FirewallRules: [{343F183C-39AF-455F-9DC2-1ACCD21BDAFB}] => (Allow) C:\Windows\SysWOW64\FOOFO.exe
    C:\Windows\SysWOW64\ENQaftAlE.exe
    C:\Windows\SysWOW64\FOOFO.exe
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Сделано
 

Вложения

  • Fixlog.txt
    4.1 KB · Просмотры: 1
  • CollectionLog-2018.02.17-15.14.zip
    97.2 KB · Просмотры: 3
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
 ExecuteStdScr(6);
 RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.

Что с проблемами?
 
Проблем пока не обнаружено. Спасибо!
 
Тогда финальные рекомендации.
Подготовьте лог лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении
 
Все сделал. Спасибо большое за помощь.
 

Вложения

  • SecurityCheck.txt
    6.6 KB · Просмотры: 2
Отлично, придраться не к чему. Удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу