Решена Очень часто экран смерти (msime.exe и руткит)

[SeLeg]

Здравствуйте. При отключенном avaste словил какую-то дрянь. Теперь постоянно экран смерти. Помогите, пожалуйста.

 

[akok]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 SetServiceStart('wkxmxmqp', 4);
 QuarantineFile('C:\Windows\msime.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\reqbmhhi.sys', '');
 DeleteFile('C:\Windows\msime.exe', '32');
 DeleteFile('C:\Windows\system32\drivers\reqbmhhi.sys', '32');
 DeleteService('wkxmxmqp');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Запустите файл TDSSKiller.exe.
3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
4. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
8. Самостоятельно без указания консультанта ничего не удаляйте!!!
9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
10. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt

 

[SeLeg]

Готово

 

[akok]

Если честно, впервые вижу руткит по win x64 вживую.

Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему.
После повторно запустите TDSSKiller, запустите сканирование, и для найденных элементов выберите действие удалить.

09:41:05.0626 0x2078  C:\Windows\system32\drivers\reqbmhhi.sys - copied to quarantine
09:41:05.0626 0x2078  wkxmxmqp ( UDS:DangerousObject.Multi.Generic ) - User select action: Quarantine

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[SeLeg]

В активаторе сидел руткит. А также еще парочка зловредов, но их avast покилял.

 

[akok]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  VirusTotal: C:\Users\seleg\AppData\Roaming\run.exe;C:\Users\seleg\OYTZXxiilMi.exe;C:\Windows\SysWOW64\ENQaftAlE.exe
  HKLM-x32\...\Run: [] => [X]
  HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ATTENTION
  GroupPolicy: Restriction <==== ATTENTION
  GroupPolicy\User: Restriction <==== ATTENTION
  2018-02-17 09:34 - 2018-02-17 09:34 - 003174912 _____ C:\Windows\msime.exe
  1624-02-24 07:19 - 1624-02-24 07:19 - 000174592 ____N (Microsoft Corporation) C:\Users\seleg\OYTZXxiilMi.exe
  Task: {FC887065-6B37-4E7B-AD08-97BE6ADC096C} - \Windows\Recovery\Cleaner -> No File <==== ATTENTION
  FirewallRules: [{D6D7B807-5457-438C-A2F1-4FB53B6A5D2E}] => (Allow) C:\Windows\SysWOW64\ENQaftAlE.exe
  FirewallRules: [{343F183C-39AF-455F-9DC2-1ACCD21BDAFB}] => (Allow) C:\Windows\SysWOW64\FOOFO.exe
  C:\Windows\SysWOW64\ENQaftAlE.exe
  C:\Windows\SysWOW64\FOOFO.exe
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

 

[SeLeg]

Сделано

 

[akok]

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteStdScr(6);
 RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

Что с проблемами?

 

[SeLeg]

Проблем пока не обнаружено. Спасибо!

 

[akok]

Тогда финальные рекомендации.
Подготовьте лог лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Выполните обновление баз (Меню Файл - Обновление баз)
3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
5. Закачайте полученный архив, как описано на этой странице.
6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении

 

[SeLeg]

Все сделал. Спасибо большое за помощь.

 

[akok]

Отлично, придраться не к чему. Удачи!