• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Подозрение в вирус Майнер

Статус
В этой теме нельзя размещать новые ответы.

Lunik

Активный пользователь
Сообщения
659
Реакции
215
Баллы
103
При каждом перезапуске блокируется реестр
Подозрительные процессы. Запуск системный файлов из левых папок
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,371
Реакции
2,097
Баллы
643
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\Администратор\appdata\roaming\mscvin.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\spsvc.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe');
 StopService('spoolsrvrs');
 StopService('wcvvses');
 StopService('werlsfks');
 StopService('wscsvs');
 QuarantineFile('c:\users\Администратор\appdata\roaming\mscvin.exe', '');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe', '');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe', '');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe', '');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe', '');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\spsvc.exe', '');
 QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe', '');
 QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', '');
 QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', '');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe', '');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe', '');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe', '');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe', '');
 QuarantineFileF('c:\windows\inf\axperflib', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\windows\inf\netlibrariestip', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('c:\users\Администратор\appdata\roaming\mscvin.exe', '32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe', '32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe', '32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe', '32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe', '32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\spsvc.exe', '32');
 DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe', '32');
 DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', '32');
 DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', '32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe', '32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe', '32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe', '32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe', '32');
 DeleteService('spoolsrvrs');
 DeleteService('wcvvses');
 DeleteService('werlsfks');
 DeleteService('wscsvs');
 DeleteFileMask('c:\windows\inf\axperflib', '*', true);
 DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true);
 DeleteDirectory('c:\windows\inf\axperflib');
 DeleteDirectory('c:\windows\inf\netlibrariestip');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Mscvin');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(17);
 ExecuteWizard('SCU', 2, 3, true);
end.
Пожалуйста, перезагрузите компьютер вручную.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 

Lunik

Активный пользователь
Сообщения
659
Реакции
215
Баллы
103
В момент выполнение скрипта Сервер зависает, AVZ зависает.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,371
Реакции
2,097
Баллы
643
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,371
Реакции
2,097
Баллы
643
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.3
    v400c
    BREG
    ;---------command-block---------
    bl E9A3C707FDA99579478E0EAC19E0AFA7 873472
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\FFMPEGSUMO.DLL
    delall %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\FFMPEGSUMO.DLL
    bl 203759B8848B16A5600053183170CDBD 38715904
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\LIBCEF.DLL
    delall %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\LIBCEF.DLL
    bl 177BDA0C92482DFA2C162A3750932B9C 1011712
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\LIBEAY32.DLL
    delall %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\LIBEAY32.DLL
    bl 4635935FC972C582632BF45C26BFCB0E 8192
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL\LSM.EXE
    delall %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL\LSM.EXE
    zoo %SystemRoot%\INF\AXPERFLIB\0010\0011\000E\0015\MMS.EXE
    delall %SystemRoot%\INF\AXPERFLIB\0010\0011\000E\0015\MMS.EXE
    zoo %SystemRoot%\INF\AXPERFLIB\0010\0011\000A\0010\MMS.EXE
    delall %SystemRoot%\INF\AXPERFLIB\0010\0011\000A\0010\MMS.EXE
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\MMS.EXE
    delall %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\MMS.EXE
    bl CA2F560921B7B8BE1CF555A5A18D54C3 348160
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\MSVCR71.DLL
    delall %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\MSVCR71.DLL
    bl 2C7B219CD45E962C49B1834083C75183 600868
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\SQLITE3.DLL
    delall %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\SQLITE3.DLL
    bl 5023F4C4AAAA1B6E9D992D6BBDCD340B 196608
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\SSLEAY32.DLL
    delall %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\SSLEAY32.DLL
    bl 3F73EBB59EE002FA868DBDFE182174B0 686592
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL\SSMS.EXE
    delall %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL\SSMS.EXE
    bl D1170274B007CD5E0A732DED6C8EED25 685568
    zoo %SystemRoot%\INF\AXPERFLIB\0010\0011\000A\0010\VMMS.EXE
    delall %SystemRoot%\INF\AXPERFLIB\0010\0011\000A\0010\VMMS.EXE
    bl 728935A0F1E0D2C2B5EEC2F3A1280B9D 392136
    zoo %SystemRoot%\INF\AXPERFLIB\0010\0011\0015\0016\AXPERFLIB\SPSVC.EXE
    delall %SystemRoot%\INF\AXPERFLIB\0010\0011\0015\0016\AXPERFLIB\SPSVC.EXE
    bl B82071DFBFD2B339271ACCAE3FD1EAFF 790016
    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SYSTEM\WEBISIDA.BROWSER.EXE
    delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SYSTEM\WEBISIDA.BROWSER.EXE
    apply
    
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\WASP.EXE
    bl E93ECC5D23CA7DBEC00712B735D6821B 6184480
    addsgn A7679B1991A27FB282917E3821049B40ED03B92E00BFCBF1C01F7DA0D74671A477F96DA80D95C8217964159F22E9799EF4FF0027E01A4FC4D55A0BD02F819CB3 8 RiskTool.Win32.Agent.amrp [Kaspersky] 7
    
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\WASPWING.EXE
    bl 7C4815F4AA24D8D27E90A4D75849D0DD 1807400
    addsgn A7679B234D6A4C7261D4C4B12DBDEB549DD6E0A589122D6E683CF67C05BE34E67017A7A80E311469998125FFCC4549128D6A048DF6BE2C792DCFCCB39206A966 17 RiskTool.Win32.Agent.amrm [Kaspersky] 7
    
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\SPOOLSV.EXE
    bl 2188ADC70BB2AF8EDA4877790616322E 695296
    addsgn 1A0E299A5583C58CF42B254E3143FE54A6EF00F6DA7142680018B0BB631698D62317C301BDAE993B5E0DF763C3E03D94F692E4F910D23A3CAEB7A0AC0602A6A1 8 Trojan.Starter.7365 [DrWeb] 7
    
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\WAHIVER.EXE
    bl AB5ABD080FBD3C6FA2FAB8B76186A1E7 2848800
    addsgn 9252779AE16AC1CC0BC4224E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Tool.Click.38 [DrWeb] 7
    
    zoo %SystemRoot%\INF\AXPERFLIB\0010\0011\000E\0015\TASKHOSTEX.EXE
    bl 9281F6DFCDFA7B64A5628CD15CEE31AE 685568
    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SYSTEM\SETTINGS.EXE
    bl 43A09C049AF7EFFFED4724B17D9421B5 40448
    addsgn 925277DA146AC1CC0B04504E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 RiskTool.MSIL.Sidaweb.i [Kaspersky] 7
    
    zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MSCVIN.EXE
    bl 102E28F3255F0A6F63A0E9FEAA9D4928 122880
    addsgn 9AC055DA5582A28DF42BAEB164C81205158AFCF6B1FA1F7885C3C5BC582B4C2E30D79D1D8E897CC0CC4E7E59461649FA7DDFE97255DAD54A4805C141AF6D1346 8 Trojan.Win32.Diztakun.asae [Kaspersky] 7
    
    zoo %SystemDrive%\DELL\SVCHOST.EXE
    chklst
    delvir
    
    deldir %SystemRoot%\INF\AXPERFLIB\
    deldir %SystemRoot%\INF\NETLIBRARIESTIP\
    
    regt 2
    czoo
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Перезагрузите компьютер вручную.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.

Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.

Затем соберите и прикрепите новый лог uVS.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,371
Реакции
2,097
Баллы
643
Лог выглядит значительно лучше. Как внешне?
 

Lunik

Активный пользователь
Сообщения
659
Реакции
215
Баллы
103
Судя по всему зараз все таки еще сидит, сделал новый лог.
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,371
Реакции
2,097
Баллы
643
Да, заразились по новой :(

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 QuarantineFileF('c:\windows\inf\netlibrariestip', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\windows\inf\axperflib', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe', '');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe', '');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '32');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe', '32');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '32');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe', '32');
 DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true);
 DeleteFileMask('c:\windows\inf\axperflib', '*', true);
 DeleteDirectory('c:\windows\inf\netlibrariestip');
 DeleteDirectory('c:\windows\inf\axperflib');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 DeleteService('spoolsrvrs');
 DeleteService('wcvvses');
 DeleteService('werlsfks');
 DeleteService('wscsvs');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Пожалуйста, перезагрузите компьютер вручную.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Скачайте https://safezone.cc/resources/autorunsvtchecker.211/
Распакуйте и запустите. Дождитесь окончания его работы.

Затем соберите и прикрепите свежий лог uVS. (инструкция в сообщении №4)
 

Lunik

Активный пользователь
Сообщения
659
Реакции
215
Баллы
103
Каратинт отправлен, утилита завершила свою работу.
Лог Готов
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,371
Реакции
2,097
Баллы
643
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
 

Lunik

Активный пользователь
Сообщения
659
Реакции
215
Баллы
103
Найденые уязвимости устранены
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,371
Реакции
2,097
Баллы
643
Для верности, соберите и прикрепите свежий CollectionLog.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,371
Реакции
2,097
Баллы
643
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,371
Реакции
2,097
Баллы
643
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    S2 spoolsrvrs; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe [X]
    S2 wcvvses; C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe [X]
    S2 werlsfks; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe [X]
    S2 wscsvs; C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe [X]
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.


Еще раз для контроля соберите CollectionLog.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,371
Реакции
2,097
Баллы
643
Что сейчас осталось из проблем?
 
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу