• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Подозрение в вирус Майнер

Lunik

Практикант
Сообщения
359
Симпатии
59
#1
При каждом перезапуске блокируется реестр
Подозрительные процессы. Запуск системный файлов из левых папок
 

Вложения

Sandor

Ассоциация VN/VIP
Сообщения
4,423
Симпатии
1,581
#2
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\Администратор\appdata\roaming\mscvin.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\spsvc.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe');
 StopService('spoolsrvrs');
 StopService('wcvvses');
 StopService('werlsfks');
 StopService('wscsvs');
 QuarantineFile('c:\users\Администратор\appdata\roaming\mscvin.exe', '');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe', '');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe', '');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe', '');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe', '');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\spsvc.exe', '');
 QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe', '');
 QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', '');
 QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', '');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe', '');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe', '');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe', '');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe', '');
 QuarantineFileF('c:\windows\inf\axperflib', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\windows\inf\netlibrariestip', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('c:\users\Администратор\appdata\roaming\mscvin.exe', '32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe', '32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe', '32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe', '32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe', '32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\spsvc.exe', '32');
 DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe', '32');
 DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', '32');
 DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', '32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe', '32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe', '32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe', '32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe', '32');
 DeleteService('spoolsrvrs');
 DeleteService('wcvvses');
 DeleteService('werlsfks');
 DeleteService('wscsvs');
 DeleteFileMask('c:\windows\inf\axperflib', '*', true);
 DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true);
 DeleteDirectory('c:\windows\inf\axperflib');
 DeleteDirectory('c:\windows\inf\netlibrariestip');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Mscvin');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(17);
 ExecuteWizard('SCU', 2, 3, true);
end.
Пожалуйста, перезагрузите компьютер вручную.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 

Lunik

Практикант
Сообщения
359
Симпатии
59
#3
В момент выполнение скрипта Сервер зависает, AVZ зависает.
 

Sandor

Ассоциация VN/VIP
Сообщения
4,423
Симпатии
1,581
#4
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.
 

Sandor

Ассоциация VN/VIP
Сообщения
4,423
Симпатии
1,581
#6
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.3
    v400c
    BREG
    ;---------command-block---------
    bl E9A3C707FDA99579478E0EAC19E0AFA7 873472
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\FFMPEGSUMO.DLL
    delall %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\FFMPEGSUMO.DLL
    bl 203759B8848B16A5600053183170CDBD 38715904
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\LIBCEF.DLL
    delall %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\LIBCEF.DLL
    bl 177BDA0C92482DFA2C162A3750932B9C 1011712
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\LIBEAY32.DLL
    delall %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\LIBEAY32.DLL
    bl 4635935FC972C582632BF45C26BFCB0E 8192
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL\LSM.EXE
    delall %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL\LSM.EXE
    zoo %SystemRoot%\INF\AXPERFLIB\0010\0011\000E\0015\MMS.EXE
    delall %SystemRoot%\INF\AXPERFLIB\0010\0011\000E\0015\MMS.EXE
    zoo %SystemRoot%\INF\AXPERFLIB\0010\0011\000A\0010\MMS.EXE
    delall %SystemRoot%\INF\AXPERFLIB\0010\0011\000A\0010\MMS.EXE
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\MMS.EXE
    delall %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\MMS.EXE
    bl CA2F560921B7B8BE1CF555A5A18D54C3 348160
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\MSVCR71.DLL
    delall %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\MSVCR71.DLL
    bl 2C7B219CD45E962C49B1834083C75183 600868
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\SQLITE3.DLL
    delall %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\SQLITE3.DLL
    bl 5023F4C4AAAA1B6E9D992D6BBDCD340B 196608
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\SSLEAY32.DLL
    delall %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\SSLEAY32.DLL
    bl 3F73EBB59EE002FA868DBDFE182174B0 686592
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL\SSMS.EXE
    delall %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL\SSMS.EXE
    bl D1170274B007CD5E0A732DED6C8EED25 685568
    zoo %SystemRoot%\INF\AXPERFLIB\0010\0011\000A\0010\VMMS.EXE
    delall %SystemRoot%\INF\AXPERFLIB\0010\0011\000A\0010\VMMS.EXE
    bl 728935A0F1E0D2C2B5EEC2F3A1280B9D 392136
    zoo %SystemRoot%\INF\AXPERFLIB\0010\0011\0015\0016\AXPERFLIB\SPSVC.EXE
    delall %SystemRoot%\INF\AXPERFLIB\0010\0011\0015\0016\AXPERFLIB\SPSVC.EXE
    bl B82071DFBFD2B339271ACCAE3FD1EAFF 790016
    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SYSTEM\WEBISIDA.BROWSER.EXE
    delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SYSTEM\WEBISIDA.BROWSER.EXE
    apply
    
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\WASP.EXE
    bl E93ECC5D23CA7DBEC00712B735D6821B 6184480
    addsgn A7679B1991A27FB282917E3821049B40ED03B92E00BFCBF1C01F7DA0D74671A477F96DA80D95C8217964159F22E9799EF4FF0027E01A4FC4D55A0BD02F819CB3 8 RiskTool.Win32.Agent.amrp [Kaspersky] 7
    
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\WASPWING.EXE
    bl 7C4815F4AA24D8D27E90A4D75849D0DD 1807400
    addsgn A7679B234D6A4C7261D4C4B12DBDEB549DD6E0A589122D6E683CF67C05BE34E67017A7A80E311469998125FFCC4549128D6A048DF6BE2C792DCFCCB39206A966 17 RiskTool.Win32.Agent.amrm [Kaspersky] 7
    
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\SPOOLSV.EXE
    bl 2188ADC70BB2AF8EDA4877790616322E 695296
    addsgn 1A0E299A5583C58CF42B254E3143FE54A6EF00F6DA7142680018B0BB631698D62317C301BDAE993B5E0DF763C3E03D94F692E4F910D23A3CAEB7A0AC0602A6A1 8 Trojan.Starter.7365 [DrWeb] 7
    
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\WAHIVER.EXE
    bl AB5ABD080FBD3C6FA2FAB8B76186A1E7 2848800
    addsgn 9252779AE16AC1CC0BC4224E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Tool.Click.38 [DrWeb] 7
    
    zoo %SystemRoot%\INF\AXPERFLIB\0010\0011\000E\0015\TASKHOSTEX.EXE
    bl 9281F6DFCDFA7B64A5628CD15CEE31AE 685568
    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SYSTEM\SETTINGS.EXE
    bl 43A09C049AF7EFFFED4724B17D9421B5 40448
    addsgn 925277DA146AC1CC0B04504E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 RiskTool.MSIL.Sidaweb.i [Kaspersky] 7
    
    zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MSCVIN.EXE
    bl 102E28F3255F0A6F63A0E9FEAA9D4928 122880
    addsgn 9AC055DA5582A28DF42BAEB164C81205158AFCF6B1FA1F7885C3C5BC582B4C2E30D79D1D8E897CC0CC4E7E59461649FA7DDFE97255DAD54A4805C141AF6D1346 8 Trojan.Win32.Diztakun.asae [Kaspersky] 7
    
    zoo %SystemDrive%\DELL\SVCHOST.EXE
    chklst
    delvir
    
    deldir %SystemRoot%\INF\AXPERFLIB\
    deldir %SystemRoot%\INF\NETLIBRARIESTIP\
    
    regt 2
    czoo
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Перезагрузите компьютер вручную.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.

Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.

Затем соберите и прикрепите новый лог uVS.
 

Sandor

Ассоциация VN/VIP
Сообщения
4,423
Симпатии
1,581
#8
Лог выглядит значительно лучше. Как внешне?
 

Sandor

Ассоциация VN/VIP
Сообщения
4,423
Симпатии
1,581
#10
Да, заразились по новой :(

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 QuarantineFileF('c:\windows\inf\netlibrariestip', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\windows\inf\axperflib', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe', '');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe', '');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '32');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe', '32');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '32');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe', '32');
 DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true);
 DeleteFileMask('c:\windows\inf\axperflib', '*', true);
 DeleteDirectory('c:\windows\inf\netlibrariestip');
 DeleteDirectory('c:\windows\inf\axperflib');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 DeleteService('spoolsrvrs');
 DeleteService('wcvvses');
 DeleteService('werlsfks');
 DeleteService('wscsvs');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Пожалуйста, перезагрузите компьютер вручную.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Скачайте https://safezone.cc/resources/autorunsvtchecker.211/
Распакуйте и запустите. Дождитесь окончания его работы.

Затем соберите и прикрепите свежий лог uVS. (инструкция в сообщении №4)
 

Sandor

Ассоциация VN/VIP
Сообщения
4,423
Симпатии
1,581
#12
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
 

Lunik

Практикант
Сообщения
359
Симпатии
59
#13
Найденые уязвимости устранены
 

Sandor

Ассоциация VN/VIP
Сообщения
4,423
Симпатии
1,581
#14
Для верности, соберите и прикрепите свежий CollectionLog.
 

Sandor

Ассоциация VN/VIP
Сообщения
4,423
Симпатии
1,581
#16
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Ассоциация VN/VIP
Сообщения
4,423
Симпатии
1,581
#18
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    S2 spoolsrvrs; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe [X]
    S2 wcvvses; C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe [X]
    S2 werlsfks; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe [X]
    S2 wscsvs; C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe [X]
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.


Еще раз для контроля соберите CollectionLog.
 
Сверху Снизу