• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Проблема с драйверами Nvidia

Статус
В этой теме нельзя размещать новые ответы.

Neru

Новый пользователь
Сообщения
38
Реакции
0
Баллы
6
Создавал тему с этой же проблемой в в разделе решения проблем с железом. Много чего перепробовал, результата нет. Драйвера на данный момент не имею и новый ставиться ну никак не хочет. Направили меня сюда.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,789
Реакции
13,524
Баллы
2,203
Деинсталлируйте пока
driverpack cloud
mbam
c:\progra~2\operah~1\opera_~1.exe - знакомо?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\PROGRA~2\OPERAH~1\OPERA_~1.EXE','');
 QuarantineFile('C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\games\Far Cry 3 Blood Dragon\fcbd.bat','');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
17,789
Реакции
13,524
Баллы
2,203
  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

но у меня нет zip файла
В папке AVZ (та что в папке автоллогера находится) смотрели?
 

Neru

Новый пользователь
Сообщения
38
Реакции
0
Баллы
6
  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
  • В меню Настройкиотметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


В папке AVZ (та что в папке автоллогера находится) смотрели?
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,471
Реакции
1,848
Баллы
563
Должен быть quarantine.7z

Далее:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,471
Реакции
1,848
Баллы
563
А вы второй скрипт выполняли?
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,471
Реакции
1,848
Баллы
563
+
Через Панель управления - Удаление программ - удалите нежелательное ПО:
Bing Bar
Google Toolbar for Internet Explorer
Skype Click to Call
Unity Web Player
Элементы Яндекса 8.7 для Internet Explorer
Kaspersky Internet Security 2013 - очень устаревшая и более не поддерживаемая версия. На время лечения удалите, потом установите актуальную.

Эти две ставили самостоятельно?
Phoenix Service Software (HKLM-x32\...\{0096C58A-A754-4848-BDB7-9DEF17D01C48}) (Version: 2012.50.001.49220 - Nokia)
Phoenix Service Software 2012.50.001.49220 (HKLM-x32\...\Phoenix Service Software 2012.50.001.49220_is1) (Version: - Seidea.com)
Если нет, тоже удалите.

Затем соберите свежие логи FRST.
 

Neru

Новый пользователь
Сообщения
38
Реакции
0
Баллы
6
+
Через Панель управления - Удаление программ - удалите нежелательное ПО:


Kaspersky Internet Security 2013 - очень устаревшая и более не поддерживаемая версия. На время лечения удалите, потом установите актуальную.

Эти две ставили самостоятельно?

Если нет, тоже удалите.

Затем соберите свежие логи FRST.
Всё таки отправил с помощью формы карантин, оказывается он удалялся после перезагрузки и я его не заметил.
2019.05.25_quarantine_6770a70010c604060336591aa7292e4e.7z

имя карантина
 

Вложения

  • 31.1 KB Просмотры: 2

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,471
Реакции
1,848
Баллы
563
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    CloseProcesses:
    (DriverPack Solution) [File not signed] C:\Program Files (x86)\DriverPack Cloud\cloud.exe
    (DriverPack Solution) [File not signed] C:\Program Files (x86)\DriverPack Cloud\cloud.exe
    (DriverPack Solution) [File not signed] C:\Program Files (x86)\DriverPack Cloud\cloud.exe
    (DriverPack Solution) [File not signed] C:\Program Files (x86)\DriverPack Cloud\cloud.exe
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {010B58A8-2BFA-4241-B48A-E6EEE7892304} - \Scheduler Update-S-1-8-22 -> No File <==== ATTENTION
    Task: {5120D674-A763-4B6E-ADED-062D7CE60075} - System32\Tasks\DriverPack Cloud => C:\Program Files (x86)\DriverPack Cloud\cloud.exe [4242432 2019-04-22] (DriverPack Solution) [File not signed]
    Task: {7E872CE6-24BF-4DF4-8B67-9A35A6BA7A00} - \DuckGo Task -> No File <==== ATTENTION
    Task: {ACE6063E-7069-4C08-B95C-87A4AD538B6F} - System32\Tasks\Opera_helper => C:\PROGRA~2\OPERAH~1\OPERA_~1.EXE
    Task: C:\Windows\Tasks\Opera_helper.job => C:\PROGRA~2\OPERAH~1\OPERA_~1.EXE
    AutoConfigURL: [S-1-5-21-824861220-1393075985-2320448469-1000] => hxxps://config.anticenz.org/proxy.pac
    ManualProxies: 0hxxps://config.anticenz.org/proxy.pac
    BHO-x32: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> No File
    Toolbar: HKLM - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll No File
    Toolbar: HKLM-x32 - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -  No File
    C:\Users\Дом\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\gcpkohnhcheajaneelkpaiebgkbdafmi
    CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
    C:\Users\Дом\AppData\Roaming\Opera Software\Opera Stable\Extensions\agapaenbopboombhnknhckhipdfpafgp
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__FilterToConsumerBinding->LogFileEventConsumer.Name=\"ProgramChangeConsumer\"",Filter="__EventFilter.Name=\"ProgramChangeFilter\"::
    WMI:subscription\__FilterToConsumerBinding->LogFileEventConsumer.Name=\"DeviceChangeConsumer\"",Filter="__EventFilter.Name=\"DeviceChangeFilter\"::
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\__EventFilter->ProgramChangeFilter::[Query => select * from RegistryTreeChangeEvent within 10 where Hive = 'HKEY_LOCAL_MACHINE' and RootPath='SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall']
    WMI:subscription\__EventFilter->DeviceChangeFilter::[Query => select * from __instanceOperationEvent within 10 where targetInstance isa 'win32_PnPEntity']
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    WMI:subscription\LogFileEventConsumer->ProgramChangeConsumer::
    WMI:subscription\LogFileEventConsumer->DeviceChangeConsumer::
    ShortcutWithArgument: C:\Users\Дом\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://vodarma.ru/?utm_source=startlink03&utm_content=9a260c246dff6516dabed6ceb9f656ba&utm_term=922C525E7312172592845D340751EC6E&utm_d=20171002&utm_medium=p_15154_"
    HKU\S-1-5-21-824861220-1393075985-2320448469-1000\Software\Classes\regfile: regedit.exe "%1" <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
  • Like
Реакции: akok

Neru

Новый пользователь
Сообщения
38
Реакции
0
Баллы
6
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    CloseProcesses:
    (DriverPack Solution) [File not signed] C:\Program Files (x86)\DriverPack Cloud\cloud.exe
    (DriverPack Solution) [File not signed] C:\Program Files (x86)\DriverPack Cloud\cloud.exe
    (DriverPack Solution) [File not signed] C:\Program Files (x86)\DriverPack Cloud\cloud.exe
    (DriverPack Solution) [File not signed] C:\Program Files (x86)\DriverPack Cloud\cloud.exe
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {010B58A8-2BFA-4241-B48A-E6EEE7892304} - \Scheduler Update-S-1-8-22 -> No File <==== ATTENTION
    Task: {5120D674-A763-4B6E-ADED-062D7CE60075} - System32\Tasks\DriverPack Cloud => C:\Program Files (x86)\DriverPack Cloud\cloud.exe [4242432 2019-04-22] (DriverPack Solution) [File not signed]
    Task: {7E872CE6-24BF-4DF4-8B67-9A35A6BA7A00} - \DuckGo Task -> No File <==== ATTENTION
    Task: {ACE6063E-7069-4C08-B95C-87A4AD538B6F} - System32\Tasks\Opera_helper => C:\PROGRA~2\OPERAH~1\OPERA_~1.EXE
    Task: C:\Windows\Tasks\Opera_helper.job => C:\PROGRA~2\OPERAH~1\OPERA_~1.EXE
    AutoConfigURL: [S-1-5-21-824861220-1393075985-2320448469-1000] => hxxps://config.anticenz.org/proxy.pac
    ManualProxies: 0hxxps://config.anticenz.org/proxy.pac
    BHO-x32: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> No File
    Toolbar: HKLM - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll No File
    Toolbar: HKLM-x32 - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -  No File
    C:\Users\Дом\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\gcpkohnhcheajaneelkpaiebgkbdafmi
    CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
    C:\Users\Дом\AppData\Roaming\Opera Software\Opera Stable\Extensions\agapaenbopboombhnknhckhipdfpafgp
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__FilterToConsumerBinding->LogFileEventConsumer.Name=\"ProgramChangeConsumer\"",Filter="__EventFilter.Name=\"ProgramChangeFilter\"::
    WMI:subscription\__FilterToConsumerBinding->LogFileEventConsumer.Name=\"DeviceChangeConsumer\"",Filter="__EventFilter.Name=\"DeviceChangeFilter\"::
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\__EventFilter->ProgramChangeFilter::[Query => select * from RegistryTreeChangeEvent within 10 where Hive = 'HKEY_LOCAL_MACHINE' and RootPath='SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall']
    WMI:subscription\__EventFilter->DeviceChangeFilter::[Query => select * from __instanceOperationEvent within 10 where targetInstance isa 'win32_PnPEntity']
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    WMI:subscription\LogFileEventConsumer->ProgramChangeConsumer::
    WMI:subscription\LogFileEventConsumer->DeviceChangeConsumer::
    ShortcutWithArgument: C:\Users\Дом\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://vodarma.ru/?utm_source=startlink03&utm_content=9a260c246dff6516dabed6ceb9f656ba&utm_term=922C525E7312172592845D340751EC6E&utm_d=20171002&utm_medium=p_15154_"
    HKU\S-1-5-21-824861220-1393075985-2320448469-1000\Software\Classes\regfile: regedit.exe "%1" <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,789
Реакции
13,524
Баллы
2,203
На сим все. Попробуйте установить драйвера с сайта производителя
 

akok

Команда форума
Администратор
Сообщения
17,789
Реакции
13,524
Баллы
2,203
Тогда возвращаемся в старую тему.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,471
Реакции
1,848
Баллы
563
Я бы хотел ещё посмотреть свежие логи FRST. Перед этим старые удалите в корзину.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,471
Реакции
1,848
Баллы
563
Ещё Addition.txt, пожалуйста.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,471
Реакции
1,848
Баллы
563
Лог FRST.txt неполный. Переделайте, пожалуйста.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу