• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Решаем причина BSOD

Статус
В этой теме нельзя размещать новые ответы.

TheAssassin

Активный пользователь
Сообщения
301
Реакции
84
Баллы
408

Вложения

  • MBAM-log-2013-02-08 (18-11-30).txt
    9.1 KB · Просмотры: 3
  • info.txt
    26.2 KB · Просмотры: 0
  • log.txt
    56.7 KB · Просмотры: 1
  • hijackthis.log
    8.8 KB · Просмотры: 2
  • virusinfo_syscure.zip
    24.1 KB · Просмотры: 4

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую TheAssassin, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
1. Пофиксите в HJT эти строки (некоторых строк после выполнения скрипта AVZ может уже и не быть):
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.APEHA.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O4 - HKCU\..\Run: [b9986e51e6173005e6a4] iexplore.exe

2. Удалите в МВАМ все кроме
C:\Program Files\ESET\TNod User & Password Finder\TNODUP.exe (Trojan.Agent.CK) -> Действие не было предпринято.
C:\Program Files\ESET\TNod User & Password Finder\uninst-tnod.exe (Trojan.Agent.CK) -> Действие не было предпринято.

3.
AVZ - сервис - поиск данных в реестре.
В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда.
Поиск не закрывайте

4. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile(RegKeyStrParamRead('HKCU','Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders','Startup')+'\iexplore.exe','');
 DeleteFile(RegKeyStrParamRead('HKCU','Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders','Startup')+'\iexplore.exe');
 DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','b9986e51e6173005e6a4');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

5. После перезагрузки, выполните такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

6. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

7. Повторите логи AVZ и Rsit.
 

TheAssassin

Активный пользователь
Сообщения
301
Реакции
84
Баллы
408
Архив отправил. Если не дошел, то продублирую. AVZ делается вот пока RSIT и данные по реестру.
 

Вложения

  • log.txt
    54.2 KB · Просмотры: 4
  • info.txt
    26.2 KB · Просмотры: 0

TheAssassin

Активный пользователь
Сообщения
301
Реакции
84
Баллы
408
Реестр
 

Вложения

  • Export.txt.zip
    21.7 KB · Просмотры: 2

TheAssassin

Активный пользователь
Сообщения
301
Реакции
84
Баллы
408
Дополняю.
 

Вложения

  • virusinfo_syscure.zip
    24.5 KB · Просмотры: 3

TheAssassin

Активный пользователь
Сообщения
301
Реакции
84
Баллы
408
Если что BSOD опять вылез. Вообще по словам Koza Nozdri тут вирусняк сидит.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753

TheAssassin

Активный пользователь
Сообщения
301
Реакции
84
Баллы
408
Rsit
 

Вложения

  • log.txt
    55.4 KB · Просмотры: 3
  • info.txt
    26.2 KB · Просмотры: 0

Tiare

Ассоциация VN
Сообщения
639
Реакции
588
Баллы
483
McAfee Security Scan Plus - деинсталлируйте (потенциально-несовместимое ПО)
 

TheAssassin

Активный пользователь
Сообщения
301
Реакции
84
Баллы
408
Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 10.02.2013 12:23:53
Program directory: C:\Users\User\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: False
XML File - VersionInet=3.0
Диск C:\ ФС: NTFS Емкость: (97.6 Гб) Занято: (74.5 Гб) Свободно: (23.1 Гб)
__________________________________________________

WIN_7(6.1) Build 7601 (x64) Professional Lang: Russian(0419)
Дата установки ОС: 28.04.2012 08:05:52
Статус лицензии: Windows(R) 7, Professional edition Постоянная активация прошла успешно.
Service Pack 1
Internet Explorer 9.0.8112.16421
-------------Windows------------------------------
Контроль учётных записей пользователя включен
Автоматическое обновление отключено
Дата установки обновлений: 2012-12-26 16:21:56
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Windows Defender
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100
GameSpy Comrade v.2.1.1.214
-------------Java---------------------------------
Java 7 Update 13 v.7.0.130
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.5.502.149
Adobe Flash Player 11 Plugin v.11.5.502.149
Adobe Reader XI (11.0.01) v.11.0.01
-------------Browser------------------------------
Yandex v.22.0.1104.222
-------------RunningProcess-----------------------
C:\Users\User\AppData\Local\Yandex\YandexBrowser\Application\browser.exe v.22.0.1104.222
C:\Program Files (x86)\Internet Explorer\iexplore.exe v.9.0.8112.16457
-------------EndLog-------------------------------

Добавлено через 1 минуту 1 секунду
McAfee давно удален, а Автообновление выключил я т.к. есть возможность что при обновлении винды вылетет BSOD.
 

akok

Команда форума
Администратор
Сообщения
19,412
Реакции
13,385
Баллы
2,203
Автоматическое обновление отключено
В каком режиме работает обновление? Рекомендуем включить т.к., это позволяет закрывать актуальные уязвимости.

Добавлено через 17 секунд
Что с проблемами?
 

TheAssassin

Активный пользователь
Сообщения
301
Реакции
84
Баллы
408
akoK, Хорошо. Обновления включим и поставим. По теме с вирусами и прочим тут все закрыто, буду дальше отписываться на тему с BSOD.
Спасибо.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу