Решена Решаем причина BSOD

[TheFirstNoob]

Перешел от темы: https://safezone.cc/forum/showthread.php?p=138992#post138992

 

[Ботан]

Приветствую TheAssassin, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.​

__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:

• virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.

***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.

***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!

__________________________________________________
С уважением, администрация SafeZone.​

 

[shestale]

1. Пофиксите в HJT эти строки (некоторых строк после выполнения скрипта AVZ может уже и не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.APEHA.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O4 - HKCU\..\Run: [b9986e51e6173005e6a4] iexplore.exe

2. Удалите в МВАМ все кроме

C:\Program Files\ESET\TNod User & Password Finder\TNODUP.exe (Trojan.Agent.CK) -> Действие не было предпринято.
C:\Program Files\ESET\TNod User & Password Finder\uninst-tnod.exe (Trojan.Agent.CK) -> Действие не было предпринято.

3.

AVZ - сервис - поиск данных в реестре.
В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда.
Поиск не закрывайте

4. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile(RegKeyStrParamRead('HKCU','Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders','Startup')+'\iexplore.exe','');
 DeleteFile(RegKeyStrParamRead('HKCU','Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders','Startup')+'\iexplore.exe');
 DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','b9986e51e6173005e6a4');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

5. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

6. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

7. Повторите логи AVZ и Rsit.

 

[TheFirstNoob]

Архив отправил. Если не дошел, то продублирую. AVZ делается вот пока RSIT и данные по реестру.

 

[TheFirstNoob]

Реестр

 

[TheFirstNoob]

Дополняю.

 

[TheFirstNoob]

Если что BSOD опять вылез. Вообще по словам Koza Nozdri тут вирусняк сидит.

 

[shestale]

Вообще по словам Koza Nozdri тут вирусняк сидит.

Раз Кирилл сказал, значит искать будем)

Пофиксите в HJT

O4 - HKCU\..\Run: [b9986e51e6173005e6a4] iexplore.exe

и повторите лог Rsit.

 

[TheFirstNoob]

Rsit

 

[akok]

Подготовьте лог SecurityCheck by glax24

 

[Tiare]

McAfee Security Scan Plus - деинсталлируйте (потенциально-несовместимое ПО)

 

[TheFirstNoob]

Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 10.02.2013 12:23:53
Program directory: C:\Users\User\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: False
XML File - VersionInet=3.0
Диск C:\ ФС: NTFS Емкость: (97.6 Гб) Занято: (74.5 Гб) Свободно: (23.1 Гб)
__________________________________________________

WIN_7(6.1) Build 7601 (x64) Professional Lang: Russian(0419)
Дата установки ОС: 28.04.2012 08:05:52
Статус лицензии: Windows(R) 7, Professional edition Постоянная активация прошла успешно.
Service Pack 1
Internet Explorer 9.0.8112.16421
-------------Windows------------------------------
Контроль учётных записей пользователя включен
Автоматическое обновление отключено
Дата установки обновлений: 2012-12-26 16:21:56
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Windows Defender
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100
GameSpy Comrade v.2.1.1.214
-------------Java---------------------------------
Java 7 Update 13 v.7.0.130
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.5.502.149
Adobe Flash Player 11 Plugin v.11.5.502.149
Adobe Reader XI (11.0.01) v.11.0.01
-------------Browser------------------------------
Yandex v.22.0.1104.222
-------------RunningProcess-----------------------
C:\Users\User\AppData\Local\Yandex\YandexBrowser\Application\browser.exe v.22.0.1104.222
C:\Program Files (x86)\Internet Explorer\iexplore.exe v.9.0.8112.16457
-------------EndLog-------------------------------

Добавлено через 1 минуту 1 секунду
McAfee давно удален, а Автообновление выключил я т.к. есть возможность что при обновлении винды вылетет BSOD.

 

[akok]

Автоматическое обновление отключено

В каком режиме работает обновление? Рекомендуем включить т.к., это позволяет закрывать актуальные уязвимости.

Добавлено через 17 секунд
Что с проблемами?

 

[TheFirstNoob]

akoK, Хорошо. Обновления включим и поставим. По теме с вирусами и прочим тут все закрыто, буду дальше отписываться на тему с BSOD.
Спасибо.