Решена Удаление руткита TSDD 4.0 ПОМОГИТЕ УДАЛИТЬ

  • Автор темы Автор темы kamper
  • Дата начала Дата начала
Статус
В этой теме нельзя размещать новые ответы.
K

kamper

Участник
Сообщения
71
Реакции
3
Здравствуйте!помогите справиться с руткитом tsdd 4.0 появляется синий экран смерти
 
Здравствуйте! лог отправил что не так сделал когда решите мою проблему?
 
Когда будет время, Вы, кажется в разделе бесплатного лечения, не так ли? Чего-либо настойчиво спрашивать тут не стоит...
Удалите:
IObit Malware Fighter
PC Tools Spyware Doctor 9.0
SpyHunter
Spybot - Search & Destroy
AVG Anti-Rootkit Free

Зоопарк из антивирусов в системе - верный путь к синим экранам.

В AVZ меню "Файл" -> "Выполнить скрипт", вставьте содержимое окна "код" ниже и нажмите "Запустить":
Код: 
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFile('C:\Windows\system32\DRIVERS\aswTap.sys', '32');
 DeleteService('NDISKIO');
 DeleteService('ZAM_Guard');
 DeleteService('ZAM');
 DeleteService('TuneUpUtilitiesDrv');
 DeleteService('MFE_RR');
 DeleteService('karlchen');
 DeleteService('HAVProcessMonitor');
 DeleteService('eapihdrv');
 DeleteService('DwProt');
 DeleteService('catchme');
 DeleteService('aswTap');
 DeleteService('aswArKrn');
 DeleteService('5vhc6gx7');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(10);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Скачайте и запустите TDSSKiller: Утилита TDSSKiller.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
 
Нет у Вас руткита.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
 
Настоятельно рекомендую удалить программы Advanced SystemCare 9, Surfing Protection и Driver Booster 3.5.

Выполните скрипт в Farbar Recovery Scan Tool:
Код: 
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1349674665-812338135-826244200-1001\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-1349674665-812338135-826244200-1001 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Handler: abs - No CLSID Value - 
Handler: skype-ie-addon-data - No CLSID Value - 
CHR Extension: (Chrome Media Router) - C:\Users\123\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-09-08]
CHR HKLM\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
S3 rpcapd; "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini" [X]
S1 qutmipc; C:\Windows\system32\drivers\qutmipc.sys [53960 2015-12-31] (360.cn)
S3 Lavasoft Kernexplorer; no ImagePath
S2 {1BA31E5A-C098-42d8-8F88-3C9F78A2FDDC}; no ImagePath
2016-08-07 13:13 - 2016-08-07 13:14 - 00536240 _____ (Dashlane Inc.) C:\Users\123\Downloads\Dashlane_Launcher_ball-1458725556.exe
2016-08-08 14:55 - 2014-06-28 13:48 - 00000000 ____D C:\Windows\system32\Norman TDSS Cleaner v2.0.2
2016-06-27 10:30 - 2016-06-27 10:30 - 00000000 ____D C:\ProgramData\{FD6F83C0-EC70-4581-8361-C70CD1AA4B98}
2016-06-20 17:17 - 2016-06-23 00:12 - 00073252 _____ C:\Windows\ZAM_Guard.krnl.trace
2016-06-20 17:17 - 2016-06-22 11:04 - 00041317 _____ C:\Windows\ZAM.krnl.trace
2011-03-25 19:02 - 2011-03-25 19:02 - 0000073 ____H () C:\Program Files\atjgwngthylhsuyeuxdleurhyresjwsdfjpfiow.fcs
2011-03-25 19:01 - 2011-03-25 23:34 - 0000280 ____H () C:\Program Files\glnwybgffihpmaqikzrlqsbdg.kkn
2011-03-25 19:02 - 2011-03-25 23:34 - 0002378 ____H () C:\Program Files\kzleqdsblyhzgeegsrtxmyrdqfoylumtrrt.egk
2011-03-25 19:01 - 2011-03-25 19:01 - 0004248 ____H () C:\Program Files\lboivjzjuisltstwjjmrhuobpfpaoyrzyzcp.sxn
2011-03-25 19:02 - 2011-03-25 23:34 - 0000316 ____H () C:\Program Files\tlawlbtfsiupzadixzeldsodtlxkamhrsvaprw.vkg
2016-05-04 10:55 - 2016-05-04 10:55 - 0427348 _____ () C:\Users\123\AppData\Local\ars.cache
2011-03-25 19:02 - 2011-03-25 19:02 - 0000073 ____H () C:\Users\123\AppData\Local\atjgwngthylhsuyeuxdleurhyresjwsdfjpfiow.fcs
2016-05-04 10:56 - 2016-05-04 10:56 - 0408436 _____ () C:\Users\123\AppData\Local\census.cache
2011-05-16 21:05 - 2011-05-16 21:05 - 0000091 _____ () C:\Users\123\AppData\Local\fusioncache.dat
2011-03-25 19:01 - 2011-03-25 23:34 - 0000280 ____H () C:\Users\123\AppData\Local\glnwybgffihpmaqikzrlqsbdg.kkn
2016-04-29 19:48 - 2016-04-29 19:48 - 0000036 _____ () C:\Users\123\AppData\Local\housecall.guid.cache
2011-03-25 19:02 - 2011-03-25 23:34 - 0002378 ____H () C:\Users\123\AppData\Local\kzleqdsblyhzgeegsrtxmyrdqfoylumtrrt.egk
2011-03-25 19:01 - 2011-03-25 19:01 - 0004248 ____H () C:\Users\123\AppData\Local\lboivjzjuisltstwjjmrhuobpfpaoyrzyzcp.sxn
2016-04-29 20:16 - 2016-05-04 10:45 - 0000010 _____ () C:\Users\123\AppData\Local\sponge.last.runtime.cache
2011-03-25 19:02 - 2011-03-25 23:34 - 0000316 ____H () C:\Users\123\AppData\Local\tlawlbtfsiupzadixzeldsodtlxkamhrsvaprw.vkg
Task: {002E04AE-B103-41C6-8757-6ED8F42DA604} - \{9299117A-C224-4D07-B4AF-5BD392942DB4} -> No File <==== ATTENTION
Task: {0F2B1678-1DAA-4461-AFC4-DC3F6547806F} - \{B96E35F4-939C-4FF3-922C-9C723953302F} -> No File <==== ATTENTION
Task: {2620ABF5-C81D-4396-BEAA-7C848C4FBC29} - \{7608AB4B-1062-4825-9EB8-62EEC3A41591} -> No File <==== ATTENTION
Task: {269FB436-8036-4DA0-AFD4-585FA618AB89} - \{145C435D-7E35-4BBF-9834-3431C101331D} -> No File <==== ATTENTION
Task: {4C8DCDB7-7E5C-4E01-9797-9E7F011C4254} - \Opera scheduled Autoupdate 1447875321 -> No File <==== ATTENTION
Task: {56B49A0C-A3CC-44FC-9FB3-BD3F3BE716D3} - \RotatorCom -> No File <==== ATTENTION
Task: {5AFCCDCE-D0E9-4950-A030-6D47D6F34B6B} - \{2BCE0AF6-6F60-4874-BABA-E459B3A7DBD0} -> No File <==== ATTENTION
Task: {86B1C0D2-ED3F-4853-A8CC-5C98B0C8015D} - \{C58D8736-8A73-4F3F-BC16-306E7ED41EA4} -> No File <==== ATTENTION
Task: {92AB4E75-529B-4B0B-8C6F-DFC9D7F318AB} - \User_Feed_Synchronization-{3696D6D7-6A11-4168-886B-94B8A8E06670} -> No File <==== ATTENTION
Task: {A078A2A7-D158-498F-81DF-2F1A482A5AFB} - \Adobe online update program -> No File <==== ATTENTION
Task: {A28BACF4-0B56-4383-8C15-156917C3D182} - \TuneUpUtilities_Task_BkGndMaintenance2013 -> No File <==== ATTENTION
Task: {AFD370EC-DEF5-4975-AE5A-D1843B249BDF} - \Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan -> No File <==== ATTENTION
Task: {B868D78B-7985-401E-9CFC-F960B3D37C31} - \Uninstaller_SkipUac_Tester -> No File <==== ATTENTION
Task: {BEF0610A-1EC5-4717-B382-0C2F9DB1038E} - \G2MUpdateTask-S-1-5-21-1349674665-812338135-826244200-1001 -> No File <==== ATTENTTask: {DBBF338C-D8C3-4AAF-9CEB-3A91011AF6AD} - \G2MUploadTask-S-1-5-21-1349674665-812338135-826244200-1001 -> No File <==== ATTENTION
Task: {EC44AFF0-0BDA-4945-88CC-D083218E8650} - \Update Service YourFileDownloader -> No File <==== ATTENTION
Task: {F1515F94-EA9F-486D-B8B4-946B4C2BEA25} - \AVAST Software\Avast settings backup -> No File <==== ATTENTION
Task: {FA9DA06C-34CE-4B52-9616-6F8623F41AE3} - \Tilde automatic update -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\123\Downloads\ChromeSetup (1).exe:$CmdTcID [64]
AlternateDataStreams: C:\Users\123\Downloads\ChromeSetup (1).exe:$CmdZnID [26]
AlternateDataStreams: C:\Users\123\Downloads\ChromeSetup.exe:$CmdTcID [64]
AlternateDataStreams: C:\Users\123\Downloads\ChromeSetup.exe:$CmdZnID [26]
AlternateDataStreams: C:\Users\123\Downloads\Kali_Linux.rar:$CmdZnID [26]
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [143]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [136]
AlternateDataStreams: C:\ProgramData\TEMP:CB0AACC9 [150]
AlternateDataStreams: C:\ProgramData\TEMP:DFC5A2B2 [220]
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\OCKQFXIBQ" /f
EmptyTemp:
Reboot:
 
  • Like
Реакции: akok
Всё сделал все программы которые относились advanced systemcare удалил
 

Вложения

Всё
отправил
combofix можно будет проверить вирус ещё есть
 

Вложения

Контроль учётных записей пользователя отключен
Нажмите для раскрытия...
Рекомендую ознакомиться со статьёй Так ли страшен контроль учетных записей (UAC)? и включить.

Google Chrome v.52.0.2743.116 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Нажмите для раскрытия...

Выполните эту рекомендацию.

Браузером Amigo пользуетесь?
 
браузером амиго пользуюсь стоит lastpass приложение генератор паролей без этого приложения я не зайду на сайт там храняться пароли
 
всё включил контроль учётных записей
надо ещё combofix проверить и тогда всё закрепить
есть ещё вирус nsak в реестре не удалился
всплывает окно видеодрайвер перестал отвечать и был восстановлен
диспетчере устройств появилось неизвестное устройство
 
kamper написал(а):
надо ещё combofix проверить и тогда всё закрепить
Нажмите для раскрытия...
для нас в этом нет необходимости

kamper написал(а):
всплывает окно видеодрайвер перестал отвечать и был восстановлен
Нажмите для раскрытия...
не имеет никакого отношения к вирусам

kamper написал(а):
есть ещё вирус nsak в реестре не удалился
Нажмите для раскрытия...
наверное только Вы его и видите, а потому считаете вирусом

kamper написал(а):
диспетчере устройств появилось неизвестное устройство
Нажмите для раскрытия...
какое?
 
thyrex написал(а):
для нас в этом нет необходимости


не имеет никакого отношения к вирусам


наверное только Вы его и видите, а потому считаете вирусом


какое?
Нажмите для раскрытия...
combofix проверить надо что последней программой не можете проверить устройство установилась без меня установилась
лишний раз убедиться combofix проверить надо
 

Вложения

  • neizvestnojeustrostvo.webp
    neizvestnojeustrostvo.webp
    24.7 KB · Просмотры: 73
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

Drongo
Удаление вируса руткита - Rootkit.Win32.TDSS
Ответы
13
Просмотры
21K
antanta
A
Sa11ary
В работе Удаление нежелательных программ
2
Ответы
33
Просмотры
348
Sandor
Sandor
Galaxy
Решена Анализ логов и удаление подозрительных файлов
2
Ответы
20
Просмотры
413
Galaxy
Galaxy
Назад
Сверху Снизу