Доброго времени суток. С определённого момента мой компьютер начал демонстрировать признаки явного заражения (медленная работа браузера, шум кулера без причины), что подтвердилось невозможностью запуска антивирусных программ. После некоторых манипуляций удалось просканировать систему KVRT и DRweb cureit. Обе утилиты обнаружили и удалили заражённые файлы, после чего проблема шума и медленной работы пропала, но некоторые, заведомо рабочие, сайты остаются недоступными (соединение сбрасывается). В системе отсутствует файл hosts, а в реестре по пути HKEY_LOCAL_MACHINE→SOFTWARE→Microsoft→Windows NT→CurrentVersion → Windows → AppInit_DLLs прописано значение C:\Windows\system32\nvinitx.dll, которое обновляется при перезагрузке. На этот же момент ругается AVZ. Прошу помощи.
Решена Заблокирован доступ к некоторым сайтам
- Автор темы Xenofan
- Дата начала
- Статус
- Сообщения
- 25,059
- Решения
- 5
- Реакции
- 13,702
Скачайте, распакуйте и запустите в безопасном режиме с поддержкой сети (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.
Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла
Запустите Autologger и прикрепите новый CollectionLog.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.
Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла
Запустите Autologger и прикрепите новый CollectionLog.
- Сообщения
- 25,059
- Решения
- 5
- Реакции
- 13,702
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Programdata\ReaItekHD\taskhostw.exe','');
RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ксенофан','x64');
DeleteSchedulerTask('Microsoft\Windows\Wininet\TaskhostOnlogon');
DeleteSchedulerTask('Microsoft\Windows\Wininet\TaskhostMO');
DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe','64');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_ImportALL;
RebootWindows(true);
end.После перезагрузки, выполните такой скрипт:
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
http://clients5.google.com/complete/search?hl={language}&q={searchTerms}&client=ie8&inputencoding={inputEncoding}&outputencoding={outputEncoding} - (no name)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\&Экспорт в Microsoft Excel: (default) = D:\Program Files (x86)\MICROS~1\Office12\EXCEL.EXE (file missing)
O9 - Button: HKLM\..\{7815BE26-237D-41A8-A98F-F7BD75F71086}: (no name) - (no file)
O9 - Tools menu item: HKLM\..\{7815BE26-237D-41A8-A98F-F7BD75F71086}: Send by Bluetooth to - (no file)
O9-32 - Tools menu item: HKLM\..\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}: Sun Java Console - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0928CBA3-4681-4F54-921A-7D4CBB3C4F9F} - \Ксенофан (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{68378557-41FE-4357-825E-FB675D127ABB} - \Microsoft\Windows\Wininet\winser (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7F6C5733-9A74-4D26-8F74-78B492EC0126} - \Microsoft\Windows\Wininet\RealtekOnLogon (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A1AFD1B0-31E9-4878-AC43-C5A1675FA75E} - \Microsoft\Windows\Wininet\RealtekMO (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EB0043F2-BE78-4256-BC0A-D967B12D48BA} - \Microsoft\Windows\Wininet\winsers (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WPD (empty)
O22 - Tasks: \Microsoft\Windows Live\SOXE\Extractor Definitions Update Task - {3519154C-227E-47F3-9CC9-12C3F05817F1} - (no file)
O22 - Tasks: \Microsoft\Windows\Wininet\TaskhostMO - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\Wininet\TaskhostOnlogon - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
- Сообщения
- 16,457
- Решения
- 1
- Реакции
- 3,448
Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 16,457
- Решения
- 1
- Реакции
- 3,448
Деинсталлируйте нежелательное ПО:
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Подробнее читайте в этом руководстве.
Места на системном диске мало, постарайтесь освободить хотя бы до 20% от общего объема.
и устаревший и не поддерживаемый
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKU\S-1-5-21-1654582730-1532422502-2339953848-1001\...\MountPoints2: E - E:\autorun.exe FF NetworkProxy: Mozilla\Firefox\Profiles\k4cyhfhs.default -> autoconfig_url", "blob:moz-extension://3ab4a662-ef6f-485c-8833-6c5459594505/7de3a7d9-0b9b-44cc-910d-1e90ddd01dbe" swMSM (HKLM-x32\...\{612C34C7-5E90-47D8-9B5C-0F717DD82726}) (Version: 12.0.0.1 - Adobe Systems, Inc) Hidden AlternateDataStreams: C:\ProgramData\Temp:10D14739 [244] AlternateDataStreams: C:\Users\Public\DRM:احتضان [48] AlternateDataStreams: C:\Users\Public\DRM:مايكروسوفت [48] FirewallRules: [{43B761FC-70B8-4F77-8AA4-C9AEF3D86BC8}] => (Allow) LPort=2869 FirewallRules: [{617B19F8-B7FB-4176-B845-5C89495B41C8}] => (Allow) LPort=1900 FirewallRules: [{2C28FD2E-BF7A-4B95-ADC4-4C84D2D76CFF}] => (Allow) LPort=5353 FirewallRules: [{B0705CBA-FD85-44CF-8737-6C007DE4846D}] => (Allow) LPort=8182 FirewallRules: [{8363DFF1-78C0-499A-B0F8-A1EBB25BBE69}] => (Allow) LPort=5354 FirewallRules: [{C3FD4603-F500-43AC-B79D-4BCA579A058F}] => (Allow) LPort=5354 FirewallRules: [{6EEE4538-1BDB-4CA8-AAC6-EE6632BEA11A}] => (Allow) LPort=5354 FirewallRules: [{7D90C10B-15CF-4FAC-AF16-F1AD46E1B15A}] => (Allow) LPort=5354 FirewallRules: [{D38F92B8-E1B2-4ECB-8756-EC5A4FEA482A}] => (Allow) LPort=5354 FirewallRules: [{D08B82E7-7C94-4E78-A93E-379C8F577E51}] => (Allow) LPort=5354 FirewallRules: [{8BEBFD62-11C8-497F-986E-FF2FC97CCD8D}] => (Allow) LPort=5354 FirewallRules: [{E4531BED-2BC1-4F6F-A0A4-D59915A48E34}] => (Allow) LPort=5354 ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Места на системном диске мало, постарайтесь освободить хотя бы до 20% от общего объема.
- Сообщения
- 14,900
- Решения
- 4
- Реакции
- 6,834
судя по тому, что AVZ её отфильтровал как легальную, то это запчасть от nVidia. А своей самодеятельностью вы только корёжите себе систему создавая проблемы в работе которые неизвестно как потом надо будет устранять.
Я ничего не делаю, кроме рекомендованного. Просто читал, что там ничего не должно быть указано, по умолчанию.
- Сообщения
- 25,059
- Решения
- 5
- Реакции
- 13,702
Тогда финализируем
Подготовьте лог лог SecurityCheck by glax24
Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
Подготовьте лог лог SecurityCheck by glax24
Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
- Сообщения
- 16,457
- Решения
- 1
- Реакции
- 3,448
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
По возможности исправьте перечисленное:
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.19572 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Microsoft Security Essentials v.4.10.209.0 Данная программа больше не поддерживается разработчиком. Используйте другое защитное ПО.
Microsoft Silverlight v.5.1.50918.0 Данная программа больше не поддерживается разработчиком.
NVIDIA GeForce Experience 3.13.1.30 v.3.13.1.30 Внимание! Скачать обновления
OpenOffice 4.1.4 v.4.14.9788 Внимание! Скачать обновления
ASUS Live Update v.2.5.9 Возможно Ваша система скомпроментирована.. Скачайте утилиту диагностики для проверки.
Microsoft SQL Server 2005 Compact Edition [ENU] v.3.1.0000 Данная программа больше не поддерживается разработчиком.
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 18.06 (x64) v.18.06 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
7-Zip 9.20 (x64 edition) v.9.20.00.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
------------------------------- [ Imaging ] -------------------------------
GIMP 2.8.6 v.2.8.6 Внимание! Скачать обновления
paint.net v.4.2.16 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
QIP 2005 8097 v.8097 Данная программа больше не поддерживается разработчиком.
Skype, версия 8.68 v.8.68 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46716 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.4 Внимание! Скачать обновления
K-Lite Codec Pack 17.2.5 Full v.17.2.5 Внимание! Скачать обновления
Windows Media Player Firefox Plugin v.1.0.0.8 Данная программа больше не поддерживается разработчиком.
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.32.0.0.125 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
swMSM v.12.0.0.1 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
----------------------------- [ EmailClient ] -----------------------------
Windows Live Mesh v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
Windows Live Mail v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
Почта Windows Live v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.4.5.3f3 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Читайте Рекомендации после удаления вредоносного ПО
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
По возможности исправьте перечисленное:
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.19572 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Microsoft Security Essentials v.4.10.209.0 Данная программа больше не поддерживается разработчиком. Используйте другое защитное ПО.
Microsoft Silverlight v.5.1.50918.0 Данная программа больше не поддерживается разработчиком.
NVIDIA GeForce Experience 3.13.1.30 v.3.13.1.30 Внимание! Скачать обновления
OpenOffice 4.1.4 v.4.14.9788 Внимание! Скачать обновления
ASUS Live Update v.2.5.9 Возможно Ваша система скомпроментирована.. Скачайте утилиту диагностики для проверки.
Microsoft SQL Server 2005 Compact Edition [ENU] v.3.1.0000 Данная программа больше не поддерживается разработчиком.
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 18.06 (x64) v.18.06 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
7-Zip 9.20 (x64 edition) v.9.20.00.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
------------------------------- [ Imaging ] -------------------------------
GIMP 2.8.6 v.2.8.6 Внимание! Скачать обновления
paint.net v.4.2.16 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
QIP 2005 8097 v.8097 Данная программа больше не поддерживается разработчиком.
Skype, версия 8.68 v.8.68 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46716 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.4 Внимание! Скачать обновления
K-Lite Codec Pack 17.2.5 Full v.17.2.5 Внимание! Скачать обновления
Windows Media Player Firefox Plugin v.1.0.0.8 Данная программа больше не поддерживается разработчиком.
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.32.0.0.125 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
swMSM v.12.0.0.1 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
----------------------------- [ EmailClient ] -----------------------------
Windows Live Mesh v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
Windows Live Mail v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
Почта Windows Live v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.4.5.3f3 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Читайте Рекомендации после удаления вредоносного ПО
- Статус
