Решена Частая перезагрузка с экраном смерти IRQL_NOT_LESS_OR_EQUAL и msime.exe

Статус
В этой теме нельзя размещать новые ответы.

Wavilen

Пользователь
Сообщения
15
Реакции
2
Здравствуйте.
После установки скачанной программы, пока был отключен антивирус(для нормальной работы виртуальной системы) в систему попали вирусы и рекламные программы. После включения защитника, большинство из них было автоматически удалено или помещено в карантин, но появился сильно нагружающий систему процесс msime.exe и через каждые десять минут стала происходить перезагрузка с экраном смерти IRQL_NOT_LESS_OR_EQUAL.
Помогите, пожалуйста.
 

Вложения

  • CollectionLog-2018.02.22-14.24.zip
    123.9 KB · Просмотры: 6

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,432
Реакции
2,533
Здравствуйте!

Дополнительно:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Wavilen

Пользователь
Сообщения
15
Реакции
2
Здравствуйте, выполнил те действия которые вы попросили. Прикрепляю отчет.
Приложение нашло данные спрашивает об очистке.
 

Вложения

  • AdwCleaner[S0].txt
    3.8 KB · Просмотры: 2
  • 1519304790753.png
    1519304790753.png
    50.2 KB · Просмотры: 46
Последнее редактирование:

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,432
Реакции
2,533
1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome
      и нажмите Ok.
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,603
Реакции
13,972
++++
  1. Загрузите GMER по одной из указанных ссылок:
    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
  2. Временно отключите драйверы эмуляторов дисков.
  3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  4. Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
  5. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  6. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  7. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  8. Подробную инструкцию читайте в руководстве.
 

Wavilen

Пользователь
Сообщения
15
Реакции
2
Прикладываю результаты работы всех программ кроме Gmer.
При окончании работы Gmer, компьютер снова начало кидать в экран смерти. Теперь к обыкновенному сообщению добавляется, что причина в ffeyykod.sys
 

Вложения

  • Addition_22-02-2018 17.01.49.txt
    74.8 KB · Просмотры: 0
  • FRST_22-02-2018 17.01.49.txt
    100.7 KB · Просмотры: 1
  • Shortcut_22-02-2018 17.01.49.txt
    163.5 KB · Просмотры: 0
  • AdwCleaner[C0].txt
    3.3 KB · Просмотры: 1
  • AdwCleaner[S1].txt
    3.9 KB · Просмотры: 1

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,603
Реакции
13,972
Прикладываю результаты работы всех программ кроме Gmer.
Понятно, тогда заменим утилиту на заведомо рабочую
  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe.
  3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. Самостоятельно без указания консультанта ничего не удаляйте!!!
  9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  10. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt
 

Wavilen

Пользователь
Сообщения
15
Реакции
2
Извините, а есть ли какие-то советы, по поводу того что делать с самой ошибкой ffeyykod.sys?
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,603
Реакции
13,972
@Wavilen, после удаления руткита само должно пройти.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,603
Реакции
13,972
Если синий экран делает невозможным выполнить анализ TDSSKiller (gmer теперь не нужен), то запустите в безопасном режиме.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,239
Реакции
6,417
Wavilen, а в безопасном режиме Gmer тоже не удаётся запустить? Даже быстрое сканирование?
 

Wavilen

Пользователь
Сообщения
15
Реакции
2
Вот отчет Tdsskiller
Полагаю, стоит удалить?
Жду дальнейших указаний, перед тем как действовать
 

Вложения

  • TDSSKiller.3.1.0.16_24.02.2018_23.47.32_log.txt
    158.3 KB · Просмотры: 2

Wavilen

Пользователь
Сообщения
15
Реакции
2
даже быстрое сканирование gmer хоть и начинает что-то находить, вызывает bsod раньше, чем закончит проверку
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,603
Реакции
13,972
Удаляйте все найденное. И после подготовьте свежие логи Farbar Recovery Scan Tool дочистим хвосты.
и
Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc ([email protected]), в заголовке (теме) письма укажите ссылку на тему.
 

Wavilen

Пользователь
Сообщения
15
Реакции
2
Вирус вроде бы удален, но конкретного подтверждения так и не появилось. Отправляю вам логи.
 

Вложения

  • FRST_25-02-2018 02.43.27.txt
    104.9 KB · Просмотры: 3
  • Shortcut_25-02-2018 02.43.27.txt
    163.5 KB · Просмотры: 0
  • Addition_25-02-2018 02.43.27.txt
    71.4 KB · Просмотры: 1

Wavilen

Пользователь
Сообщения
15
Реакции
2
Так же есть ещё один вопрос, надеюсь, вы сможете дать какую-то оценку произошедшему.
В процессе борьбы с вирусом на протяжении этих дней, на ноутбуке перестали работать гнёзда и динамик встроенной звуковой карты, а также функциональные кнопки, отвечающие за звук.
 
  • Like
Реакции: akok

Wavilen

Пользователь
Сообщения
15
Реакции
2
Можете не отвечать на предыдущий вопрос. Восстановление реестра после удаления вируса убрало проблему со звуком.
 
  • Like
Реакции: akok

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,603
Реакции
13,972
Восстановление реестра после удаления вируса убрало проблему со звуком.
Как восстанавливали?
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Program Files (x86)\UVaoM.exe;C:\Program Files (x86)\Common Files\ouuAOzo.exe;C:\Users\OLEG\AppData\Local\pcc.exe;C:\Users\OLEG\jQYoVEiaUOosd.exe;C:\Users\OLEG\AppData\Local\pcc.exe
    HKU\S-1-5-21-1852546007-4047479139-3619749950-1004\...\MountPoints2: {b8e2454c-bc2c-11e7-9465-c8d3ffe4f367} - "F:\setup.exe"
    GroupPolicy: Restriction <==== ATTENTION
    GroupPolicy\User: Restriction <==== ATTENTION
    2018-02-22 16:10 - 2018-02-22 16:10 - 003174912 _____ C:\WINDOWS\msime.exe
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
    Task: {362296B9-6D60-45CC-9680-7F0CE4A70698} - no filepath
    1624-02-24 06:22 - 1624-02-24 06:22 - 000059904 ____N (Microsoft Corporation) C:\Users\OLEG\jQYoVEiaUOosd.exe
    1624-02-24 06:22 - 1624-02-24 06:22 - 000174592 ____N (Microsoft Corporation) C:\Program Files (x86)\UVaoM.exe
    1624-02-24 06:22 - 1624-02-24 06:22 - 000059904 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\ouuAOzo.exe
    2018-01-31 13:43 - 2018-01-31 13:49 - 050090848 _____ (Sony) C:\Users\OLEG\AppData\Local\pcc.exe
    2018-02-21 21:48 - 2018-02-21 21:48 - 002623160 _____ () C:\Users\OLEG\AppData\Local\Temp\hcv_mailruhomesearch (1).exe
    2018-02-21 21:49 - 2018-02-21 21:49 - 002623160 _____ () C:\Users\OLEG\AppData\Local\Temp\hcv_mailruhomesearch (2).exe
    2018-02-21 21:49 - 2018-02-21 21:50 - 002623160 _____ () C:\Users\OLEG\AppData\Local\Temp\hcv_mailruhomesearch (3).exe
    2018-02-21 21:48 - 2018-02-21 21:48 - 002623160 _____ () C:\Users\OLEG\AppData\Local\Temp\hcv_mailruhomesearch.exe
    2018-02-21 21:49 - 2018-02-21 21:49 - 002309672 _____ () C:\Users\OLEG\AppData\Local\Temp\im_installer.exe
    2018-02-21 21:49 - 2018-02-21 21:49 - 000707065 _____ (ZRFXRD                                                      ) C:\Users\OLEG\AppData\Local\Temp\Installer.exe
    2018-02-21 21:49 - 2018-02-21 21:49 - 003815936 _____ () C:\Users\OLEG\AppData\Local\Temp\installer_mi.exe
    2018-02-21 21:48 - 2018-02-21 21:48 - 000572408 _____ (Mail.Ru) C:\Users\OLEG\AppData\Local\Temp\LiteDistrib.exe
    2018-02-21 21:50 - 2018-02-21 21:50 - 002623160 _____ () C:\Users\OLEG\AppData\Local\Temp\mailruhomesearch.exe
    2018-02-21 21:50 - 2018-02-21 21:50 - 000882936 _____ (DLTG                                                        ) C:\Users\OLEG\AppData\Local\Temp\mkt3.exe
    2018-02-21 21:51 - 2018-02-21 21:51 - 002004480 _____ (Calculator) C:\Users\OLEG\AppData\Local\Temp\Setup.exe
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Wavilen

Пользователь
Сообщения
15
Реакции
2
Систему восстанавливал с помощью regback. Но не уверен в том, не осталось ли сейчас ростков вируса, поэтому к FixLog прикладываю результаты нового сканирования FRST.
 

Вложения

  • FRST_26-02-2018 00.43.54.txt
    105 KB · Просмотры: 1
  • Shortcut_26-02-2018 00.43.54.txt
    164.2 KB · Просмотры: 0
  • Addition_26-02-2018 00.43.54.txt
    75.6 KB · Просмотры: 1
  • Fixlog_26-02-2018 00.40.15.txt
    5.5 KB · Просмотры: 1

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,603
Реакции
13,972
1. Скрипт запускали несколько раз.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    S1 fmehvvaf; \??\C:\WINDOWS\system32\drivers\fmehvvaf.sys [X]
    S0 hhpnlefr; system32\drivers\oiqudjij.sys [X]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Но не уверен в том, не осталось ли сейчас ростков вируса, поэтому к FixLog прикладываю результаты нового сканирования FRST.
Что-то устанавливали/откатывали? Сделайте свежий лог TDSSKiller
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу