Перейти к содержанию

Windows7 перезагружается спустя пару минут после включения, либо после запуска любой программы.


Рекомендуемые сообщения

На компьютере стояла блокировка просмотра видео в сети или сайтов с видео. Как реализована была не знаю. Что-то через "запрет в папках" как мне сказали. 
Один из пользователей поставили какую-то программу для обхода данной проблемы. 
Что за программы узнать у пользователя не удается. Однако, его коллега говорит про некий "True Key" на основании двух фактов:
1. Во время работы 1С может появиться сообщение об ошибке:
Имя окошка:LogonUI.exe - Ошибочный образ
Текст в окошке:"C:\Program Files\TrueKey\McAfee.TrueKey.CP.Core.Localization.dll" либо не предназначен для выполнения под управлением Windows или содержит ошибку.
Попробуйте переустановить программу с помощью исходного установочного носителя или обратитесь к системному администратору или поставщику программного обеспечения за поддержкой.
 
2.При нажатие на "Сменить пользователя" в меню Пуск появился новый пользователь "Tru Key" помимо уже существующего. В Безопасном режиме пользователя "True Key" нету. 
 
 
Что сделал в Безопасном режиме: 
1. Malware Bytes Ознакомительная Premium-версия 3.4.5 создала такой отчет и вроде как должна была полечить после сделанной перезагрузки.
 
2. Запускал утилиту MCPR.exe (MCPR © McAfee, Inc). по инструкции отсюда https://support.kaspersky.ru/common/installation/2237#block2
 
3. Запускал Malwarebytes AdwCleaner 7.1.0.0 два раза. Похоже, он находит проблему с которой не может справиться. Вот два отчета с последнего запуска.
 
4. KVRT - нашел два объекта:
C:\Users\Kassa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\BJ33L2W4\AA_v3.exe - not-a-virus:RemoteAdmin.Win32.Ammyy.xrp
C:\Users\Kassa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QXXWZ62T\AA_v3[1].exe - not-a-virus:RemoteAdmin.Win32.Ammyy.xrp
 
Средствами KVRT удалил оба объекта.
 
 
AutoLogger был запущен из Безопасного режима. Когда он попросил перезагрузку я опять перезагрузился в Безопасный режим. AutoLogger автоматически не запустился, поэтому я запусти его в ручную и в диалоговом окне зажал Shift и нажал кнопку OK, что бы запустить Скрипт №2.
 
После этого загрузился в обычном режиме и запустил AutoLogger. Последовала перезагрузка.
 
Прикладываю отчеты.

Запустил Autoruns (AutorunsVTchecker). По инструкции сделал лог https://safezone.cc/threads/kak-podgotovit-log-autoruns.30173/ 

 

 


 

 

2.При нажатие на "Сменить пользователя" в меню Пуск появился новый пользователь "Tru Key" помимо уже существующего. В Безопасном режиме пользователя "True Key" нету. 

Сейчас не наблюдаю такого пользователя и обычном режиме запуска.

CollectionLog-2018.04.18-20.16.zip

AdwCleanerS01.txt

AdwCleanerC01.txt

malware bytes premium отчет.txt

Log.rar

Изменено пользователем NickArt
Ссылка на сообщение
Поделиться на другие сайты

1) Запустите в безопасном режиме удаление хвостов Аваст с помощью этой утилиты http://files.avast.com/files/eng/aswclear.exe

2) "Пофиксите" в HijackThis:

O4 - MSConfig\startupreg: gmsd_ru_005010091 [command] = C:\Program Files\gmsd_ru_005010091\gmsd_ru_005010091.exe  (file missing) (HKLM) (2015/09/20)
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: Driver Booster SkipUAC (Kassa) - C:\Program Files\IObit\Driver Booster\DriverBooster.exe /skipuac (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-2682221898-2490020531-2648219024-1000 - %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380} - C:\Program Files\Rising\RAV\rsdelaylauncher.exe (file missing)
O22 - Task: \AVAST Software\Avast settings backup - C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe /backup /iavs (file missing)
O22 - Task: Обновление Браузера Яндекс - C:\Users\Kassa\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --background-update (file missing)

 

3)

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание.
    Если у вас установлены архиваторы
    WinRAR
    или
    7-Zip
    , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .



 

Ссылка на сообщение
Поделиться на другие сайты

http://antizapret.prostovpn.org/proxy.pac

это значит не ваше и удалять?

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
     
    ;uVS v4.0.11 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    ;---------command-block---------
    delref %SystemDrive%\USERS\TEMP\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.8\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
    delref %SystemDrive%\USERS\KASSA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULTBACKUP\EXTENSIONS\FLLIILNDJEOHCHALPBBCDEKJKLBDGFKK\2.5.8.1961_0\ВЕБ-ФИЛЬТР AVIRA
    delref %SystemDrive%\USERS\KASSA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\FLLIILNDJEOHCHALPBBCDEKJKLBDGFKK\2.4.2.1650_0\ВЕБ-ФИЛЬТР AVIRA
    delref %SystemDrive%\PROGRAM FILES\TRUEKEY\MCAFEETRUEKEYPASSWORDFILTER.DLL
    bl C308C8BE6D3D86BDC5C86053AED34D5B 2428
    zoo %SystemDrive%\USERS\KASSA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\LN0D7FPC.DEFAULT\SEARCHPLUGINS\GOOGLE-AVAST.XML
    delall %SystemDrive%\USERS\KASSA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\LN0D7FPC.DEFAULT\SEARCHPLUGINS\GOOGLE-AVAST.XML
    zoo %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARLOADER.EXE
    delall %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARLOADER.EXE
    delref %SystemDrive%\USERS\KASSA\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6998.0830\FILECOAUTHLIB.DLL
    delref %SystemDrive%\USERS\KASSA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
    delref %SystemDrive%\PROGRAM FILES\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
    delref {0F4B8786-5502-4803-8EBC-F652A1153BB6}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref %SystemDrive%\USERS\KASSA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\FLLIILNDJEOHCHALPBBCDEKJKLBDGFKK\2.2.0.1405_0\ВЕБ-ФИЛЬТР AVIRA
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFLLIILNDJEOHCHALPBBCDEKJKLBDGFKK%26INSTALLSOURCE%3DONDEMAND%26UC
    apply
    
    czoo
    restart 
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

 

Проверьте, что с проблемой. antizapret - удалять пока не стал. Скажите если надо.

 

И не уверен насколько корректно скрипт восстановит значение параметра. Поэтому лучше вручную исправьте значение Notification Packages в ключе

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

на scecli

То есть удалите дописку про C:\Program Files\TrueKey\McAfeeTrueKeyPasswordFilter

 

 

Ссылка на сообщение
Поделиться на другие сайты

 

 

http://antizapret.prostovpn.org/proxy.pac

это значит не ваше и удалять?

Уточнил. Как обычно никто толком не знает, но вероятно, что не наше. Давайте удалять.

 

Все инструкции выполнил.

В обычном режиме запуска произошла перезагрузка. Я снова в безопасном режиме.

Ссылка на сообщение
Поделиться на другие сайты

1)

 


Уточнил. Как обычно никто толком не знает, но вероятно, что не наше. Давайте удалять.
Выполните скрипт uVS
;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
delref HTTP://ANTIZAPRET.PROSTOVPN.ORG/PROXY.PAC
apply

restart
 

2)

 

 


1. Во время работы 1С может появиться сообщение об ошибке: Имя окошка:LogonUI.exe - Ошибочный образ Текст в окошке:"C:\Program Files\TrueKey\McAfee.TrueKey.CP.Core.Localization.dll" либо не предназначен для выполнения под управлением Windows или содержит ошибку. Попробуйте переустановить программу с помощью исходного установочного носителя или обратитесь к системному администратору или поставщику программного обеспечения за поддержкой.
Это ещё осталось? По прежнему ругается на этот файл? Если указанный параметр исправили, то этой ошибки быть не должно. Если осталась, то можно ещё твиком его восстановить
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Notification Packages"=hex(7):73,00,63,00,65,00,63,00,6c,00,69,00,00,00,00,00

3) Насчёт перезагрузки так как проблема не вирусная, то лучше обсуждать в соседнем разделе Компьютерная помощь

Создайте там отдельную тему и сразу приложите Скачайте, распакуйте и запустите GetSystemInfo (GSI). Прочтите и согласитесь с лицензионным соглашением программы нажав кнопку Accept. Нажмите на кнопку старта в правой части окна утилиты (приблизительное время сбора отчета составляет 10 минут). После окончания сканирования выйдет уведомление о сохранении лога (файл с расширением zip), полученный файл загрузите загрузите на страницу автоматического анализатора. Для этого откройте страницу автоматического анализатора протокола утилиты, нажмите кнопку "Обзор" и выберите файл отчета GetSystemInfo_Имя компьютера_Ваше_имя_пользователя_Дата_сканирования.zip, нажмите "Отправить". Дождитесь окончания работы автоанализатора, затем скопируйте ссылку на отчет и опубликуйте ее в Вашей теме на форуме.

 

Ссылка на сообщение
Поделиться на другие сайты

Инструкцию в пункте 1 выполнил. 

 

 

 

Во время работы 1С может появиться сообщение об ошибке: Имя окошка:LogonUI.exe - Ошибочный образ Текст в окошке:"C:\Program Files\TrueKey\McAfee.TrueKey.CP.Core.Localization.dll" либо не предназначен для выполнения под управлением Windows или содержит ошибку. Попробуйте переустановить программу с помощью исходного установочного носителя или обратитесь к системному администратору или поставщику программного обеспечения за поддержкой.

На это больше не ругается.

 

Большое человеческое спасибо за помощь! Много мусора нашлось и вычистили.

Ссылка на сообщение
Поделиться на другие сайты

@NickArt, читаю вашу вторую тему.... давайте ещё кое-то посмотрим.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

1) Эти папки вам знакомы?

C:\ProgramData\s3pc
C:\ProgramData\s3d4
C:\ProgramData\s248
C:\ProgramData\s3ng
C:\ProgramData\s3fc
C:\ProgramData\s3ec
C:\ProgramData\sng
C:\ProgramData\s7k
C:\ProgramData\s3cs
C:\ProgramData\s3m0
C:\ProgramData\s22o
C:\ProgramData\s1rs

2)

 

Running from C:\Windows\System32\config\systemprofile\Desktop
Loaded Profiles: False (Available Profiles: Kassa) <==== ATTENTION (Temporary Profile?)

логи нужно из под обычного профиля.

 

3) В этих логах видно хвосты от вирусных заданий, которые точно не были в начальных логах.

 

4) От MBAM хвосты также видно. Да и от аваста минимум папка и расширение в браузере осталось, лучше бы пройтись утилитой для его удаления тоже.

Ссылка на сообщение
Поделиться на другие сайты

1) Да удалите, там ещё подобные должны быть (я не все выписал).

2) По прежнему логи собраны с учётки

 

Running from C:\Windows\System32\config\systemprofile\Desktop
Loaded Profiles: False (Available Profiles: Kassa) <==== ATTENTION (Temporary Profile?)

3) Дам скрипт как только будут нормальные логи. Да и перед созданием свежих логов эти текстовые файлы и папку папку C:\FRST удалите, чтобы с нуля инфу в логи собрало.

4) https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/По авасту рассширение из браузера возможно придётся удалить вручную.

 

PS. Логи лучше собирать после всех остальных пунктов.

Ссылка на сообщение
Поделиться на другие сайты
2. По прежнему логи собраны с учётки.

 

Вы имеете ввиду зайти под "Администратор"?

 

Удаляю следы от Malwarebytes Anti-Malware, AVAST Software a.s. ? Я еще помню от Avira Operations GmbH & Co. KG.​, McAfee, Inc.​находил через Revo Uninstaller. Тоже тогда пройдусь.

Но уже завтра, сегодя они все.

Спасибо за помощь!

Изменено пользователем NickArt
Ссылка на сообщение
Поделиться на другие сайты

 

 


Вы имеете ввиду зайти под "Администратор"?
Если вы под "Администратор" подразумеваете название учётной записи, то не обязательно именно она. Но логи должны быть из под учётной записи с правами админа. А вы делали логи из под временного профиля, то есть у вас даже такой учётной записи не существует и все изменения сделанные в ней не сохраняются.
Ссылка на сообщение
Поделиться на другие сайты

regist, однако, я запускал учетную запись с правами администратора. 

Панель управления\Все элементы панели управления\Учетные записи пользователей - там значится, что у профиля права Администратора.


То есть профиль Kassa на самом деле не обладает админскими правами? И может потому запрет на поиск и установку обновлений не срабатывает.

А может он обладает ими не всегда? То есть, есть момент, когда:

Иногда после перезагрузки появляются одновременно два события:
    -Панель управления\Все элементы панели управления -> Параметры папок -> Вид -> окно Дополнительные параметры пустое. 
    -Панель управления -> опция "Просмотр:" не запоминает настройку. Я ставлю "Крупные значки", при новом открытии панели управления снова настройка "Категория". 

 

 

И может, я умудрился в этот запуск запустить проверку.

А хвосты по инструкциям https://safezone.cc:...-antivirusa.58/ тогда вычищать в безопасном режиме, что бы настройки сохранились?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...