[РЕШЕНО] Редактор реестра запускается и мгновенно закрывается

[yura_]

Добрый день, система стала намного дольше подгружаться, перестали автозапускаться некоторые приложения типа Steam, disqord и т.д., но в разделе автозапуск они остались. При попытке открытия редактора реестра, он моментально закрывается.
Архив прикрепил

CollectionLog-2024.05.26-14.27.zip

[thyrex]

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('C:\Program Files\Google\Chrome\updater.exe');
QuarantineFile('C:\Program Files\Google\Chrome\updater.exe','');
 DeleteFile('C:\Program Files\Google\Chrome\updater.exe','64');
 DeleteSchedulerTask('GoogleUpdateTaskMachineQC');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O1 - Hosts: 0.0.0.0 avast.com
O1 - Hosts: 0.0.0.0 vvv.avast.com
O1 - Hosts: 0.0.0.0 totalav.com
O1 - Hosts: 0.0.0.0 vvv.totalav.com
O1 - Hosts: 0.0.0.0 scanguard.com
O1 - Hosts: 0.0.0.0 vvv.scanguard.com
O1 - Hosts: 0.0.0.0 totaladblock.com
O1 - Hosts: 0.0.0.0 vvv.totaladblock.com
O1 - Hosts: 0.0.0.0 pcprotect.com
O1 - Hosts: 0.0.0.0 vvv.pcprotect.com
O1 - Hosts: 0.0.0.0 mcafee.com
O1 - Hosts: 0.0.0.0 vvv.mcafee.com
O1 - Hosts: 0.0.0.0 bitdefender.com
O1 - Hosts: 0.0.0.0 vvv.bitdefender.com
O1 - Hosts: 0.0.0.0 us.norton.com
O1 - Hosts: 0.0.0.0 vvv.us.norton.com
O1 - Hosts: 0.0.0.0 avg.com
O1 - Hosts: 0.0.0.0 vvv.avg.com
O1 - Hosts: 0.0.0.0 malwarebytes.com
O1 - Hosts: 0.0.0.0 vvv. malwarebytes.com
O1 - Hosts: 0.0.0.0 pandasecurity.com
O1 - Hosts: 0.0.0.0 vvv.pandasecurity.com
O1 - Hosts: 0.0.0.0 surfshark.com
O1 - Hosts: 0.0.0.0 vvv.surfshark.com
O1 - Hosts: 0.0.0.0 avira.com
O1 - Hosts: 0.0.0.0 vvv.avira.com
O1 - Hosts: 0.0.0.0 norton.com
O1 - Hosts: 0.0.0.0 vvv.norton.com
O1 - Hosts: 0.0.0.0 eset.com
O1 - Hosts: 0.0.0.0 vvv. eset.com
O1 - Hosts: 0.0.0.0 Zillya.com
O1 - Hosts: 0.0.0.0 vvv.Zillya.com
O1 - Hosts: 0.0.0.0 kaspersky.com
O1 - Hosts: 0.0.0.0 vvv.kaspersky.com
O1 - Hosts: 0.0.0.0 usa.kaspersky.com
O1 - Hosts: 0.0.0.0 vvv.usa.kaspersky.com
O1 - Hosts: 0.0.0.0 dpbolvw. net
O1 - Hosts: 0.0.0.0 vvv.dpbolvw.net
O1 - Hosts: 0.0.0.0 sophos.com
O1 - Hosts: 0.0.0.0 vvv.sophos.com
O1 - Hosts: 0.0.0.0 home.sophos.com
O1 - Hosts: 0.0.0.0 vvv.home.sophos.com
O1 - Hosts: 0.0.0.0 vvv.adaware.com
O1 - Hosts: 0.0.0.0 adaware.com
O1 - Hosts: 0.0.0.0 vvv.ahnlab.com
O1 - Hosts: 0.0.0.0 ahnlab. com
O1 - Hosts: 0.0.0.0 vvv.bullguard.com
O1 - Hosts: 0.0.0.0 bullguard.com
O1 - Hosts: 0.0.0.0 clamav.net
O1 - Hosts: 0.0.0.0 vvv.clamav.net
O1 - Hosts: 0.0.0.0 vvv.drweb.com
O1 - Hosts: 0.0.0.0 drweb.com
O1 - Hosts: 0.0.0.0 emsisoft.com
O1 - Hosts: 0.0.0.0 vvv.f-secure.com
O1 - Hosts: 0.0.0.0 f-secure.com
O1 - Hosts: 0.0.0.0 vvv.zonealarm.com
O1 - Hosts: 0.0.0.0 zonealarm.com
O1 - Hosts: 0.0.0.0 vvv.trendmicro.com
O1 - Hosts: 0.0.0.0 trendmicro.com
O1 - Hosts: 0.0.0.0 vvv.ccleaner.com
O1 - Hosts: 0.0.0.0 ccleaner.com
O1 - Hosts: 0.0.0.0 vvv.virustotal.com
O1 - Hosts: 0.0.0.0 virustotal.com
O1 - Hosts: 0.0.0.0 download.microsoft.com
O1 - Hosts: 0.0.0.0 windowsupdate.microsoft.com
O1 - Hosts: 0.0.0.0 update.microsoft.com
O1 - Hosts: 0.0.0.0 microsoft.com
O1 - Hosts: 0.0.0.0 vvv.microsoft.com

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[yura_]

выполнил оба скрипта.
при попытке пофиксить программа ругалась на  vvv.drweb.com, clamav.net и парочку других, не дала их пофиксить
новые логи 

CollectionLog-2024.05.26-18.49.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[yura_]

сделал

otchet.rar

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  Task: {020A1B06-A97F-45F9-AC44-3EEB915D019F} - System32\Tasks\GoogleUpdateTaskMachineQC => C:\Program Files\Google\Chrome\updater.exe [10185816 2024-05-26] (Samsung Electronics CO., LTD. -> VideoLAN) [Файл не подписан] <==== ВНИМАНИЕ
  C:\Program Files\Google\Chrome\updater.exe
  S3 bits; C:\Windows\System32\svchost.exe [55456 2023-11-17] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 bits; C:\Windows\SysWOW64\svchost.exe [46544 2023-11-17] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2023-11-17] (Microsoft Windows -> Microsoft Corporation)
  S3 dosvc; C:\Windows\System32\svchost.exe [55456 2023-11-17] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 dosvc; C:\Windows\SysWOW64\svchost.exe [46544 2023-11-17] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1534464 2024-04-13] (Microsoft Windows -> Microsoft Corporation)
  S2 UsoSvc; C:\Windows\system32\svchost.exe [55456 2023-11-17] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S2 UsoSvc; C:\Windows\SysWOW64\svchost.exe [46544 2023-11-17] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [570368 2024-04-13] (Microsoft Windows -> Microsoft Corporation)
  S3 wuauserv; C:\Windows\system32\svchost.exe [55456 2023-11-17] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 wuauserv; C:\Windows\SysWOW64\svchost.exe [46544 2023-11-17] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3436544 2024-04-13] (Microsoft Windows -> Microsoft Corporation)
  S3 GPU-Z-v2; C:\Users\yurab\AppData\Local\Temp\GPU-Z-v2.sys [52008 2023-01-29] (TechPowerUp LLC -> ) <==== ВНИМАНИЕ
  S3 cpuz154; \??\C:\Windows\temp\cpuz154\cpuz154_x64.sys [X] <==== ВНИМАНИЕ
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Далее скачайте этот архив и запустите по очереди каждый reg-файл. Согласитесь с внесением изменений в реестр.

Перезагрузите компьютер и соберите такой лог:

 

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

Изменено 29 мая, 2024 пользователем Sandor

[yura_]

не дает  запустить ни один reg-файл, это сообщение появляется на полсекунды и исчезает, если попытаться нажать, исчезает еще быстрее

FSS.txt Fixlog.txt

Изменено 29 мая, 2024 пользователем yura_

[Sandor]

Сначала извлеките файлы из архива, потом запускайте.

[yura_]

я так и сделал, просто скрин отправил, где еще не извлек. Извлеченные-то же самое происходит

[Sandor]

Пробуйте запускать в безопасном режиме.

[yura_]

В безопасном режиме получилось

FSS.txt

[Sandor]

Удалите старые и соберите новые логи FRST.txt и Addition.txt

[yura_]

otchet2.rar

[Sandor]

Следующий скрипт выполняйте в безопасном режиме.

 

• Выделите следующий код:

  Start::
  CloseProcesses:
  RemoveProxy:
  Task: {0B6E38E3-AFFE-4B4D-82FD-6EDB09F6098C} - System32\Tasks\GoogleUpdateTaskMachineQC => C:\Program Files\Google\Chrome\updater.exe [10185816 2024-05-29] (Samsung Electronics CO., LTD. -> VideoLAN) [Файл не подписан] <==== ВНИМАНИЕ
  C:\Program Files\Google\Chrome\updater.exe
  Hosts:
  ProxyServer: [S-1-5-21-2855120443-3399715951-826037093-1001] => hxxp://127.0.0.1:2334
  U2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2023-11-17] (Microsoft Windows -> Microsoft Corporation)
  U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1534464 2024-04-13] (Microsoft Windows -> Microsoft Corporation)
  U2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [570368 2024-04-13] (Microsoft Windows -> Microsoft Corporation)
  S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2023-12-28] (Microsoft Windows -> Microsoft Corporation)
  U3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3436544 2024-04-13] (Microsoft Windows -> Microsoft Corporation)
  File: C:\Windows\System32\DriverStore\FileRepository\googledrivefs31357.inf_amd64_a8bf31a168cf7d00\googledrivefs31357.sys
  File: C:\Program Files\Google\Drive File Stream\92.0.0.0\GoogleDriveFS.exe
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Ещё раз скачайте тот же архив (там добавлен один reg-файл) и ещё раз запустите по очереди каждый.

 

После перезагрузки соберите, пожалуйста, новый FSS.txt и новые FRST.txt и Addition.txt

[yura_]

otchet3.rar