Перейти к содержанию

[РЕШЕНО] Редактор реестра запускается и мгновенно закрывается


Рекомендуемые сообщения

Добрый день, система стала намного дольше подгружаться, перестали автозапускаться некоторые приложения типа Steam, disqord и т.д., но в разделе автозапуск они остались. При попытке открытия редактора реестра, он моментально закрывается.
Архив прикрепил

CollectionLog-2024.05.26-14.27.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('C:\Program Files\Google\Chrome\updater.exe');
QuarantineFile('C:\Program Files\Google\Chrome\updater.exe','');
 DeleteFile('C:\Program Files\Google\Chrome\updater.exe','64');
 DeleteSchedulerTask('GoogleUpdateTaskMachineQC');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O1 - Hosts: 0.0.0.0 avast.com
O1 - Hosts: 0.0.0.0 vvv.avast.com
O1 - Hosts: 0.0.0.0 totalav.com
O1 - Hosts: 0.0.0.0 vvv.totalav.com
O1 - Hosts: 0.0.0.0 scanguard.com
O1 - Hosts: 0.0.0.0 vvv.scanguard.com
O1 - Hosts: 0.0.0.0 totaladblock.com
O1 - Hosts: 0.0.0.0 vvv.totaladblock.com
O1 - Hosts: 0.0.0.0 pcprotect.com
O1 - Hosts: 0.0.0.0 vvv.pcprotect.com
O1 - Hosts: 0.0.0.0 mcafee.com
O1 - Hosts: 0.0.0.0 vvv.mcafee.com
O1 - Hosts: 0.0.0.0 bitdefender.com
O1 - Hosts: 0.0.0.0 vvv.bitdefender.com
O1 - Hosts: 0.0.0.0 us.norton.com
O1 - Hosts: 0.0.0.0 vvv.us.norton.com
O1 - Hosts: 0.0.0.0 avg.com
O1 - Hosts: 0.0.0.0 vvv.avg.com
O1 - Hosts: 0.0.0.0 malwarebytes.com
O1 - Hosts: 0.0.0.0 vvv. malwarebytes.com
O1 - Hosts: 0.0.0.0 pandasecurity.com
O1 - Hosts: 0.0.0.0 vvv.pandasecurity.com
O1 - Hosts: 0.0.0.0 surfshark.com
O1 - Hosts: 0.0.0.0 vvv.surfshark.com
O1 - Hosts: 0.0.0.0 avira.com
O1 - Hosts: 0.0.0.0 vvv.avira.com
O1 - Hosts: 0.0.0.0 norton.com
O1 - Hosts: 0.0.0.0 vvv.norton.com
O1 - Hosts: 0.0.0.0 eset.com
O1 - Hosts: 0.0.0.0 vvv. eset.com
O1 - Hosts: 0.0.0.0 Zillya.com
O1 - Hosts: 0.0.0.0 vvv.Zillya.com
O1 - Hosts: 0.0.0.0 kaspersky.com
O1 - Hosts: 0.0.0.0 vvv.kaspersky.com
O1 - Hosts: 0.0.0.0 usa.kaspersky.com
O1 - Hosts: 0.0.0.0 vvv.usa.kaspersky.com
O1 - Hosts: 0.0.0.0 dpbolvw. net
O1 - Hosts: 0.0.0.0 vvv.dpbolvw.net
O1 - Hosts: 0.0.0.0 sophos.com
O1 - Hosts: 0.0.0.0 vvv.sophos.com
O1 - Hosts: 0.0.0.0 home.sophos.com
O1 - Hosts: 0.0.0.0 vvv.home.sophos.com
O1 - Hosts: 0.0.0.0 vvv.adaware.com
O1 - Hosts: 0.0.0.0 adaware.com
O1 - Hosts: 0.0.0.0 vvv.ahnlab.com
O1 - Hosts: 0.0.0.0 ahnlab. com
O1 - Hosts: 0.0.0.0 vvv.bullguard.com
O1 - Hosts: 0.0.0.0 bullguard.com
O1 - Hosts: 0.0.0.0 clamav.net
O1 - Hosts: 0.0.0.0 vvv.clamav.net
O1 - Hosts: 0.0.0.0 vvv.drweb.com
O1 - Hosts: 0.0.0.0 drweb.com
O1 - Hosts: 0.0.0.0 emsisoft.com
O1 - Hosts: 0.0.0.0 vvv.f-secure.com
O1 - Hosts: 0.0.0.0 f-secure.com
O1 - Hosts: 0.0.0.0 vvv.zonealarm.com
O1 - Hosts: 0.0.0.0 zonealarm.com
O1 - Hosts: 0.0.0.0 vvv.trendmicro.com
O1 - Hosts: 0.0.0.0 trendmicro.com
O1 - Hosts: 0.0.0.0 vvv.ccleaner.com
O1 - Hosts: 0.0.0.0 ccleaner.com
O1 - Hosts: 0.0.0.0 vvv.virustotal.com
O1 - Hosts: 0.0.0.0 virustotal.com
O1 - Hosts: 0.0.0.0 download.microsoft.com
O1 - Hosts: 0.0.0.0 windowsupdate.microsoft.com
O1 - Hosts: 0.0.0.0 update.microsoft.com
O1 - Hosts: 0.0.0.0 microsoft.com
O1 - Hosts: 0.0.0.0 vvv.microsoft.com

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

выполнил оба скрипта.
при попытке пофиксить программа ругалась на  vvv.drweb.com, clamav.net и парочку других, не дала их пофиксить
новые логи 

CollectionLog-2024.05.26-18.49.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    Task: {020A1B06-A97F-45F9-AC44-3EEB915D019F} - System32\Tasks\GoogleUpdateTaskMachineQC => C:\Program Files\Google\Chrome\updater.exe [10185816 2024-05-26] (Samsung Electronics CO., LTD. -> VideoLAN) [Файл не подписан] <==== ВНИМАНИЕ
    C:\Program Files\Google\Chrome\updater.exe
    S3 bits; C:\Windows\System32\svchost.exe [55456 2023-11-17] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    S3 bits; C:\Windows\SysWOW64\svchost.exe [46544 2023-11-17] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2023-11-17] (Microsoft Windows -> Microsoft Corporation)
    S3 dosvc; C:\Windows\System32\svchost.exe [55456 2023-11-17] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    S3 dosvc; C:\Windows\SysWOW64\svchost.exe [46544 2023-11-17] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1534464 2024-04-13] (Microsoft Windows -> Microsoft Corporation)
    S2 UsoSvc; C:\Windows\system32\svchost.exe [55456 2023-11-17] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    S2 UsoSvc; C:\Windows\SysWOW64\svchost.exe [46544 2023-11-17] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [570368 2024-04-13] (Microsoft Windows -> Microsoft Corporation)
    S3 wuauserv; C:\Windows\system32\svchost.exe [55456 2023-11-17] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    S3 wuauserv; C:\Windows\SysWOW64\svchost.exe [46544 2023-11-17] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3436544 2024-04-13] (Microsoft Windows -> Microsoft Corporation)
    S3 GPU-Z-v2; C:\Users\yurab\AppData\Local\Temp\GPU-Z-v2.sys [52008 2023-01-29] (TechPowerUp LLC -> ) <==== ВНИМАНИЕ
    S3 cpuz154; \??\C:\Windows\temp\cpuz154\cpuz154_x64.sys [X] <==== ВНИМАНИЕ
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Далее скачайте этот архив и запустите по очереди каждый reg-файл. Согласитесь с внесением изменений в реестр.

Перезагрузите компьютер и соберите такой лог:

 

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender


Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

Изменено пользователем Sandor
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

image.thumb.png.03c7441fc259fffc91d3d9e9f57a1d29.pngне дает  запустить ни один reg-файл, это сообщение появляется на полсекунды и исчезает, если попытаться нажать, исчезает еще быстрее

FSS.txt Fixlog.txt

Изменено пользователем yura_
Ссылка на комментарий
Поделиться на другие сайты

я так и сделал, просто скрин отправил, где еще не извлек. Извлеченные-то же самое происходит

Ссылка на комментарий
Поделиться на другие сайты

Следующий скрипт выполняйте в безопасном режиме.

 

  • Выделите следующий код:
    Start::
    CloseProcesses:
    RemoveProxy:
    Task: {0B6E38E3-AFFE-4B4D-82FD-6EDB09F6098C} - System32\Tasks\GoogleUpdateTaskMachineQC => C:\Program Files\Google\Chrome\updater.exe [10185816 2024-05-29] (Samsung Electronics CO., LTD. -> VideoLAN) [Файл не подписан] <==== ВНИМАНИЕ
    C:\Program Files\Google\Chrome\updater.exe
    Hosts:
    ProxyServer: [S-1-5-21-2855120443-3399715951-826037093-1001] => hxxp://127.0.0.1:2334
    U2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2023-11-17] (Microsoft Windows -> Microsoft Corporation)
    U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1534464 2024-04-13] (Microsoft Windows -> Microsoft Corporation)
    U2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [570368 2024-04-13] (Microsoft Windows -> Microsoft Corporation)
    S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2023-12-28] (Microsoft Windows -> Microsoft Corporation)
    U3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3436544 2024-04-13] (Microsoft Windows -> Microsoft Corporation)
    File: C:\Windows\System32\DriverStore\FileRepository\googledrivefs31357.inf_amd64_a8bf31a168cf7d00\googledrivefs31357.sys
    File: C:\Program Files\Google\Drive File Stream\92.0.0.0\GoogleDriveFS.exe
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Ещё раз скачайте тот же архив (там добавлен один reg-файл) и ещё раз запустите по очереди каждый.

 

После перезагрузки соберите, пожалуйста, новый FSS.txt и новые FRST.txt и Addition.txt

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • apachexd
      От apachexd
      нужна помощь в удалении вируса, пробовал разные способы запуска редактора реестра, сразу закрывается после запуска
      CollectionLog-2024.11.16-15.53.zip
    • Milkuf
      От Milkuf
      При установке Kaspersky free на этапе установки защиты от вымогателей(≈70%) программа сама закрывается.
    • Cococanuth
      От Cococanuth
      Обнаружилось вчера вечером. Вирус закрывает диспетчер задач (иногда все таки пропускает и он открывается). При поиске в браузерах сайтов с решением проблемы автоматически закрывает их. Закрывает exe-установщики, анитивирусники, автологгеры и подобные программы. Подозреваю о наличии скрытыго пользователя - администратора (некоторые папки с закрытым доступом, некоторые функции недоступны к выполнению). Решение похожей проблемы здесь от 8 мая 2022 не помогло, так как не удаётся установить ни одно приложение (при изменении имени файлов, они не запускаются) 
    • Dante
      От Dante
      Добрый день, программы по типу AIDA64 и MSI afterburner закрываются сразу после открытия. Решил попробовать открыть реестр и с ним происходит тоже самое. Компьютер стал запускаться несколько минут, хотя раньше делал это за секунды
    • niromerskiy
      От niromerskiy
      Добрый день, с недавних пор заметил что компьютер начал себя странно вести. В частности играя мой ФПС в играх не с того не с сего со 120 падал до 30 и не поднимался до перезапуска ПК. Думал на все кроме майнера, дошло время я решил посмотреть журналы Защитника Виндовс, и понял что у меня с ним что-то не то, он вроде как работает, но при этом и не работает. Начал пытаться чинить его, и вдруг резко задумался о том может ли это быть связанно с вирусами, сразу подумал на майнер. Начал писать в яндексе запрос "Как проверить ПК на наличие МАЙНЕРА", браузер закрывался почти мгновенно. Начитался на форумах и вспомнил что не так давно с момента как ПК начал себя плохо вести, я активировал Microsoft Office через КМС, в основном пользовался всегда своим проверенным, но потеряв его я решил найти в интернете, как я полагаю начало было положено именно с него. Помогите избавиться от майнера.
×
×
  • Создать...