Вирусы, некоторые программы перестали работать

[Бебра]

Недавно некоторые программы перестали работать, Excel, WinRAR и браузеры. Прерываются с тем, что нет файлов в библиотеке DLL или выходит такая ошибка (Это окно не закрывается даже через диспетчер задач)

 

  Антивирус Windows постоянно жалуется на то что он устраняет угрозы, но в журнале ничего не отображается, защитник windows тормозит, так же жаловался на файл C:\Windows\System32\drivers\etc\hosts, ссылки с антивирусами не работают. Я запускал  Kaspersky Virus Removal Tool; и dr. web начал лечение файлов. 

Также, когда компьютер постоянно шумит без какой либо нагрузки. Но стоит мне начать двигать мышкой или использовать клавиатуру, нагрузка на процессор снижается, и шум исчезает.

CollectionLog-2024.08.12-12.33.zip

[Sandor]

Здравствуйте!

 

Система - сборка с вырезанным некоторым функционалом, верно?

 

1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

Bonjour

На Windows системах приложение обычно не нужно, а установленное часто вызывает проблемы с сетью.

 

2. 

Файл Check_Browser_Lnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

3.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Бебра]

2 часа назад, Sandor сказал:

Здравствуйте!

 

Система - сборка с вырезанным некоторым функционалом, верно?

 

1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

На Windows системах приложение обычно не нужно, а установленное часто вызывает проблемы с сетью.

 

2. 

Файл Check_Browser_Lnk.log
 из папки

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

3.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Check_Browsers_LNK_debug.log

FRST.txt Addition.txt

[Sandor]

Во-первых, не нужно полностью цитировать предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

Во-вторых, на вопросы желательно отвечать.

И в-третьих, пункт 2 не выполнили (или не тот лог прикрепили).

[Бебра]

ClearLNK-2024.08.12_14.48.17.log

2 часа назад, Sandor сказал:

Система - сборка с вырезанным некоторым функционалом, верно?

Ничего не вырезано, файлы вероятнее всего были побиты

 

[Sandor]

Bonjour - почему-то не удалили. Удалите, а также удалите

Цитата

prayers-premises

 

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2995733914-1792515899-3882599334-1002\...\Policies\Explorer: [] 
  HKU\S-1-5-21-2995733914-1792515899-3882599334-1002\...\MountPoints2: {1187bc4e-cbc8-11ec-855b-d8bbc159b539} - "D:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2995733914-1792515899-3882599334-1002\...\MountPoints2: {1187bd09-cbc8-11ec-855b-d8bbc159b539} - "D:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2995733914-1792515899-3882599334-1002\...\MountPoints2: {45ec6b14-fa2b-11ec-8572-d8bbc159b539} - "D:\AutoRun.exe" 
  Task: {9AA2579F-B2BF-48CC-89A7-A5D6D5995F6C} - System32\Tasks\RunAsStdUser_GameCenter => C:\Program Files (x86)\Crossfire-Game\GameCenter\GameCenter.exe  -updated -lowermode /unique=1646299723_664477140 (Нет файла)
  Task: {556A2FBC-F23D-4CE1-980A-DFE647F67427} - System32\Tasks\RunAsStdUser_GameCenterMailRu => C:\Program Files (x86)\Crossfire-Game\GameCenter\GameCenter@Mail.Ru.exe  -updated -lowermode "/unique=783753375" /unique=784070312 (Нет файла)
  C:\Users\Далер\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
  CHR HKU\S-1-5-21-2995733914-1792515899-3882599334-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [igmnjkjaodfkcomgeicohpdnfhccnjjn]
  CHR HKU\S-1-5-21-2995733914-1792515899-3882599334-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
  S3 bits; C:\Windows\System32\svchost.exe [55320 2022-07-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 bits; C:\Windows\SysWOW64\svchost.exe [46504 2022-07-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 BITS_bkp; C:\Windows\system32\qmgr.dll [1481216 2022-12-14] (Microsoft Windows -> Microsoft Corporation)
  S3 dosvc; C:\Windows\System32\svchost.exe [55320 2022-07-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 dosvc; C:\Windows\SysWOW64\svchost.exe [46504 2022-07-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S2 UsoSvc; C:\Windows\system32\svchost.exe [55320 2022-07-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S2 UsoSvc; C:\Windows\SysWOW64\svchost.exe [46504 2022-07-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S2 WindowsDefender; C:\ProgramData\WindowsDefender\windows32.exe [5548512 2024-08-10] (Exodus Movement Inc -> DeepL) [Файл не подписан]
  S3 wuauserv; C:\Windows\system32\svchost.exe [55320 2022-07-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 wuauserv; C:\Windows\SysWOW64\svchost.exe [46504 2022-07-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 wuauserv_bkp; C:\Windows\system32\wuauserv.dll [X]
  Folder: C:\ProgramData\{1BDF27E0-2612-4EC0-8022-C6FBF419145C}
  Folder: C:\ProgramData\{1C7A6EB7-BED0-4444-B0DA-4BFDCF83C380}
  C:\ProgramData\WindowsDefender\windows32.exe
  C:\ProgramData\WindowsDefender\
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [180]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6206]
  AlternateDataStreams: C:\Users\Далер\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Далер\Application Data:NT [40]
  AlternateDataStreams: C:\Users\Далер\Application Data:NT2 [180]
  AlternateDataStreams: C:\Users\Далер\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Далер\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\Далер\AppData\Roaming:NT2 [180]
  HKU\S-1-5-21-2995733914-1792515899-3882599334-1002\Software\Classes\.exe:  =>  <==== ВНИМАНИЕ
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Скачайте этот архив. Извлеките из него четыре файла и последовательно запустите каждый. Согласитесь с внесением изменений в реестр.

Перезагрузите компьютер вручную.

После этого соберите новые логи FRST.txt и Addition.txt

 

Дополнительно:

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender
  

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

[Бебра]

58 минут назад, Sandor сказал:

а также удалите

Цитата

prayers-premises

FRST64.exe не перезагрузила ПК, при сканировании зависло и не отвечало

 

3 часа назад, Sandor сказал:

Нажмите кнопку Сканировать (Scan).

 

Fixlog.txt

FSS.txt

Изменено 12 августа, 2024 пользователем Бебра

[Sandor]

По удалению программы - удалите принудительно через Geek Uninstaller

 

По фиксу - нужно было ещё подождать.

Удалите старые и соберите новые логи FRST.txt и Addition.txt

[Бебра]

FRST.txt Addition.txt

[Sandor]

На системном диске критически мало места - (Free:2.28 GB). Постарайтесь освободить хотя бы до 15 GB.

 

Ещё один скрипт выполните

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  S3 WaaSMedicSvc_bkp; C:\Windows\system32\WaasMedicSvc.dll [427520 2022-12-14] (Microsoft Windows -> Microsoft Corporation)
  S2 WindowsDefender; C:\ProgramData\WindowsDefender\windows32.exe [5548512 2024-08-12] (Exodus Movement Inc -> DeepL) [Файл не подписан]
  C:\ProgramData\WindowsDefender\windows32.exe
  StartRegedit:
  Windows Registry Editor Version 5.00
  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WaaSMedicSvc]
  "DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00
  "Description"="@WaaSMedicSvc.dll,-101"
  "DisplayName"="@WaaSMedicSvc.dll,-100"
  "ErrorControl"=dword:00000001
  "FailureActions"=hex:84,03,00,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
    00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
  "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
    74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
    00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
    6b,00,20,00,77,00,75,00,73,00,76,00,63,00,73,00,20,00,2d,00,70,00,00,00
  "LaunchProtected"=dword:00000002
  "ObjectName"="LocalSystem"
  "RequiredPrivileges"=hex(7):53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,\
    00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,\
    67,00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,\
    00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,\
    73,00,6f,00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
    00,67,00,65,00,00,00,53,00,65,00,54,00,61,00,6b,00,65,00,4f,00,77,00,6e,00,\
    65,00,72,00,73,00,68,00,69,00,70,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
    00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,00,74,00,\
    79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\
    00,52,00,65,00,73,00,74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,\
    6c,00,65,00,67,00,65,00,00,00,00,00
  "ServiceSidType"=dword:00000001
  "Start"=dword:00000003
  "Type"=dword:00000020
  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WaaSMedicSvc\Parameters]
  "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
    00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
    57,00,61,00,61,00,53,00,4d,00,65,00,64,00,69,00,63,00,53,00,76,00,63,00,2e,\
    00,64,00,6c,00,6c,00,00,00
  "ServiceDllUnloadOnStop"=dword:00000001
  "ServiceMain"="ServiceMain"
  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WaaSMedicSvc\Security]
  "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
    00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\
    00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\
    05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
    20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
    01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
  EndRegedit:
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Скрипт может выполняться длительное время (до получаса), дождитесь окончания.

 

Cделайте новый лог FSS.txt

 

Дополнительно:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS).
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

[thyrex]

+ сделайте новый лог FRST.txt, установив флажок 90 Days Files

 

[Бебра]

6 часов назад, thyrex сказал:

+ сделайте новый лог FRST.txt, установив флажок 90 Days Files

FRST.txt

FSS.txt Fixlog.txt DESKTOP-MVKFU1V_2024-08-13_14-55-05_v4.99.0v x64.7z

[Sandor]

6 часов назад, Sandor сказал:

На системном диске критически мало места - (Free:2.28 GB). Постарайтесь освободить хотя бы до 15 GB.

Получилось освободить?

[Бебра]

16 минут назад, Sandor сказал:

Получилось освободить?

Пока только до 12 ГБ

 

[Sandor]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   ;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv10.0
   v400c
   sreg
   
   ;---------command-block---------
   delref %SystemDrive%\PROGRAM FILES (X86)\360\TOTAL SECURITY\QHSAFEMAIN.EXE
   delref %SystemDrive%\PROGRA~2\CROSSF~1\GAMECE~1\NPDETE~1.DLL
   delref %SystemDrive%\USERS\ДАЛЕР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LDGPJDIADOMHINPIMGCHMEEMBBGOJNJK\3.0.0.24_0\ПОИСК ЯНДЕКСA
   delref WD_EXCLUSION:\.EXE
   
   apply
   
   zoo %SystemDrive%\PROGRAMDATA\WINDOWSDEFENDER\WINDOWS32.EXE
   addsgn BA6F9BB21DE149A765D5AE7664C912052562F6F689FA8FE8158B4678781517DC624082016802CE01A86CA4FA0E9D4DDF4DDFE8721D51C82465FC91E6A9072242 8 HEUR:Trojan.Win64.Reflo.pef [Kaspersky] 7
   
   chklst
   delvir
   
   areg

    

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.
6. Добавьте в свой следующий ответ файл дата_время_log.txt из папки откуда запускали uVS
7. Соберите новый образ автозапуска uVS для контроля (AutorunsVTchecker уже запускать не нужно).

Подробнее читайте в этом руководстве.