[РЕШЕНО] Краш системы и произвольные перезапуски

[Gillox]

При игре в Тарков, а так же просто использовании пк без нагрузки время от времени крашется система. Думаю, подцепил майнер. Выдает синие экраны, либо пк просто перезагружается с черным экраном. Коды ошибок: 

1. Memory_Management
2. System Thread Exception not handled
3. System Service Exception (Что вызвало проблему: Ntfs.sys)
4. Kernel_Mode Heap Corruption

CollectionLog-2024.11.04-18.56.zip

 

Так же перестала работать панель уведомлений справа (при открытии она полностью пустая без значков и тут же закрывается) и комбинация win+shift+s перестает работать после первого использования после перезапуска пк.

[Sandor]

Здравствуйте!

 

У вас другой тип заражения. Не тот, для которого создан AVbr, его применение было лишним.

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

 

Client Helper 6.1.4

uTorrent 8.2.9

 

Что не сможете удалить стандартно, удалите принудительно с помощью Geek Uninstaller

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\belki\appdata\roaming\utorrent\pro\utorrentpro.exe');
 QuarantineFile('C:\Program Files\Client Helper\Client Helper.exe', '');
 QuarantineFile('c:\users\belki\appdata\roaming\utorrent\pro\utorrentpro.exe', '');
 DeleteSchedulerTask('EdgeUpdate');
 DeleteSchedulerTask('RunGame');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1729669084514');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1729669086581');
 DeleteFile('C:\Program Files\Client Helper\Client Helper.exe', '64');
 DeleteFile('c:\users\belki\appdata\roaming\utorrent\pro\utorrentpro.exe', '');
 DeleteFile('C:\Users\belki\AppData\Roaming\utorrent\pro\uTorrentPro.exe', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Изменено 5 ноября пользователем Sandor

[Gillox]

22 часа назад, Gillox сказал:

Всё сделал как было написано, вот результат:

 

FRST.txt Addition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  C:\Users\belki\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\nfljbbdeojllmmkpoibdnfjcfejejjg
  C:\Users\belki\AppData\Local\Google\Chrome\User Data\Default\Extensions\copbocggdnhfolhepiflkkcjnoeaokpj
  2024-10-23 10:28 - 2024-11-05 17:19 - 000000000 ____D C:\Program Files\Client Helper
  2024-10-23 10:28 - 2024-11-04 17:37 - 000008051 _____ C:\Users\belki\ex-list2.json
  2024-10-23 10:28 - 2024-10-23 10:33 - 000000000 ____D C:\Users\belki\AppData\Roaming\ClientHelper
  2024-10-23 10:28 - 2024-10-23 10:28 - 000000000 ____D C:\Users\belki\AppData\Local\clienthelper-updater
  2024-10-23 10:26 - 2024-10-23 10:26 - 000000000 ____D C:\Users\belki\AppData\Roaming\com.gtoppocket.launcher
  2024-10-23 10:38 - 2024-11-04 17:37 - 000000000 ____D C:\Users\belki\AppData\Roaming\uTorrentPro
  2024-10-23 10:38 - 2024-10-23 10:38 - 000000264 _____ C:\Users\belki\uTorrentPro.dat
  2024-10-23 10:37 - 2024-10-23 10:37 - 000000000 ____D C:\Users\belki\AppData\Local\utorrentpro-updater
  AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [4290]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [4290]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [4290]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk:8096E45125 [4290]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [4290]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote 2016.lnk:86E8B79B48 [4290]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [4290]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [4290]
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Выполнение скрипта может занять длительное время (до получаса), дождитесь окончания. Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Gillox]

Всё сделал, перед перезагрузкой сохранило такой лог:

Fixlog.txt

[Sandor]

Проверьте как ведёт себя система и сообщите через некоторое время результат.

[Gillox]

Из того что могу заметить сразу. Почему-то всё еще не работает центр уведомлений справа (сразу закрывается). Ну и win+shift+s так же себя ведет

 

[Sandor]

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender
  

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

[Gillox]

FSS.txt

Так же заметил проблему с открытием некоторых игр и приложений

[Sandor]

Запустите оснастку "Службы" (в командной строке, запущенной от имени администратора выполните services.msc) и попробуйте запустить службу "Оптимизация доставки".

 

Лучший способ - это переустановить систему с сохранением программ и данных. Начните с раздела статьи Media Creation Tool.

Проблемные "некоторые" игры и приложения тоже переустановите.

[Gillox]

При нажатии на кнопку происходит переход по ссылке а там выдает ошибку "404 - File or Directory not found".

[Sandor]

Это из-за санкций

Скачайте отсюда.

[Gillox]

Сделал всё, переустановил. Однако панель уведомлений и ножницы не заработали.

[Sandor]

Посоветуйтесь ещё в соседнем разделе форума. Ссылку на эту тему там укажите.

В отличие от этого раздела, там могут отвечать все, поэтому смотрите на репутацию.

 

В завершение по нашей части:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Gillox]

\

Перехожу по ссылке для скачивания SecurityCheck, выдает это

 

(изменено) всё заработало

 

Изменено 6 ноября пользователем Gillox