Windows7 перезагружается спустя пару минут после включения, либо после запуска любой программы.

[NickArt]

На компьютере стояла блокировка просмотра видео в сети или сайтов с видео. Как реализована была не знаю. Что-то через "запрет в папках" как мне сказали. 

Один из пользователей поставили какую-то программу для обхода данной проблемы. 

Что за программы узнать у пользователя не удается. Однако, его коллега говорит про некий "True Key" на основании двух фактов:

1. Во время работы 1С может появиться сообщение об ошибке:

Имя окошка:LogonUI.exe - Ошибочный образ

Текст в окошке:"C:\Program Files\TrueKey\McAfee.TrueKey.CP.Core.Localization.dll" либо не предназначен для выполнения под управлением Windows или содержит ошибку.

Попробуйте переустановить программу с помощью исходного установочного носителя или обратитесь к системному администратору или поставщику программного обеспечения за поддержкой.

 

2.При нажатие на "Сменить пользователя" в меню Пуск появился новый пользователь "Tru Key" помимо уже существующего. В Безопасном режиме пользователя "True Key" нету. 

 

 

Что сделал в Безопасном режиме: 

1. Malware Bytes Ознакомительная Premium-версия 3.4.5 создала такой отчет и вроде как должна была полечить после сделанной перезагрузки.

 

2. Запускал утилиту MCPR.exe (MCPR © McAfee, Inc). по инструкции отсюда https://support.kaspersky.ru/common/installation/2237#block2

 

3. Запускал Malwarebytes AdwCleaner 7.1.0.0 два раза. Похоже, он находит проблему с которой не может справиться. Вот два отчета с последнего запуска.

 

4. KVRT - нашел два объекта:

C:\Users\Kassa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\BJ33L2W4\AA_v3.exe - not-a-virus:RemoteAdmin.Win32.Ammyy.xrp

C:\Users\Kassa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QXXWZ62T\AA_v3[1].exe - not-a-virus:RemoteAdmin.Win32.Ammyy.xrp

 

Средствами KVRT удалил оба объекта.

 

 

AutoLogger был запущен из Безопасного режима. Когда он попросил перезагрузку я опять перезагрузился в Безопасный режим. AutoLogger автоматически не запустился, поэтому я запусти его в ручную и в диалоговом окне зажал Shift и нажал кнопку OK, что бы запустить Скрипт №2.

 

После этого загрузился в обычном режиме и запустил AutoLogger. Последовала перезагрузка.

 

Прикладываю отчеты.

Запустил Autoruns (AutorunsVTchecker). По инструкции сделал лог https://safezone.cc/threads/kak-podgotovit-log-autoruns.30173/ 

 

 

 

 

2.При нажатие на "Сменить пользователя" в меню Пуск появился новый пользователь "Tru Key" помимо уже существующего. В Безопасном режиме пользователя "True Key" нету. 

Сейчас не наблюдаю такого пользователя и обычном режиме запуска.

CollectionLog-2018.04.18-20.16.zip

AdwCleanerS01.txt

AdwCleanerC01.txt

malware bytes premium отчет.txt

Log.rar

Изменено 18 апреля, 2018 пользователем NickArt

[regist]

1) Запустите в безопасном режиме удаление хвостов Аваст с помощью этой утилиты http://files.avast.com/files/eng/aswclear.exe

2) "Пофиксите" в HijackThis:

O4 - MSConfig\startupreg: gmsd_ru_005010091 [command] = C:\Program Files\gmsd_ru_005010091\gmsd_ru_005010091.exe  (file missing) (HKLM) (2015/09/20)
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: Driver Booster SkipUAC (Kassa) - C:\Program Files\IObit\Driver Booster\DriverBooster.exe /skipuac (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-2682221898-2490020531-2648219024-1000 - %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380} - C:\Program Files\Rising\RAV\rsdelaylauncher.exe (file missing)
O22 - Task: \AVAST Software\Avast settings backup - C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe /backup /iavs (file missing)
O22 - Task: Обновление Браузера Яндекс - C:\Users\Kassa\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --background-update (file missing)

 

3)

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

 

[NickArt]

Все инструкции выполнил.

 

KASSA-PC_2018-04-18_21-50-00.7z

[regist]

http://antizapret.prostovpn.org/proxy.pac

это значит не ваше и удалять?

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
   
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
   
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    

   ;uVS v4.0.11 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   BREG
   ;---------command-block---------
   delref %SystemDrive%\USERS\TEMP\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.8\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
   delref %SystemDrive%\USERS\KASSA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULTBACKUP\EXTENSIONS\FLLIILNDJEOHCHALPBBCDEKJKLBDGFKK\2.5.8.1961_0\ВЕБ-ФИЛЬТР AVIRA
   delref %SystemDrive%\USERS\KASSA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\FLLIILNDJEOHCHALPBBCDEKJKLBDGFKK\2.4.2.1650_0\ВЕБ-ФИЛЬТР AVIRA
   delref %SystemDrive%\PROGRAM FILES\TRUEKEY\MCAFEETRUEKEYPASSWORDFILTER.DLL
   bl C308C8BE6D3D86BDC5C86053AED34D5B 2428
   zoo %SystemDrive%\USERS\KASSA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\LN0D7FPC.DEFAULT\SEARCHPLUGINS\GOOGLE-AVAST.XML
   delall %SystemDrive%\USERS\KASSA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\LN0D7FPC.DEFAULT\SEARCHPLUGINS\GOOGLE-AVAST.XML
   zoo %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARLOADER.EXE
   delall %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARLOADER.EXE
   delref %SystemDrive%\USERS\KASSA\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6998.0830\FILECOAUTHLIB.DLL
   delref %SystemDrive%\USERS\KASSA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
   delref %SystemDrive%\PROGRAM FILES\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
   delref {0F4B8786-5502-4803-8EBC-F652A1153BB6}\[CLSID]
   delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
   delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
   delref %SystemDrive%\USERS\KASSA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\FLLIILNDJEOHCHALPBBCDEKJKLBDGFKK\2.2.0.1405_0\ВЕБ-ФИЛЬТР AVIRA
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFLLIILNDJEOHCHALPBBCDEKJKLBDGFKK%26INSTALLSOURCE%3DONDEMAND%26UC
   apply
   
   czoo
   restart 

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
   
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
   

 

Проверьте, что с проблемой. antizapret - удалять пока не стал. Скажите если надо.

 

И не уверен насколько корректно скрипт восстановит значение параметра. Поэтому лучше вручную исправьте значение Notification Packages в ключе

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

на scecli

То есть удалите дописку про C:\Program Files\TrueKey\McAfeeTrueKeyPasswordFilter

 

 

[NickArt]

 

 

http://antizapret.prostovpn.org/proxy.pac

это значит не ваше и удалять?

Уточнил. Как обычно никто толком не знает, но вероятно, что не наше. Давайте удалять.

 

Все инструкции выполнил.

В обычном режиме запуска произошла перезагрузка. Я снова в безопасном режиме.

[regist]

1)

 

Уточнил. Как обычно никто толком не знает, но вероятно, что не наше. Давайте удалять.

Выполните скрипт uVS

;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
delref HTTP://ANTIZAPRET.PROSTOVPN.ORG/PROXY.PAC
apply

restart
 

2)

 

 

1. Во время работы 1С может появиться сообщение об ошибке: Имя окошка:LogonUI.exe - Ошибочный образ Текст в окошке:"C:\Program Files\TrueKey\McAfee.TrueKey.CP.Core.Localization.dll" либо не предназначен для выполнения под управлением Windows или содержит ошибку. Попробуйте переустановить программу с помощью исходного установочного носителя или обратитесь к системному администратору или поставщику программного обеспечения за поддержкой.

Это ещё осталось? По прежнему ругается на этот файл? Если указанный параметр исправили, то этой ошибки быть не должно. Если осталась, то можно ещё твиком его восстановить

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Notification Packages"=hex(7):73,00,63,00,65,00,63,00,6c,00,69,00,00,00,00,00

3) Насчёт перезагрузки так как проблема не вирусная, то лучше обсуждать в соседнем разделе Компьютерная помощь

Создайте там отдельную тему и сразу приложите Скачайте, распакуйте и запустите GetSystemInfo (GSI). Прочтите и согласитесь с лицензионным соглашением программы нажав кнопку Accept. Нажмите на кнопку старта в правой части окна утилиты (приблизительное время сбора отчета составляет 10 минут). После окончания сканирования выйдет уведомление о сохранении лога (файл с расширением zip), полученный файл загрузите загрузите на страницу автоматического анализатора. Для этого откройте страницу автоматического анализатора протокола утилиты, нажмите кнопку "Обзор" и выберите файл отчета GetSystemInfo_Имя компьютера_Ваше_имя_пользователя_Дата_сканирования.zip, нажмите "Отправить". Дождитесь окончания работы автоанализатора, затем скопируйте ссылку на отчет и опубликуйте ее в Вашей теме на форуме.

 

[NickArt]

Инструкцию в пункте 1 выполнил. 

 

 

 

Во время работы 1С может появиться сообщение об ошибке: Имя окошка:LogonUI.exe - Ошибочный образ Текст в окошке:"C:\Program Files\TrueKey\McAfee.TrueKey.CP.Core.Localization.dll" либо не предназначен для выполнения под управлением Windows или содержит ошибку. Попробуйте переустановить программу с помощью исходного установочного носителя или обратитесь к системному администратору или поставщику программного обеспечения за поддержкой.

На это больше не ругается.

 

Большое человеческое спасибо за помощь! Много мусора нашлось и вычистили.

[regist]

@NickArt, читаю вашу вторую тему.... давайте ещё кое-то посмотрим.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
 

[NickArt]

Выполнил инструкцию в безопасном режиме с поддержкой сетевых драйверов, прикладываю отчеты.

 

 

Addition.txt

FRST.txt

[regist]

1) Эти папки вам знакомы?

C:\ProgramData\s3pc
C:\ProgramData\s3d4
C:\ProgramData\s248
C:\ProgramData\s3ng
C:\ProgramData\s3fc
C:\ProgramData\s3ec
C:\ProgramData\sng
C:\ProgramData\s7k
C:\ProgramData\s3cs
C:\ProgramData\s3m0
C:\ProgramData\s22o
C:\ProgramData\s1rs

2)

 

Running from C:\Windows\System32\config\systemprofile\Desktop
Loaded Profiles: False (Available Profiles: Kassa) <==== ATTENTION (Temporary Profile?)

логи нужно из под обычного профиля.

 

3) В этих логах видно хвосты от вирусных заданий, которые точно не были в начальных логах.

 

4) От MBAM хвосты также видно. Да и от аваста минимум папка и расширение в браузере осталось, лучше бы пройтись утилитой для его удаления тоже.

[NickArt]

1. Не знакомы. Удалять?

2. Сделаю.

3-4. Какой утилитой лучше пройтись? ADWcleaner?

Отчеты.

Addition.txt

FRST.txt

[regist]

1) Да удалите, там ещё подобные должны быть (я не все выписал).

2) По прежнему логи собраны с учётки

 

Running from C:\Windows\System32\config\systemprofile\Desktop
Loaded Profiles: False (Available Profiles: Kassa) <==== ATTENTION (Temporary Profile?)

3) Дам скрипт как только будут нормальные логи. Да и перед созданием свежих логов эти текстовые файлы и папку папку C:\FRST удалите, чтобы с нуля инфу в логи собрало.

4) https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/По авасту рассширение из браузера возможно придётся удалить вручную.

 

PS. Логи лучше собирать после всех остальных пунктов.

[NickArt]

2. По прежнему логи собраны с учётки.

 

Вы имеете ввиду зайти под "Администратор"?

 

Удаляю следы от Malwarebytes Anti-Malware, AVAST Software a.s. ? Я еще помню от Avira Operations GmbH & Co. KG.​, McAfee, Inc.​находил через Revo Uninstaller. Тоже тогда пройдусь.

Но уже завтра, сегодя они все.

Спасибо за помощь!

Изменено 21 апреля, 2018 пользователем NickArt

[regist]

 

 

Вы имеете ввиду зайти под "Администратор"?

Если вы под "Администратор" подразумеваете название учётной записи, то не обязательно именно она. Но логи должны быть из под учётной записи с правами админа. А вы делали логи из под временного профиля, то есть у вас даже такой учётной записи не существует и все изменения сделанные в ней не сохраняются.

[NickArt]

regist, однако, я запускал учетную запись с правами администратора. 

Панель управления\Все элементы панели управления\Учетные записи пользователей - там значится, что у профиля права Администратора.

То есть профиль Kassa на самом деле не обладает админскими правами? И может потому запрет на поиск и установку обновлений не срабатывает.

А может он обладает ими не всегда? То есть, есть момент, когда:

Иногда после перезагрузки появляются одновременно два события:

    -Панель управления\Все элементы панели управления -> Параметры папок -> Вид -> окно Дополнительные параметры пустое. 

    -Панель управления -> опция "Просмотр:" не запоминает настройку. Я ставлю "Крупные значки", при новом открытии панели управления снова настройка "Категория". 

 

 

И может, я умудрился в этот запуск запустить проверку.

А хвосты по инструкциям https://safezone.cc:...-antivirusa.58/ тогда вычищать в безопасном режиме, что бы настройки сохранились?