Nowham Опубликовано 31 марта, 2020 Share Опубликовано 31 марта, 2020 Здраствуйте, у меня возникла проблема, а именно , мой ноутбук заразился вирусами. Среди них я заметил Winmon, winmonsf, win , cloudnet, shcheduleupgrated и какой-то биткоинмайнер. Эти все вирусы были у меня еще приблизительно недели 2 назади заметил я их после того как сильно что-то кушало мою оперативную память. После некоторых действий они перестали появляться, и антивирус их не находил. Я бы назвал это спячкой. Но сегодня меня они снова побеспокоили. Начался день с BSOD с кодом 50. Также при перезагрузке виндовса появилось сообщение про отсуствие електроной подписи драйверов Winmon.sys , Winmonfs.sys и WinProcesScreen(???) . Я запустил Dr.web CureIt и запустил проверку. Все вирусы не удалило. Дальше я провел несколько похожих действий, но не думаю что про это нужно говорить. Прикрепляю логи: CollectionLog-2020.03.31-20.46.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 31 марта, 2020 Share Опубликовано 31 марта, 2020 Здравствуйте,Удалите остатки от антивируса Avast утилитой Avast Remover.HiJackThis (из каталога autologger)профикситьВажно: необходимо отметить и профиксить только то, что указано ниже. O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.'); end; end; SaveLog(GetAVZDirectory + 'fystemRoot.log'); end. После выполнения скрипта компьютер перезагрузится.Приложите пожалуйста новые логи согласно правилам. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Nowham Опубликовано 31 марта, 2020 Автор Share Опубликовано 31 марта, 2020 Все сделал , как и сказали. Только после выполнения скрипта компьютер не перезагрузился, но я сделал это сам Логи: CollectionLog-2020.04.01-00.01.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 31 марта, 2020 Share Опубликовано 31 марта, 2020 Могли бы пожалуйста перегрузить ПК и после этого показать результат следующей команды в командной строке (cmd.exe) reg query "HKLM\SYSTEM\CurrentControlSet\Services\wuauserv" Ссылка на комментарий Поделиться на другие сайты More sharing options...
Nowham Опубликовано 31 марта, 2020 Автор Share Опубликовано 31 марта, 2020 Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 31 марта, 2020 Share Опубликовано 31 марта, 2020 Службу Windows Update сами удаляли? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Nowham Опубликовано 31 марта, 2020 Автор Share Опубликовано 31 марта, 2020 Скорее всего не я, а может и я , не помню вообще У меня не активирована пиратка виндовса, если это имеет значение Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 31 марта, 2020 Share Опубликовано 31 марта, 2020 Вопрос, если вы хотите восстановить данную службу по могу предложить следующее решение. Важно: Но как это повлияет на работу не лицензионно ОС не могу знать. Если Вам не нужно это, пожалуйста проигнорируйте исправление AVZ и предоставьте логи FRST, т.е. переходите сразу к пункту 2.1) AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. {Исправление в службах в реестре, значения ImagePath. Данный скрипт распространяется свободно и может быть модицифирован по согласованию с авторами - представителями SafeZone.cc При публикации скрипта данный комментарий и ссылка на VirusNet.Info обязателена. } var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String; DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String; ImagePathStr, RootStr, SubRootStr, LangID: string; AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer; FinishMsg, RestoreMsg, FixMsg, CheckMsg: String; RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String; procedure CheckAndRestoreSection(Root: String); begin Inc(AllRoots); if RegKeyExistsEx('HKLM', Root) then RegKeyResetSecurity('HKLM', Root) else begin Inc(RootsRestored); RegKeyCreate('HKLM', Root); AddToLog(RegSectMsg + Root + RestMsg); end; end; procedure CheckAndRestoreSubSection; begin CheckAndRestoreSection(SubRootStr); end; procedure RestoredMsg(Root, Param: String); begin AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg); Inc(KeysRestored); end; procedure FixedMsg(Root, Param: String); begin AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg); Inc(KeysFixed); end; procedure RestoreStrParam(Root, Param, Value: String); begin RegKeyStrParamWrite('HKLM', Root, Param, Value); RestoredMsg(Root, Param); end; procedure CheckAndRestoreStrParam(Root, Param, Value: String); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', Root, Param) then RestoreStrParam(Root, Param, Value); end; procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', Root, Param) then begin RegKeyIntParamWrite('HKLM', Root, Param, Value); RestoredMsg(Root, Param); end; end; procedure CheckAndRestoreMultiSZParam(Param, Value: String); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', RootStr, Param) then begin ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true); RestoredMsg(RootStr, Param); end; end; // Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS' procedure ImagePathFix(Node, Srv: String); var RegStr: String; begin RegStr := 'SYSTEM\' + Node + '\Services\' + Srv; if RegKeyExistsEx('HKLM', RegStr) then begin Inc(AllKeys); RegKeyResetSecurity('HKLM', RegStr); RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr); FixedMsg(RegStr, 'ImagePath'); end; end; { Выполнение исправление всех ключей в ветках - 'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'} procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String); var FileServiceDll, CCSNumber: string; i : integer; begin if Srv = 'BITS' then FileServiceDll := FullPathSystem32 + 'qmgr.dll' else FileServiceDll := FullPathSystem32 + 'wuauserv.dll'; RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv; CheckAndRestoreSection(RootStr); CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText); CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText); CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem'); Inc(AllKeys); if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then RestoreStrParam(RootStr, 'ImagePath', ImagePathStr) else begin Dec(AllKeys); if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then for i:= 0 to 999 do begin if i > 0 then CCSNumber := FormatFloat('ControlSet000', i) else CCSNumber := 'CurrentControlSet'; ImagePathFix(CCSNumber, Srv); end; end; CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1); CheckAndRestoreIntParam(RootStr, 'Start', 2); CheckAndRestoreIntParam(RootStr, 'Type', 32); if Srv = 'BITS' then begin CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs'); CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ'); end; SubRootStr:= RootStr + '\Enum'; CheckAndRestoreSubSection; CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000'); CheckAndRestoreIntParam(SubRootStr, 'Count', 1); CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1); SubRootStr := RootStr + '\Security'; CheckAndRestoreSubSection; Inc(AllKeys); if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then begin RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00'); RestoredMsg(SubRootStr, 'Security'); end; SubRootStr:= RootStr + '\Parameters'; CheckAndRestoreSubSection; Inc(AllKeys); if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then begin RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll); RestoredMsg(SubRootStr, 'ServiceDll'); end else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then begin RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll); FixedMsg(SubRootStr, 'ServiceDll'); end end; { Главное выполнение } begin ClearLog; ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg'); ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg'); LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage'); if LangID = '0419' then begin DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.'; DispayNameTextWuauServ := 'Автоматическое обновление'; DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.'; DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)'; AddToLog('Операционная система - русская'); FinishMsg := '–––– Восстановление завершено ––––'; RestoreMsg := 'Восстановлено разделов\параметров: '; FixMsg := 'Исправлено параметров: '; CheckMsg := 'Проверено разделов\параметров: '; RegSectMsg := 'Раздел реестра HKLM\'; ParamMsg := 'Параметр '; ParamValueMsg := 'Значение параметра '; InRegSectMsg := ' в разделе реестра HKLM\'; CorrectMsg := ' исправлено на оригинальное.'; RestMsg := 'восстановлен.'; end else if LangID = '0409' then begin DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.'; DispayNameTextWuauServ := 'Automatic Updates'; DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.'; DispayNameTextBITS := 'Background Intelligent Transfer Service'; AddToLog('Operation system - english'); FinishMsg := '–––– Restoration finished ––––'; RestoreMsg := 'Sections\parameters restored: '; FixMsg := 'Parameters corrected: '; CheckMsg := 'Sections\parameters checked: '; RegSectMsg := 'Registry section HKLM\'; ParamMsg := 'Parameter '; ParamValueMsg := 'Value of parameter '; InRegSectMsg := ' in registry section HKLM\'; CorrectMsg := ' corrected on original.'; RestMsg := ' restored.'; end; AddToLog(''); { Определение папки X:\Windows\System32\ } NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory'); ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs'; Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1); FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\'; AllRoots := 0; AllKeys := 0; RootsRestored := 0; KeysRestored := 0; KeysFixed := 0; CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS'); CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv'); AddToLog(''); AddToLog(FinishMsg); AddToLog(''); AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored)); AddToLog(FixMsg + IntToStr(KeysFixed)); AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys)); SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log'); RebootWindows(false); end. После выполнения скрипта компьютер перезагрузится.После выполнения скрипта на рабочем столе появится текстовый файл Correct_wuauserv&BITS.log. Его необходимо прикрепить к следующему посту.2)- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Nowham Опубликовано 31 марта, 2020 Автор Share Опубликовано 31 марта, 2020 Все, готово Логи: FRST.txtAddition.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 31 марта, 2020 Share Опубликовано 31 марта, 2020 Сами устанавливали следующее расширение? CHR Extension: (Social Blade) - C:\Users\asus.asus-ПК\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\cfidkbgamfhdgmedldkagjopnbobdmdn [2020-03-24] [UpdateUrl:hxxps://addon.socialblade.com/updates.json] <==== ATTENTION Закройте и сохраните все открытые приложения. Выделите следующий код::Start:: CreateRestorePoint: CloseProcesses: Task: {E03D6DF7-0B85-4C13-B4E9-A898DC4D4263} - \ScheduledUpdate -> No File <==== ATTENTION FF Plugin: @microsoft.com/GENUINE -> disabled [No File] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File] Folder: C:\Windows\rss ContextMenuHandlers1_.DEFAULT: [ qingshellext] -> {67F4D210-BFC2-4ADD-9A2A-C9B9E1F42C4F} => -> No File ContextMenuHandlers4_.DEFAULT: [ qingshellext] -> {67F4D210-BFC2-4ADD-9A2A-C9B9E1F42C4F} => -> No File ContextMenuHandlers5_.DEFAULT: [ qingshellext] -> {67F4D210-BFC2-4ADD-9A2A-C9B9E1F42C4F} => -> No File AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [154] AlternateDataStreams: C:\Users\Все пользователи\TEMP:1CE11B51 [154] Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST/FRST64 (от имени администратора). Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). . Обратите внимание, что компьютер будет перезагружен. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Nowham Опубликовано 1 апреля, 2020 Автор Share Опубликовано 1 апреля, 2020 Да, расширение сам устанавливал. Логи: Fixlog.txt И еще, я заметил что у меня слетел кряк bandicam`а , можно ли крякнуть снова? Это не приведет к каким-то проблемам ? Закинул программу для кряка в вирустотал, обнаружило 52(вируса, не вируса, не знаю как это называется) . Хотя проблемы с вирусами у меня появились еще до установки кряка Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 1 апреля, 2020 Share Опубликовано 1 апреля, 2020 И еще, я заметил что у меня слетел кряк bandicam`а , можно ли крякнуть снова? Это не приведет к каким-то проблемам ? Этим помочь не смогу. Все возможно. Обратите внимание пожалуйста, что на форуме запрещено обсуждение подобных тем (пункт 12). Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Nowham Опубликовано 1 апреля, 2020 Автор Share Опубликовано 1 апреля, 2020 Хорошо, больше таких обсуждений не будет. Архив: ASUS-ПК_2020-04-01_16-42-53_v4.1.8.7z Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 1 апреля, 2020 Share Опубликовано 1 апреля, 2020 Выполните скрипт в uVS: ;uVS v4.1.1 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE cexec tools\CreateRestorePoint.exe BeforeCure zoo %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\TEMP\CSRSS\CLOUDNET.EXE zoo %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\TEMP\CSRSS\WUP\XARCH\WUP.EXE dirzoo %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\TEMP\CSRSS zoo %SystemRoot%\WINDEFENDER.EXE zoo %SystemRoot%\RSS\CSRSS.EXE zoo %Sys32%\DRIVERS\WINMON.SYS zoo %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE zoo %Sys32%\DRIVERS\WINMONFS.SYS zoo %Sys32%\DRIVERS\WINMONPROCESSMONITOR.SYS delall %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\TEMP\CSRSS\WUP\XARCH\WUP.EXE delall %SystemRoot%\WINDEFENDER.EXE delall %SystemRoot%\RSS\CSRSS.EXE delall %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE delall %Sys32%\DRIVERS\WINMON.SYS delall %Sys32%\DRIVERS\WINMONFS.SYS delall %Sys32%\DRIVERS\WINMONPROCESSMONITOR.SYS delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL restart Заархивируйте в zoo.zip папку ZOO и загрузите этот архив через данную форму Ссылка на комментарий Поделиться на другие сайты More sharing options...
Nowham Опубликовано 1 апреля, 2020 Автор Share Опубликовано 1 апреля, 2020 Все сделал, как и просили, и загрузил) Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти