• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена BSOD - предполагаю вирусное заражение

Статус
В этой теме нельзя размещать новые ответы.

Razey

Активный пользователь
Сообщения
686
Реакции
31
Баллы
418
Здравствуйте!

Предполагаю вирусное заражение на данном компе (время от времени вылетает BSOD). Думаю, что это м.б. и не из-за вирусни, но проверить, думаю, нужно (на компе менялись все планки памяти, видеокарта, блок питания) Логи во вложении.. Тем не менее BSOD'ы продолжаются.
 

Вложения

  • CollectionLog-2020.08.06-10.34.zip
    162.9 KB · Просмотры: 11

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,239
Реакции
2,191
Баллы
643
Здравствуйте!

Ярлык
C:\Users\Admin\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
исправьте с помощью утилиты ClearLNK.
Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
Auslogics BoostSpeed 11
Disk Defrag Pro 4.9.6.0
Driver Easy 5.6.14.33488
IObit Uninstaller 9.5.0.12

Acoo Browser - если не самостоятельно ставили, тоже удалите.

Затем:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Razey

Активный пользователь
Сообщения
686
Реакции
31
Баллы
418
Благодарю!

Acoo Browser удалить не удалось (подождите, пока завершится удаление или изменение программы), все остальное получилось, логи во вложении.
 

Вложения

  • ClearLNK-2020.08.06_14.22.26.rar
    1,013 байт · Просмотры: 1
  • AdwCleaner[S00].rar
    1.1 KB · Просмотры: 8

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,239
Реакции
2,191
Баллы
643
Будьте внимательны, нужно было только один ярлык исправить.

1.
  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.

После перезагрузки попробуйте еще раз удалить Acoo Browser.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Razey

Активный пользователь
Сообщения
686
Реакции
31
Баллы
418
Acoo Browser удалить получилось, оставшиеся логи во вложении.


Вопрос не в тему: у пользователя 2 монитора и ярлыки при каждом запуске на 10 см уезжают влево - как с этим "бороться"?
 

Вложения

  • AdwCleaner[C01].rar
    1.1 KB · Просмотры: 8
  • Addition.rar
    11.3 KB · Просмотры: 8
  • FRST.rar
    7.8 KB · Просмотры: 8

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,239
Реакции
2,191
Баллы
643
Отчёт FRST.txt получился неполный. Переделайте, пожалуйста.
 

Razey

Активный пользователь
Сообщения
686
Реакции
31
Баллы
418
Выполнено.
 

Вложения

  • FRST.rar
    11.3 KB · Просмотры: 7
  • Addition.rar
    11.3 KB · Просмотры: 8

akok

Команда форума
Администратор
Сообщения
19,674
Реакции
13,502
Баллы
2,203
А что анализ дампа говорит? В логах вредоносного не вижу. Хотя могу предположить, что могут быть виноваты чистилки и оптимизаторы, коих полно в системе, их лучше деинсталлировать.

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-4126798338-4139447141-2219055051-1000\...\MountPoints2: F - F:\Setup.exe
    HKU\S-1-5-21-4126798338-4139447141-2219055051-1000\...\MountPoints2: {001efeae-4c02-11e7-b841-000a5e5d9380} - E:\Setup.exe
    HKU\S-1-5-21-4126798338-4139447141-2219055051-1000\...\MountPoints2: {77d9dcc1-ef2e-11e5-bf57-806e6f6e6963} - H:\WPI.exe
    HKU\S-1-5-21-4126798338-4139447141-2219055051-1000\...\MountPoints2: {8fc0e56f-5ee0-11ea-a2c4-000a5e5d9380} - E:\Setup.exe
    HKU\S-1-5-21-4126798338-4139447141-2219055051-1000\...\MountPoints2: {ed99c3d1-d364-11ea-b2f4-000a5e5d9380} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-4126798338-4139447141-2219055051-1000\...\MountPoints2: {edafee92-0033-11e7-a4d1-000a5e5d9380} - H:\AutoRun.exe
    HKU\S-1-5-21-4126798338-4139447141-2219055051-1000\...\MountPoints2: {f0b8f21b-a6ce-11e9-bd0b-000a5e5d9380} - F:\Setup.exe
    GroupPolicy: Restriction - Firefox <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {87A79536-6A2D-4373-BD3B-0FB85E210047} - \Auslogics\BoostSpeed\Scan and Repair -> No File <==== ATTENTION
    HKU\S-1-5-21-4126798338-4139447141-2219055051-1000\...\ChromeHTML: ->  <==== ATTENTION
    CustomCLSID: HKU\S-1-5-21-4126798338-4139447141-2219055051-1000_Classes\CLSID\{34700894-16CA-43a3-91E2-4A393296F164}\localserver32 -> "C:\Users\Admin\AppData\Local\Yandex\Updater2\u2-ctrl.exe" => No File
    ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
    ContextMenuHandlers1: [SmartDefragExtension] -> {189F1E63-33A7-404B-B2F6-8C76A452CC54} =>  -> No File
    ContextMenuHandlers4: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => C:\Program Files\IObit\IObit Uninstaller\IUMenuRight.dll -> No File
    ContextMenuHandlers6: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => C:\Program Files\IObit\IObit Uninstaller\IUMenuRight.dll -> No File
    AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [156]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [156]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

А что по образам акрониса?
 

Razey

Активный пользователь
Сообщения
686
Реакции
31
Баллы
418
А что анализ дампа говорит?
Не смотрел. Куда можно выложить? Или не в эту тему?


могут быть виноваты чистилки и оптимизаторы, коих полно в системе, их лучше деинсталлировать.
Назовите, что можно/нужно удалить...


что по образам акрониса?
Не понял вопроса...
 

akok

Команда форума
Администратор
Сообщения
19,674
Реакции
13,502
Баллы
2,203
Последнее редактирование:

Razey

Активный пользователь
Сообщения
686
Реакции
31
Баллы
418
Здравствуйте. Прошу не закрывать тему, у человека пока не было возможности предоставить включенный компьютер.
 

Razey

Активный пользователь
Сообщения
686
Реакции
31
Баллы
418
Здравствуйте.

Fixlog во вложении.

По остальному: образы Acronis'a все удалены; запись малого дампа памяти вот только сейчас включил - т.е. пока нечего смотреть/выкладывать.

Все Ausligics удалил... CCleaner - тоже; но там (в программах) есть ещё и CСleaner Professional - его тоже удалять или иначе?
 

Вложения

  • Fixlog.rar
    1.7 KB · Просмотры: 3

Razey

Активный пользователь
Сообщения
686
Реакции
31
Баллы
418

Вложения

  • 081520-20687-01.rar
    33 KB · Просмотры: 1
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу