Решена BSOD - предполагаю вирусное заражение

[Razey]

Здравствуйте!

Предполагаю вирусное заражение на данном компе (время от времени вылетает BSOD). Думаю, что это м.б. и не из-за вирусни, но проверить, думаю, нужно (на компе менялись все планки памяти, видеокарта, блок питания) Логи во вложении.. Тем не менее BSOD'ы продолжаются.

 

[Sandor]

Здравствуйте!

Ярлык

C:\Users\Admin\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk

исправьте с помощью утилиты ClearLNK.
Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Auslogics BoostSpeed 11
Disk Defrag Pro 4.9.6.0
Driver Easy 5.6.14.33488
IObit Uninstaller 9.5.0.12

Acoo Browser - если не самостоятельно ставили, тоже удалите.

Затем:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[Razey]

Благодарю!

Acoo Browser удалить не удалось (подождите, пока завершится удаление или изменение программы), все остальное получилось, логи во вложении.

 

[Sandor]

исправьте с помощью утилиты ClearLNK.

Будьте внимательны, нужно было только один ярлык исправить.

1.

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.

После перезагрузки попробуйте еще раз удалить Acoo Browser.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Razey]

Acoo Browser удалить получилось, оставшиеся логи во вложении.


Вопрос не в тему: у пользователя 2 монитора и ярлыки при каждом запуске на 10 см уезжают влево - как с этим "бороться"?

 

[Sandor]

Отчёт FRST.txt получился неполный. Переделайте, пожалуйста.

 

[Razey]

Выполнено.

 

[akok]

А что анализ дампа говорит? В логах вредоносного не вижу. Хотя могу предположить, что могут быть виноваты чистилки и оптимизаторы, коих полно в системе, их лучше деинсталлировать.

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-4126798338-4139447141-2219055051-1000\...\MountPoints2: F - F:\Setup.exe
  HKU\S-1-5-21-4126798338-4139447141-2219055051-1000\...\MountPoints2: {001efeae-4c02-11e7-b841-000a5e5d9380} - E:\Setup.exe
  HKU\S-1-5-21-4126798338-4139447141-2219055051-1000\...\MountPoints2: {77d9dcc1-ef2e-11e5-bf57-806e6f6e6963} - H:\WPI.exe
  HKU\S-1-5-21-4126798338-4139447141-2219055051-1000\...\MountPoints2: {8fc0e56f-5ee0-11ea-a2c4-000a5e5d9380} - E:\Setup.exe
  HKU\S-1-5-21-4126798338-4139447141-2219055051-1000\...\MountPoints2: {ed99c3d1-d364-11ea-b2f4-000a5e5d9380} - E:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-4126798338-4139447141-2219055051-1000\...\MountPoints2: {edafee92-0033-11e7-a4d1-000a5e5d9380} - H:\AutoRun.exe
  HKU\S-1-5-21-4126798338-4139447141-2219055051-1000\...\MountPoints2: {f0b8f21b-a6ce-11e9-bd0b-000a5e5d9380} - F:\Setup.exe
  GroupPolicy: Restriction - Firefox <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  Task: {87A79536-6A2D-4373-BD3B-0FB85E210047} - \Auslogics\BoostSpeed\Scan and Repair -> No File <==== ATTENTION
  HKU\S-1-5-21-4126798338-4139447141-2219055051-1000\...\ChromeHTML: ->  <==== ATTENTION
  CustomCLSID: HKU\S-1-5-21-4126798338-4139447141-2219055051-1000_Classes\CLSID\{34700894-16CA-43a3-91E2-4A393296F164}\localserver32 -> "C:\Users\Admin\AppData\Local\Yandex\Updater2\u2-ctrl.exe" => No File
  ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
  ContextMenuHandlers1: [SmartDefragExtension] -> {189F1E63-33A7-404B-B2F6-8C76A452CC54} =>  -> No File
  ContextMenuHandlers4: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => C:\Program Files\IObit\IObit Uninstaller\IUMenuRight.dll -> No File
  ContextMenuHandlers6: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => C:\Program Files\IObit\IObit Uninstaller\IUMenuRight.dll -> No File
  AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [156]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [156]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

А что по образам акрониса?

 

[Razey]

А что анализ дампа говорит?

Не смотрел. Куда можно выложить? Или не в эту тему?

могут быть виноваты чистилки и оптимизаторы, коих полно в системе, их лучше деинсталлировать.

Назовите, что можно/нужно удалить...

что по образам акрониса?

Не понял вопроса...

 

[akok]

На машине установлен Acronis, может есть образ "до проблемы".

Назовите, что можно/нужно удалить...

CCleaner
Auslogics Disk Defrag Prof
Auslogics BoostSpeed

 

[akok]

https://safezone.cc/forums/blue-screen-of-death-bsod-i-event-id.112/- дамп сюда, для анализа.

Инструкция https://safezone.cc/threads/kakuju-informaciju-neobxodimo-predostavit-v-vashej-teme.20969/

 

[Sandor]

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению

Не прикрепили.

 

[Razey]

Здравствуйте. Прошу не закрывать тему, у человека пока не было возможности предоставить включенный компьютер.

 

[Razey]

Здравствуйте.

Fixlog во вложении.

По остальному: образы Acronis'a все удалены; запись малого дампа памяти вот только сейчас включил - т.е. пока нечего смотреть/выкладывать.

Все Ausligics удалил... CCleaner - тоже; но там (в программах) есть ещё и CСleaner Professional - его тоже удалять или иначе?

 

[Sandor]

CСleaner Professional - его тоже удалять

Удалите.

 

[Razey]

Удалите.

Выполнено.

https://safezone.cc/forums/blue-screen-of-death-bsod-i-event-id.112/- дамп сюда, для анализа.

Тема не открывается, minidump выложил сюда (BSОD'ы остались). Если "не прав" - скажите, перевыложу его в другую тему.

 

[akok]

В ссылке лишний прочерк был
https://safezone.cc/forums/blue-screen-of-death-bsod-i-event-id.112/ - вот верная. В этой теме эксперты, которые дампы анализируют, ответить не могут. Я пост скопирую в новую тему.

 

[Sandor]

Я пост скопирую в новую тему

Ссылку тоже тут оставлю:

https://safezone.cc/threads/bsod-analiz-dampa.36087/