Решена Чистка системы, правка ошибок

Статус
В этой теме нельзя размещать новые ответы.

Girdos

Новый пользователь
Сообщения
24
Реакции
0
Здравствуйте.

Возникло несколько вопросов по квалифицированной проверке/исправления системы на наличие вредоносов, чистке автозапуска, следы от старых программ, лишних сервисов, не нужных драйверов, лишних задержек, возможные несанкционированные доступы (руткиты), проделки неизвестных программ, ошибки в событиях.

Пользуюсь программами от SysInternals и NirSoft но в последнее время чувствую что их не достаточно, нужно поинтересней.

ПС: Есть подозрение что что-то неладное происходит за кулисами. (хотя все тихо и незаметно, может у меня параноя)

Благодарю за помощь :)
 

Вложения

  • CollectionLog-2019.08.24-22.58.zip
    352.5 KB · Просмотры: 3
  • Просмотр лога AVZ.txt
    1.5 KB · Просмотры: 2
Последнее редактирование:
Бодрого дня! Может планировать переезд на linux? Или на старшие версии Windows, они более защищены... и подумайте насчет шифрования жесткого диска.

Теперь по списку:
1. EasyAntiCheat - в онлайн игры играете?
2. ESLoadService - часть программы EaseUS Data Recovery Wizard Free, но в списке установленных программ ее не вижу... возможно мусор.
3. Можно ли отключить Sidebar.exe?
  1. Панель управления -> Программы и нажмите Включить функции Windows, или выключить .
  2. Очистите и снимите флажок для Windows Гаджет Платформа.
4. WatUX.exe - часть системы проверки подлинности Windows, трогать не буду.
5. Хорошая программа Flux, позволяет изменять температуру изображения в зависимости от времени суток (делает изображение более желтым после наступления темноты). Программа не установлена, значит тоже мусор.
6. По поводу следилок aitagent, инструкция по ссылке.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Последнее редактирование:
На линукс бы с радостью перешел если бы не одна программа которая привязана к винде. В виртуальном пространстве она не работает (отключили). Выпуск на линукс, не планируют, говорят система слишком сложная.
А вот если ставить 10-ку, то хотелось бы по максимуму ее вырезать и отключить все не нужное. Получается как-бы винда нужна как альтернатива, но не в виртуальном пространстве. Вот такая дилемма.

Диск: Какой, системный? Разве шифрование не наводит на его более быстрый износ?

1. Уже нет, чистить, в инсталляции ее нет.
2. Чистить.
3. Она отключена, но что она в автозапуске делает? (я так понимаю это ключ из реестра в не активном состояние?)
5. А, теперь припоминаю, ставил. Хорошая, согласен. Но, чистить.
6. Хорошо, посмотрим.
 

Вложения

  • FRST.txt
    73.2 KB · Просмотры: 2
  • Addition.txt
    48.9 KB · Просмотры: 1
Последнее редактирование:
тулза для телефона, что она здесь делает интересно
pcalua.exe - программа проверки совместимости старого программного обеспечения, вреда нет.

Диск: Какой, системный? Разве шифрование не наводит на его более быстрый износ?
HDD нет, немного просаживается быстродействие, ssd тоже не должен... теоретически.... зато надежный ответ на любую паранойю.

На линукс бы с радостью перешел если бы не одна программа которая привязана к винде.
Можно погонять на виртуалке и проверить

3. Она отключена, но что она в автозапуске делает? (я так понимаю это ключ из реестра в не активном состояние?)
В активном, но для пользователей которых уже нет S-1-5-19 и S-1-5-20

Ваше удаленное управление?
TeamViewer_Service.exe

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-19\...\Run: [Sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
    HKU\S-1-5-20\...\Run: [Sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
    HKU\S-1-5-21-456274452-2539553693-3667970337-1000\...\MountPoints2: {002b262e-2523-11e7-89b6-bcaec55af315} - I:\LaunchU3.exe -a
    HKU\S-1-5-21-456274452-2539553693-3667970337-1000\...\MountPoints2: {076f9538-c7cf-11e7-8751-bcaec55af315} - V:\autorun.exe
    HKU\S-1-5-21-456274452-2539553693-3667970337-1000\...\MountPoints2: {3601c8da-6d31-11e7-97ba-bcaec55af315} - V:\autorun.exe
    HKU\S-1-5-21-456274452-2539553693-3667970337-1000\...\MountPoints2: {4fe145d5-c578-11e7-b9e5-bcaec55af315} - V:\autorun.exe
    HKU\S-1-5-21-456274452-2539553693-3667970337-1000\...\MountPoints2: {7ced313a-c628-11e7-a202-bcaec55af315} - V:\autorun.exe
    HKU\S-1-5-21-456274452-2539553693-3667970337-1000\...\MountPoints2: {7e395f34-c6f7-11e7-a4b2-bcaec55af315} - V:\autorun.exe
    HKU\S-1-5-21-456274452-2539553693-3667970337-1000\...\MountPoints2: {b015b059-c4c2-11e7-ba5e-bcaec55af315} - V:\autorun.exe
    HKU\S-1-5-21-456274452-2539553693-3667970337-1000\...\MountPoints2: {b9344512-2248-11e8-859c-bcaec55af315} - V:\setup.exe
    HKU\S-1-5-21-456274452-2539553693-3667970337-1000\...\MountPoints2: {c3e4ed11-ffc5-11e8-880c-bcaec55af315} - V:\autorun.exe
    HKU\S-1-5-21-456274452-2539553693-3667970337-1000\...\MountPoints2: {c3e4ed15-ffc5-11e8-880c-bcaec55af315} - V:\setup.exe
    Task: {00743374-5625-4749-B103-8A4810DEB2EC} - System32\Tasks\{20610642-24FB-4771-8659-93D05ABB2162} => C:\Windows\system32\pcalua.exe -a C:\Users\Girdos\Desktop\VirtualBox-5.1.28-117968-Win.exe -d C:\Users\Girdos\Desktop
    Task: {D9600314-E21D-4B35-A317-C828F291FE72} - System32\Tasks\{3D1A047D-9A97-4D53-B8A2-4DA93FFB0DB6} => C:\Windows\system32\pcalua.exe -a C:\Users\Girdos\Desktop\VirtualBox-5.2.26-128414-Win.exe -d C:\Users\Girdos\Desktop
    Task: {E154D75E-1E24-4EC1-BEB9-145CE9953D84} - System32\Tasks\KMSAuto => C:\Windows\KMSAuto.exe
    Task: {CF13465B-5C76-43FF-86A3-ECAD45800E6A} - System32\Tasks\{64C78827-E04B-4DC9-91EF-752451296DA6} => C:\Windows\system32\pcalua.exe -a "D:\#_[Steam]_#\steamapps\common\Alien Swarm Reactive Drop\bin\addoninstaller.exe" -d "D:\#_[Steam]_#\steamapps\common\Alien Swarm Reactive Drop" -c /register
    Task: {B720F111-951C-4562-AEFE-943A0106C025} - System32\Tasks\CarambisDriverUpdaterUACDisablingTask => C:/Program Files (x86)/Carambis/Driver Updater/dupdater.exe
    Task: {4370B43D-439A-494A-933E-5C7A72A875EF} - System32\Tasks\{82D5D8C7-9605-4B0C-AA47-EB97EB15FC3B} => C:\Windows\system32\pcalua.exe -a V:\Setup.exe -d V:\
    S4 EasyAntiCheat; C:\Program Files (x86)\EasyAntiCheat\EasyAntiCheat.exe [X]
    S4 ESLoadService; "C:\Program Files (x86)\EaseUS\EaseUS MobiMover\bin\ESLoadService.exe" [X]
    ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} => -> No File
    MSCONFIG\startupreg: f.lux => "C:\Users\Girdos\AppData\Local\FluxSoftware\Flux\flux.exe" /noshow
    MSCONFIG\startupreg: HDAudDeck => C:\Program Files (x86)\VIA\VIAudioi\VDeck\VDeck.exe -r
    MSCONFIG\startupreg: DAEMON Tools Pro Agent => "C:\Program Files\DAEMON Tools Pro\DTAgent.exe" -autorun
    MSCONFIG\startupreg: BCSSync => "C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe" /DelayServices
    FirewallRules: [{02D02A80-F872-4506-A713-11AA7DEA9F52}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe No File
    FirewallRules: [{13ED0744-38F4-4C27-AC69-E021C7AE70F6}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe No File
    FirewallRules: [{BD0485A4-FA14-4B1C-AFB2-929F937B800C}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
    FirewallRules: [{A042E87F-FDAB-4CCB-A247-E30C57546DF3}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
    FirewallRules: [{9B300FB6-8CAA-4741-89D5-BFD6224A0A60}] => (Allow) D:\#_[Steam]_#\bin\cef\cef.win7\steamwebhelper.exe No File
    FirewallRules: [{97D340C3-BA42-4C52-B5CC-54B83D8A162D}] => (Allow) D:\#_[Steam]_#\bin\cef\cef.win7\steamwebhelper.exe No File
    FirewallRules: [TCP Query User{8F00EC6E-C23B-4063-91D8-FBD96E2D0E50}C:\program files\java\jre1.8.0_211\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_211\bin\javaw.exe No File
    FirewallRules: [UDP Query User{2AB34C4B-68F4-4BA7-AC9A-7F8C09EE693A}C:\program files\java\jre1.8.0_211\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_211\bin\javaw.exe No File
    FirewallRules: [TCP Query User{23E45D64-E874-424F-82C4-D5F7F1A3BAD5}D:\unity\projects\mlapi-examples-master\build\mlapi.exe] => (Block) D:\unity\projects\mlapi-examples-master\build\mlapi.exe No File
    FirewallRules: [UDP Query User{29A16753-E31A-4F7F-A3AB-204701F8C747}D:\unity\projects\mlapi-examples-master\build\mlapi.exe] => (Block) D:\unity\projects\mlapi-examples-master\build\mlapi.exe No File
    FirewallRules: [TCP Query User{9D9E2A64-E71C-435E-A059-49CB252D9FE1}D:\unity\2017.1.5f1\editor\unity.exe] => (Allow) D:\unity\2017.1.5f1\editor\unity.exe No File
    FirewallRules: [UDP Query User{3D4F05D5-E57C-4584-9D90-9368A9F1C771}D:\unity\2017.1.5f1\editor\unity.exe] => (Allow) D:\unity\2017.1.5f1\editor\unity.exe No File
    FirewallRules: [{FB12ABA2-E300-44EB-B761-B7A489B01925}] => (Allow) D:\Unity\2018.2.21f1\Editor\Unity.exe No File
    FirewallRules: [{FDAE6014-BAE0-4416-9749-94F56406884F}] => (Block) D:\Unity\2018.2.21f1\Editor\Unity.exe No File
    FirewallRules: [TCP Query User{472735E8-E4A1-483A-A0B3-73F2BC4E4373}D:\unity\2018.2.21f1\editor\unity.exe] => (Allow) D:\unity\2018.2.21f1\editor\unity.exe No File
    FirewallRules: [UDP Query User{C57B0E84-F8FD-4E06-A7C2-35B6D6F4D635}D:\unity\2018.2.21f1\editor\unity.exe] => (Allow) D:\unity\2018.2.21f1\editor\unity.exe No File
    FirewallRules: [TCP Query User{AC2C12E7-28AA-4462-AC2E-74C42F417541}C:\users\girdos\desktop\csom\cstrike\builds\cstrike.exe] => (Allow) C:\users\girdos\desktop\csom\cstrike\builds\cstrike.exe No File
    FirewallRules: [UDP Query User{CAAEB039-9D8A-4862-A45F-8CAB034ACA85}C:\users\girdos\desktop\csom\cstrike\builds\cstrike.exe] => (Allow) C:\users\girdos\desktop\csom\cstrike\builds\cstrike.exe No File
    FirewallRules: [TCP Query User{26829513-F553-48EF-8C39-CF00524D0C2D}D:\unity\2015.5.4.0f3\editor\unity.exe] => (Allow) D:\unity\2015.5.4.0f3\editor\unity.exe No File
    FirewallRules: [UDP Query User{4E862575-ED65-49F9-AFCA-08E278427587}D:\unity\2015.5.4.0f3\editor\unity.exe] => (Allow) D:\unity\2015.5.4.0f3\editor\unity.exe No File
    FirewallRules: [TCP Query User{51879C94-844F-4F3E-AE36-701E95C28478}D:\unity\2016.5.3.5f1\editor\unity.exe] => (Allow) D:\unity\2016.5.3.5f1\editor\unity.exe No File
    FirewallRules: [UDP Query User{1829F7AD-620E-452D-BE28-5C7A3A299238}D:\unity\2016.5.3.5f1\editor\unity.exe] => (Allow) D:\unity\2016.5.3.5f1\editor\unity.exe No File
    FirewallRules: [{2CBA9316-E4D1-40FC-A9E8-F6533023A84B}] => (Allow) C:\Program Files\Unity Hub\Unity Hub.exe No File
    FirewallRules: [TCP Query User{63EA7016-C370-41D0-A67C-594424A3D37D}C:\program files\unity hub\unity hub.exe] => (Allow) C:\program files\unity hub\unity hub.exe No File
    FirewallRules: [UDP Query User{63AF814E-6C4B-45AD-9CCF-920B8FE5B609}C:\program files\unity hub\unity hub.exe] => (Allow) C:\program files\unity hub\unity hub.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Последнее редактирование:
TeamViewer_Service.exe - да, но думаю лучше снести и пользоваться портабельной версией при надобности. Все равно давно уже не пользуюсь.
 

Вложения

  • Fixlog.txt
    19.4 KB · Просмотры: 2
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    S4 TeamViewer; "c:\users\girdos\appdata\local\temp\teamviewer\TeamViewer_Service.exe" [X] <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Как сервис в темпе оказался... Я вроде как устанавливал саму программу только.
 

Вложения

  • Fixlog.txt
    1.3 KB · Просмотры: 3
Последнее редактирование:
По идее проблема решена. Помечаю соответственно.
 
Здравствуйте, в последнее время заметил что планировщик задач перестал запускаться, причину отключения пока не могу определить, особых программ не ставил (подозрение падает на HashTab), только обновления. Возможно зловред присутствует/присутствовал и успел поработать?
 
Последнее редактирование:
Давайте свежий комплект логов, посмотрим.
 
Да.. забыл.
 

Вложения

  • CollectionLog-2019.12.04-22.48.zip
    341.5 KB · Просмотры: 1
Что делали в промежутке после лечения. Проверка утилитами для лечения? Службы трогали?
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Ничего не делал, обновления ставил, по интернету ходил, ну и пару программ устанавливал. Нет. Некоторые от apple.
 

Вложения

  • FRST.txt
    52.7 KB · Просмотры: 3
  • Addition.txt
    25 KB · Просмотры: 1
Последнее редактирование:
Ваше?
Tcpip\..\Interfaces\{4D90910D-551A-4922-B523-8D022B65D811}: [DhcpNameServer] 213.80.98.2 213.80.101.3

В логах вредоносного ПО не видно.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-456274452-2539553693-3667970337-1000\...\MountPoints2: {49aee046-1607-11ea-9f9b-bcaec55af315} - V:\setup.exe
    HKU\S-1-5-21-456274452-2539553693-3667970337-1000\...\MountPoints2: {634a2af3-15fb-11ea-af9a-bcaec55af315} - V:\setup.exe
    HKU\S-1-5-21-456274452-2539553693-3667970337-1000\...\MountPoints2: {634a2af6-15fb-11ea-af9a-bcaec55af315} - V:\setup.exe
    HKU\S-1-5-21-456274452-2539553693-3667970337-1000\...\MountPoints2: {810c4261-c8da-11e9-94e5-bcaec55af315} - V:\setup64.exe
    HKU\S-1-5-21-456274452-2539553693-3667970337-1000\...\MountPoints2: {810c4265-c8da-11e9-94e5-bcaec55af315} - W:\setup.exe
    GroupPolicy: Restriction ? <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Уже проверял систему на поврежденные файлы командами, sfc, dism, chkdsk. Ответы отрицательные, ничего плохого. Пытался исправить не исправный компонент из журнала событий, думал что есть повреждения.

В последнее время замеченые аномалии:
Заметил такой момент что папка winsxs занимала больше всего места, я ее не чистил (хотя хотелось), но как я понял она сама магичиским образом себя очистила (подозреваю обновления)
Еще были проблемы с драйверами для одного интерфейса который не работал. После входа в безопасный режим он заработал, и теперь в нормальном состояние системы тоже работает. Как, не понимаю.
Были неожиданные выключение при запуске системы, в сам момент загрузки биоса. Система пыталась запустится и сама выключалась (сбой питания? программное модифицирование?)
1 компонент биоса сам включился, хотя был отключен (некий расширенный режим ядер в процессоре) . Тоже не пойму как.

Неправильная подача питание на плату (блок питания хромает? (проверял вольтаж, подает нормально в пределах на 3в,5в,12в) а да, я его чистил от пыли, может что задел), или некий искусственный интеллект (алгоритм) управляет машиной (который зарылся где-то в верхнем слое системы) ?
 

Вложения

  • CBS.LOG
    2.8 MB · Просмотры: 1
  • sfcdoc.log
    2.1 KB · Просмотры: 1
Последнее редактирование:
Понятно. Тогда это не для этого раздела, тут только вредоносное ПО. Создавайте тему в https://safezone.cc/forums/microsoft-windows-7.126/, пусть коллеги посмотрят, что можно сделать (ссылку на эту тему укажите).
 
Закрыто. Решение проблемы с ОС будет на осзоне.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу