Решена Компьютер ведет себя странно

[Jurok]

Здравствуйте добрые люди.
Система тормозит, странно себя ведет
Посмотрите логи пожалуйста

 

[akok]

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - MountPoints2: HKCU\..\{222b24b5-1b45-11ee-a713-b42e99be6cb5}\shell\AutoRun\command: (default) = E:\Autorun.exe (file missing)
O4 - MountPoints2: HKCU\..\{222b24e0-1b45-11ee-a713-b42e99be6cb5}\shell\AutoRun\command: (default) = E:\Autorun.exe (file missing)
O9-32 - Button: HKLM\..\AutorunsDisabled: (no name) - (no file)

Что за скрипты?
O7 - Policy Script: HKCU\..\Group Policy\Scripts\Logoff\0\0: [Script] = C:\TEMP.cmd (not signed)
O7 - Policy Script: HKLM\..\Group Policy\Scripts\Shutdown\0\0: [Script] = C:\TEMP.cmd (not signed)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Jurok]

O7 - Policy Script: HKCU\..\Group Policy\Scripts\Logoff\0\0: [Script] = C:\TEMP.cmd (not signed)
O7 - Policy Script: HKLM\..\Group Policy\Scripts\Shutdown\0\0: [Script] = C:\TEMP.cmd (not signed)

судя по названю это очистка паки TEMP при отключении комьютера

FRST.txt и Addition.txt

 

[akok]

судя по названю это очистка паки TEMP при отключении комьютера

лучше не использовать, пользы 0,0001%

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  GroupPolicyScripts: Ограничение <==== ВНИМАНИЕ
  GroupPolicyScripts\User: Ограничение <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp]
  Task: {BBE26461-CA2F-434E-A2F1-E8AD2D1247B8} - System32\Tasks\RDReminder => C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe  -rem (Нет файла)
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Jurok]

лучше не использовать, пользы 0,0001%

Я решил попробыыать, я часто пользуюсь программой которая грузит папку TEMP, все время в ручную удалял.

Fixlog.txt

 

[akok]

А 14 гб из темпов удалили )) Что с тормозами?

 

[Jurok]

Что с тормозами?

Вроде нормально все

 

[Sandor]

Завершаем:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Jurok]

C:\SecurityCheck\SecurityCheck.txt

вот он
Меня беспокоит Malwarebytes, ведь его нет в системе

 

[Sandor]

Это следы от прежней его установки.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  AV: Malwarebytes (Enabled - Up to date) {0D452135-A081-B000-D6B6-132E52638543}
  S0 MbamElam; C:\WINDOWS\System32\DRIVERS\MbamElam.sys [21480 2023-08-12] (Microsoft Windows Early Launch Anti-malware Publisher -> Malwarebytes)
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

После этого соберите новый лог SecurityCheck.

 

[Jurok]

Это следы от прежней его установки.

я всякими утилитами для удаления этого антивируса удалял, с их сайта качал, вот так они удаляют

 

[Sandor]

Исправьте по возможности:
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.21 (64-разрядная) v.6.21.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Zoom v.5.15.7 (20303) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent v.4.5.2 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 17.6.8 Full v.17.6.8 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat v.23.001.20143 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^

Читайте Рекомендации после удаления вредоносного ПО

 

[Sandor]

Информация

В продолжение темы из системного раздела.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Jurok]

FRST.txt и Addition.txt

Вот они

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  C:\Users\YouRok\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bgnodfikjoihkcjjnefbjkeclamhipak
  CHR StartupUrls: Default -> "hxxps://www.google.com/","hxxps://mail.ru/cnt/10445?gp=812209","hxxps://www.google.com/","hxxps://mail.ru/cnt/10445?gp=812205","hxxps://find-it.pro/?utm_source=distr_m"
  C:\Users\YouRok\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
  C:\Users\YouRok\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ibknafobnmndicojahlppolcaaibngjf
  CHR HKU\S-1-5-21-3150112630-190883115-1268629992-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
  S3 46e3d907; System32\Drivers\46e3d907.sys [X]
  AlternateDataStreams: C:\Users\YouRok\Downloads\mb-clean-3.1.0.1023.exe:MBAM.Zone.Identifier [158]
  AlternateDataStreams: C:\Users\YouRok\Downloads\mb-clean-3.1.0.1035 (1).exe:MBAM.Zone.Identifier [170]
  AlternateDataStreams: C:\Users\YouRok\Downloads\mb-clean-3.1.0.1035 (2).exe:MBAM.Zone.Identifier [204]
  AlternateDataStreams: C:\Users\YouRok\Downloads\mb-clean-3.1.0.1035.exe:MBAM.Zone.Identifier [170]
  StartBatch:
    net stop bits
    net stop cryptSvc
    net stop wuauserv
    net stop msiserver
    del /s /q C:\Windows\SoftwareDistribution\download\*.*
    del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
    del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
    netsh winsock reset catalog
    netsh int ipv4 reset reset.log
    netsh int ipv6 reset reset.log
    ipconfig /release
    ipconfig /renew
    ipconfig /flushdns
    ipconfig /registerdns
    net start bfe
    net start bits
    net start cryptSvc
    net start eventsystem
    net start msiserver
    net start rpcss
    net start sdrsvc
    net start trustedinstaller
    net start vss
    net start winmgmt
    net start wuauserv
    netsh winhttp reset proxy
    bitsadmin /list /allusers
    bitsadmin /reset /allusers
  EndBatch:
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  startpowershell:
  # 10-26-2022 M. Naggar
  Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "DisableAntiVirus" -Type DWORD -Value 0 –Force
  Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "DisableAntiSpyware" -Type DWORD -Value 0 –Force
  Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "PUAProtection" -Type DWORD -Value 1 –Force
  Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableBehaviorMonitoring" -force
  Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableOnAccessProtection" -force
  Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableScanOnRealtimeEnable" -force
  Set-Service -Name windefend -StartupType Automatic -force
  Get-Service windefend | Select-Object -Property Name, StartType, Status
  Set-Service -Name securityhealthservice -StartupType manual -force
  Get-Service securityhealthservice | Select-Object -Property Name, StartType, Status
      Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
      Set-MpPreference -DisableArchiveScanning $false -Force
      Set-MpPreference -DisableBehaviorMonitoring $false -Force
      Set-MpPreference -DisableEmailScanning $False -Force
      Set-MpPreference -DisableIOAVProtection $false -Force
      Set-MpPreference -DisablePrivacyMode $true -Force
      Set-MpPreference -DisableRealtimeMonitoring $false -Force
      Set-MpPreference -MAPSReporting Advanced -Force
      Set-MpPreference -PUAProtection enabled -Force
      Set-MpPreference -SignatureScheduleDay Everyday -Force
      Set-MpPreference -DisableRemovableDriveScanning $false -Force
      Set-MpPreference -SubmitSamplesConsent SendSafeSamples
  # Reset and check Secure Health status
      Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
      Get-AppxPackage Microsoft.SecHealthUI -AllUsers|select Name, Status
  # Check if these services are running
  Get-Service Windefend, SecurityHealthService, wscsvc, mpsdrv, mpssvc, bfe, WdNisSvc, WdNisDrv, sense, winmgmt, rpcss, RpcEptMapper, bits, cryptsvc, wuauserv, dcomlaunch | Select Name, DisplayName, Status, starttype
  EndPowerShell:
  startpowershell:
      Write-Output "updating"
      Update-MpSignature
      Write-Output "scanning"
      Start-MpScan -ScanType QuickScan
      Remove-MpThreat
      Start-MpScan -ScanType customScan -ScanPath "%userprofile%\AppData\Local"
      Remove-MpThreat
      Start-MpScan -ScanType customScan -ScanPath "%userprofile\AppData\Roaming"
      Remove-MpThreat
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически. Выполнение скрипта может занять некоторое время (до получаса), дождитесь окончания.

Подробнее читайте в этом руководстве.

 

[Jurok]

(Fixlog.txt)

готов

 

[Jurok]

ошибка сохранилась

 

[Sandor]

Ранее был установлен Malwarebytes?
Если да, очистите его следы по соотв. инструкции - Чистка системы после некорректного удаления антивируса.
После перезагрузки проверьте ещё раз.

 

[Jurok]

Мы уже чистили в этой теме следы
Я установил Dr.Web Security Space проверил систему, очень долго не дождался до конца и удалил найденные уязвимости, после чего удалил сам Dr.Web Security Space, этого окна я больше не наблюдаю, но все равно проверка ведет себя как то по другому, странно

 

[Jurok]

Проблема вернулась