Решена Нестабильность работы системы

Статус
В этой теме нельзя размещать новые ответы.

Roshumaro

Пользователь
Сообщения
15
Реакции
1
Баллы
43
Привет!
Появилась проблема с работой системы Windows 10, после того как Касперский обнаружил и обезвредил вирус. Не работает кнопка «Пуск» и так же некоторые элементы панели задач. Начал заметно тормозить, при нажатии в моем компьютере открыть параметры наглухо зависает.

Через «msconfig» отключил все службы и запустил без них - компьютер работает как новенький. Сделал вывод что проблема в службах. Но до конца решить эту проблему не получается.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,282
Реакции
13,843
Баллы
2,293
Доброго времени суток. Включите все назад и подготовьте комплект логов, удалим вредоносное.
https://safezone.cc/pravila/
 

Roshumaro

Пользователь
Сообщения
15
Реакции
1
Баллы
43
Собрал в безопасном режиме, так как в обычном просто не давал запустить.
 

Вложения

  • CollectionLog-2018.02.21-00.42.zip
    113.2 KB · Просмотры: 4

Roshumaro

Пользователь
Сообщения
15
Реакции
1
Баллы
43
При попытке запуска в обычном режиме, проводник зависает. Посмотрев в диспетчере задач в чем проблема, заметил что служба Superfetch загружает диск на 98%. Через некоторое время служба пропала, а проводник так же не отвечает на действия.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,282
Реакции
13,843
Баллы
2,293
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('4584FA20EAD12BA3');
 QuarantineFile('C:\Users\AlbertSabirov\AppData\Local\Temp\4D2E6F40-891EB1AC-1300ED8-8FB1AE80\1966eaab.sys', '');
 QuarantineFile('F:\autorun.inf', '');
 DeleteFile('C:\Users\AlbertSabirov\AppData\Local\Temp\4D2E6F40-891EB1AC-1300ED8-8FB1AE80\1966eaab.sys', '32');
 DeleteFile('F:\autorun.inf', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Application Restart #0');
 DeleteService('4584FA20EAD12BA3');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive1 - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive2 - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive3 - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive4 - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive5 - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive6 - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive1 - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive2 - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive3 - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive4 - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive5 - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive6 - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)

Попробуйте в обычном режиме собрать логи этой версией автологера
 

Roshumaro

Пользователь
Сообщения
15
Реакции
1
Баллы
43
Скрипты выполнил, файл quarantine.zip оказался пустым. Пофиксил строки. Логи так же не собираются с этой версией, просто зависает проводник.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,282
Реакции
13,843
Баллы
2,293
Сложненько как-то, давайте определим сбойную службу.
1. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

2. Выполните загрузку в безопасном режиме. Если проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь.

Если Farbar Recovery Scan Tool будет зависать, то перейдите к пункту 2, а после как найдется проблема, то п.1 и к тестовой сборке автологера.
 

Roshumaro

Пользователь
Сообщения
15
Реакции
1
Баллы
43
Отключил все службы кроме Microsoft - проблема осталась. Значит проблема в службах Microsoft.
п.1 Выполнился без особых проблем, а автологер все так же не хочет.
 

Вложения

  • Addition.txt
    91.3 KB · Просмотры: 1
  • FRST.txt
    105.5 KB · Просмотры: 1
  • Shortcut.txt
    308.6 KB · Просмотры: 0

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,282
Реакции
13,843
Баллы
2,293
Microsoft SQL Server- вы базы забекапьте, на всякий случаю
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Users\AlbertSabirov\AppData\Local\Temp\sender.exe;C:\Users\AlbertSabirov\AppData\Local\Temp\YandexWorking.exe
    HKU\S-1-5-21-465965562-4022977379-14420412-1002\...\Policies\Explorer: []
    GroupPolicy: Restriction <==== ATTENTION
    GroupPolicy\User: Restriction <==== ATTENTION
    BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
    SearchScopes: HKU\S-1-5-21-465965562-4022977379-14420412-1002 -> 29715ECE008C6B191B2E6AA4D9255400 URL =
    BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
    Toolbar: HKU\S-1-5-21-465965562-4022977379-14420412-1002 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
    Toolbar: HKU\S-1-5-21-465965562-4022977379-14420412-1002 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    S3 4584FAB7FFD9D2E3; \??\C:\Users\AlbertSabirov\AppData\Local\Temp\2EEC8296-A9D261CA-20F6270A-14B07AF4\23d2fdc1.sys [X] <==== ATTENTION
    2018-02-21 11:35 - 2018-02-21 11:35 - 000153920 _____ (Yandex) C:\Users\AlbertSabirov\AppData\Local\Temp\sender.exe
    2018-02-21 11:35 - 2017-11-15 17:56 - 000246080 _____ () C:\Users\AlbertSabirov\AppData\Local\Temp\YandexWorking.exe
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
    AlternateDataStreams: C:\WINDOWS\SysWOW64\GameMon.des:gcdigest0 [82]
    AlternateDataStreams: C:\Users\Public\AppData:CSM [478]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Roshumaro

Пользователь
Сообщения
15
Реакции
1
Баллы
43
Получилось собрать логи.
 

Вложения

  • CollectionLog-2018.02.21-13.36.zip
    122.1 KB · Просмотры: 1

Roshumaro

Пользователь
Сообщения
15
Реакции
1
Баллы
43
Собрал еще другой версией автологера.
 

Вложения

  • CollectionLog-2018.02.21-13.41.zip
    313.4 KB · Просмотры: 2

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,010
Реакции
2,425
Баллы
743
  • Like
Реакции: akok

Roshumaro

Пользователь
Сообщения
15
Реакции
1
Баллы
43
Фикс из сообщения №10.
 

Вложения

  • Fixlog.txt
    5 KB · Просмотры: 2

Roshumaro

Пользователь
Сообщения
15
Реакции
1
Баллы
43
Нет, особых изменений не заметил.
Например, при попытке запустить параметры через проводник наглухо застывает.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,010
Реакции
2,425
Баллы
743
Через «msconfig» отключил все службы и запустил без них - компьютер работает как новенький
Действуйте методом половинного деления. Включите половину отключенных и проверяйте. Так постепенно определите виновника. Результат сообщите.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,282
Реакции
13,843
Баллы
2,293
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу