Закрыто Нужна помощь с исправлением повреждений

[MaxDamage]

Здравствуйте. Поймал на компьютер зловреда, и видимо не одного. После лечения Cureit-ом вирусов нет, но повреждения от них остались - в частности компьютер не видит сетевое окружение, к нему невозможно подключиться по RDP, он не видит контроллер домена. Как можно выяснить что именно повреждено, и можно ли это восстановить? sfc /scannow повреждений не нашёл. Опция возврата к точкам восстановления вылетает с ошибкой.

 

[Sandor]

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям.

После перезагрузки системы соберите новый CollectionLog Автологером.

 

[MaxDamage]

Новый CollectionLog

 

[Sandor]

Бесполезную (если не сказать вредную) Spybot - Search & Destroy деинсталлируйте.

Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Затем:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[MaxDamage]

Бесполезную (если не сказать вредную) Spybot - Search & Destroy деинсталлируйте.

Файл CheckBrowserLnk.log
из папки
перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Затем:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

А как быть если Farbar вылетает на определённом моменте сканирования?

 

[Sandor]

Ошибка при этом появляется? Если да, какая? Покажите скриншот.

 

[MaxDamage]

"Прекращена работа программы" и т.д.
Подробности проблемы:

Сигнатура проблемы:
Имя события проблемы: APPCRASH
Имя приложения: FRST64.exe
Версия приложения: 28.2.2021.0
Отметка времени приложения: 603bbea7
Имя модуля с ошибкой: SHLWAPI.dll
Версия модуля с ошибкой: 6.1.7601.17514
Отметка времени модуля с ошибкой: 4ce7c9ab
Код исключения: c0000005
Смещение исключения: 0000000000013d13
Версия ОС: 6.1.7601.2.1.0.256.48
Код языка: 1049
Дополнительные сведения 1: 8f50
Дополнительные сведения 2: 8f50971cebe09a22741827e72522cdf8
Дополнительные сведения 3: 6487
Дополнительные сведения 4: 6487cd47d3217c980ba1824201829952


Прикрепляю то что он успел насканировать

 

[akok]

Прикрепите еще AV_block_remove.log из папки с AV block remover

 

[MaxDamage]

Прикрепите еще AV_block_remove.log из папки с AV block remover

 

[Sandor]

Запустите ещё раз AV block remover.
После перезагрузки удалите старые логи Farbar и соберите новые.

 

[akok]

+++Spybot - Search & Destroy - лучше удалите в начале, если еще не удалили.

 

[MaxDamage]

Spybot - Search & Destroy удалил ещё до первого запуска Farbar.
Сделал как сказали - всё равно вылетает в том же месте, на сканировании ярлыков, как я предполагаю

 

[Sandor]

Давайте логи, которые создались.

 

[MaxDamage]

Давайте логи, которые создались.

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\AppCertDlls: [ProcessBlocker] -> C:\WINDOWS\system32\HelperLib.dll <==== ВНИМАНИЕ
  File: C:\WINDOWS\system32\HelperLib.dll
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\bahtin\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\sharov\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\TEMP\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\Администратор\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {0E741354-DE78-48A8-8EDA-C8C2F3EB460C} - \MagicSearch -> Нет файла <==== ВНИМАНИЕ
  Task: {1CE75811-9BB7-4A15-B39C-7E7D0932CE8C} - \{B48625E4-BE3E-483F-BB36-879D3582E2D1} -> Нет файла <==== ВНИМАНИЕ
  Task: {3B786B19-3ACB-4EC3-984D-D0E2D2C2803F} - \IntelSURQC-Upgrade-86621605-2a0b-4128-8ffc-15514c247132 -> Нет файла <==== ВНИМАНИЕ
  Task: {4CFD72D9-0DF9-4DC4-BBEC-83420224450D} - \Opera scheduled assistant Autoupdate 1582784004 -> Нет файла <==== ВНИМАНИЕ
  Task: {7E149005-7756-4041-9660-23917E96575E} - \YoutubeDownloader -> Нет файла <==== ВНИМАНИЕ
  Task: {9ACFEF45-3439-4876-99C9-4D7C862B6F07} - \IntelSURQC-Upgrade-86621605-2a0b-4128-8ffc-15514c247132-Logon -> Нет файла <==== ВНИМАНИЕ
  Task: {A971F585-5C41-4E4E-AE3B-F1574549DB0A} - \YoutubeDownloader_upd -> Нет файла <==== ВНИМАНИЕ
  Task: {BF3618BB-404D-436C-8CEA-A4349CC8B361} - \IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 -> Нет файла <==== ВНИМАНИЕ
  Task: {D5C78CF9-B26C-4702-BDAB-961522CF3AB8} - \{F989A926-5071-441A-8DE7-F030C9327497} -> Нет файла <==== ВНИМАНИЕ
  Task: {E4972E61-7672-46D4-9BE5-29C99221020E} - \klcp_update -> Нет файла <==== ВНИМАНИЕ
  Task: {F7925219-0DA1-4E82-97CC-3EB409656C57} - \Smart Clock -> Нет файла <==== ВНИМАНИЕ
  Task: {F87681C6-2561-483E-9FD9-3DFDA1C6E04F} - \MagicSearch2 -> Нет файла <==== ВНИМАНИЕ
  File: C:\ProgramData\Logic Cramble\set.exe
  S3 4583B43D3EB5FF3A; \??\C:\Users\sharov\AppData\Local\Temp\A7678D0C-B5B183B8-8F4FE330-2A67059E\177b194305.sys [X] <==== ВНИМАНИЕ
  S3 4583B828D296B144; \??\C:\Users\sharov\AppData\Local\Temp\93000390-A9E2991F-DD6651E4-7BF70FD0\3c461b2216.sys [X] <==== ВНИМАНИЕ
  2021-03-01 16:24 - 2021-03-01 16:24 - 000000000 ___SH C:\ProgramData\olly.exe
  2021-02-24 22:00 - 2021-02-24 22:00 - 000000000 __SHD C:\ProgramData\Driver Foundation Visions VHG
  2021-02-24 22:00 - 2021-02-24 22:00 - 000000000 __SHD C:\Program Files (x86)\Zaxar
  2021-02-24 22:00 - 2021-02-24 22:00 - 000000000 ___SH C:\windows\SysWOW64\Drivers\conhost.exe
  2021-02-24 22:00 - 2021-02-24 22:00 - 000000000 ___SH C:\windows\svchost.exe
  2021-02-24 22:00 - 2021-02-24 22:00 - 000000000 ___SH C:\windows\java.exe
  2021-02-24 22:00 - 2021-02-24 22:00 - 000000000 ___SH C:\windows\boy.exe
  2021-02-24 22:00 - 2021-02-24 22:00 - 000000000 ___SH C:\ProgramData\script.exe
  2021-02-24 22:00 - 2021-02-24 22:00 - 000000000 ___SH C:\ProgramData\lsass2.exe
  2021-02-24 22:00 - 2021-02-24 22:00 - 000000000 ___SH C:\ProgramData\lsass.exe
  2021-02-24 22:00 - 2021-02-24 22:00 - 000000000 ___SH C:\ProgramData\kz.exe
  2021-03-01 16:07 - 2020-06-11 14:11 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[MaxDamage]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\AppCertDlls: [ProcessBlocker] -> C:\WINDOWS\system32\HelperLib.dll <==== ВНИМАНИЕ
  File: C:\WINDOWS\system32\HelperLib.dll
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\bahtin\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\sharov\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\TEMP\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\Администратор\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {0E741354-DE78-48A8-8EDA-C8C2F3EB460C} - \MagicSearch -> Нет файла <==== ВНИМАНИЕ
  Task: {1CE75811-9BB7-4A15-B39C-7E7D0932CE8C} - \{B48625E4-BE3E-483F-BB36-879D3582E2D1} -> Нет файла <==== ВНИМАНИЕ
  Task: {3B786B19-3ACB-4EC3-984D-D0E2D2C2803F} - \IntelSURQC-Upgrade-86621605-2a0b-4128-8ffc-15514c247132 -> Нет файла <==== ВНИМАНИЕ
  Task: {4CFD72D9-0DF9-4DC4-BBEC-83420224450D} - \Opera scheduled assistant Autoupdate 1582784004 -> Нет файла <==== ВНИМАНИЕ
  Task: {7E149005-7756-4041-9660-23917E96575E} - \YoutubeDownloader -> Нет файла <==== ВНИМАНИЕ
  Task: {9ACFEF45-3439-4876-99C9-4D7C862B6F07} - \IntelSURQC-Upgrade-86621605-2a0b-4128-8ffc-15514c247132-Logon -> Нет файла <==== ВНИМАНИЕ
  Task: {A971F585-5C41-4E4E-AE3B-F1574549DB0A} - \YoutubeDownloader_upd -> Нет файла <==== ВНИМАНИЕ
  Task: {BF3618BB-404D-436C-8CEA-A4349CC8B361} - \IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 -> Нет файла <==== ВНИМАНИЕ
  Task: {D5C78CF9-B26C-4702-BDAB-961522CF3AB8} - \{F989A926-5071-441A-8DE7-F030C9327497} -> Нет файла <==== ВНИМАНИЕ
  Task: {E4972E61-7672-46D4-9BE5-29C99221020E} - \klcp_update -> Нет файла <==== ВНИМАНИЕ
  Task: {F7925219-0DA1-4E82-97CC-3EB409656C57} - \Smart Clock -> Нет файла <==== ВНИМАНИЕ
  Task: {F87681C6-2561-483E-9FD9-3DFDA1C6E04F} - \MagicSearch2 -> Нет файла <==== ВНИМАНИЕ
  File: C:\ProgramData\Logic Cramble\set.exe
  S3 4583B43D3EB5FF3A; \??\C:\Users\sharov\AppData\Local\Temp\A7678D0C-B5B183B8-8F4FE330-2A67059E\177b194305.sys [X] <==== ВНИМАНИЕ
  S3 4583B828D296B144; \??\C:\Users\sharov\AppData\Local\Temp\93000390-A9E2991F-DD6651E4-7BF70FD0\3c461b2216.sys [X] <==== ВНИМАНИЕ
  2021-03-01 16:24 - 2021-03-01 16:24 - 000000000 ___SH C:\ProgramData\olly.exe
  2021-02-24 22:00 - 2021-02-24 22:00 - 000000000 __SHD C:\ProgramData\Driver Foundation Visions VHG
  2021-02-24 22:00 - 2021-02-24 22:00 - 000000000 __SHD C:\Program Files (x86)\Zaxar
  2021-02-24 22:00 - 2021-02-24 22:00 - 000000000 ___SH C:\windows\SysWOW64\Drivers\conhost.exe
  2021-02-24 22:00 - 2021-02-24 22:00 - 000000000 ___SH C:\windows\svchost.exe
  2021-02-24 22:00 - 2021-02-24 22:00 - 000000000 ___SH C:\windows\java.exe
  2021-02-24 22:00 - 2021-02-24 22:00 - 000000000 ___SH C:\windows\boy.exe
  2021-02-24 22:00 - 2021-02-24 22:00 - 000000000 ___SH C:\ProgramData\script.exe
  2021-02-24 22:00 - 2021-02-24 22:00 - 000000000 ___SH C:\ProgramData\lsass2.exe
  2021-02-24 22:00 - 2021-02-24 22:00 - 000000000 ___SH C:\ProgramData\lsass.exe
  2021-02-24 22:00 - 2021-02-24 22:00 - 000000000 ___SH C:\ProgramData\kz.exe
  2021-03-01 16:07 - 2020-06-11 14:11 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Sandor]

Удалите старые и ещё раз соберите новые логи Farbar.

 

[MaxDamage]

Удалите старые и ещё раз соберите новые логи Farbar.

всё тот же appcrash

Сигнатура проблемы:
Имя события проблемы: APPCRASH
Имя приложения: FRST64.exe
Версия приложения: 28.2.2021.0
Отметка времени приложения: 603bbea7
Имя модуля с ошибкой: SHLWAPI.dll
Версия модуля с ошибкой: 6.1.7601.17514
Отметка времени модуля с ошибкой: 4ce7c9ab
Код исключения: c0000005
Смещение исключения: 0000000000013d13
Версия ОС: 6.1.7601.2.1.0.256.48
Код языка: 1049
Дополнительные сведения 1: 8f50
Дополнительные сведения 2: 8f50971cebe09a22741827e72522cdf8
Дополнительные сведения 3: 6487
Дополнительные сведения 4: 6487cd47d3217c980ba1824201829952

мб попробовать этот SHLWAPI.DLL поменять? Это библиотека Farbar или винды?

 

[Sandor]

Скачайте FRST заново и пробуйте запустить. Если как и в прошлый раз будут неполные логи, прикрепите их.

 

[MaxDamage]

Скачайте FRST заново и пробуйте запустить. Если как и в прошлый раз будут неполные логи, прикрепите их.

Скачал с зеркала, упала по видимому в том же месте