Решена Стал медленнее работать компьютер

[koronid]

Стал медленнее работать компьютер, иногда зависает видео, при попытке самостоятельно выполнить стандартный скрипт АВЗ №1, вылетает синий экран.
Файлы прикрепить не могу: скачал Логгер, запустил, он предложил перегрузиться, перегрузился, появился АВЗ с тем же Предупреждением "Перегружаться Да Нет". Подождал - ничего не произошло, нажал Нет - экран АВЗ с Предупреждением исчезли и ничего не произошло. Еще раз все выполнил, та же картина. Или я что-то делаю не так, или не знаю что сделать, чтобы собрать файлы. Помогите...

 

[akok]

так нажмите да, тем более зачем запускать поиск руткитов?

Правила оформления запроса о помощи - крепите скрины на каком этапе проблема.

 

[koronid]

Собрал. В дополнение к исходному состоянию: при открытии Хрома запускается cmd.exe, и почему-то два процесса csrss.exe

 

[akok]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\YCMUAYJ.exe','');
 QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\ZIIMQDBXM.exe','');
 DeleteFile('C:\Users\836D~1\AppData\Local\Temp\ZIIMQDBXM.exe','32');
 DeleteFile('C:\Users\836D~1\AppData\Local\Temp\YCMUAYJ.exe','32');
 DeleteService('YCMUAYJ');
 DeleteService('ZIIMQDBXM');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.


Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Dragokas]

Также:

• из папки AutoLogger\HiJackThis запустите файл HiJackThis.exe, нажмите "Do a system scan and save a log file" и прикрепите отчёт.
• Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;
begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
    then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
    else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.

 

[koronid]

1. Скрипты выполнил.
2. Файл 2023.10.12_quarantine_731b6cbd8db8e0ca00862a4e885e3fc9.7z отправил.
3. FRST скачал, сканировал, файлы прикрепил.
4. ХайДжек запустил, файл добавил.
5. Скрипт в АВЗ выполнил, файл добавил.

 

[Sandor]

Установленные в системе три антивируса

360 Total Security
Microsoft Security Essentials
Zemana AntiMalware, версия 3.2.28

не усиливают, а ослабляют систему.

Один оставьте, остальные деинсталлируйте.
После этого перезагрузите компьютер и соберите ещё раз логи FRST.txt и Addition.txt

 

[koronid]

Выполнил.

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
  CHR HKLM\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  SearchScopes: HKLM -> DefaultScope значение отсутствует
  Handler: cdl - Нет значения CLSID - 
  Handler: javascript - Нет значения CLSID - 
  Handler: mailto - Нет значения CLSID - 
  Handler: res - Нет значения CLSID - 
  Filter: AutorunsDisabled\deflate - {8f6b0360-b80d-11d0-a9b3-006097942311} -  Нет файла []
  Filter: AutorunsDisabled\gzip - {8f6b0360-b80d-11d0-a9b3-006097942311} -  Нет файла []
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Dragokas]

В работе одного из инструментов возникла ошибка. Для выяснения причины, пожалуйста, скачайте такую версию HiJackThis. Полностью распакуйте архив и запустите HiJackThis_dbg.exe
Затем:
1. Нажмите "Do a system scan and save a log file"
2. Сообщите, доработала ли утилита до конца (окно не должно закрыться), автоматически завершилась (крашнулась), либо зависла?
3. Прикрепите лог HiJackThis_debug.log, а также HiJackThis.log (если присутствует).

 

[koronid]

Добавил.

 

[koronid]

Предыдущий файл был отправлен до перезагрузки, отправляю файл после перезагрузки, может, для вас это важно.

 

[koronid]

"2. Сообщите, доработала ли утилита до конца (окно не должно закрыться), автоматически завершилась (крашнулась), либо зависла?..."

Доработала до конца, по окончании открылся файл с результатами проверки. В первом случае, кстати, в 09.09, мне показалось, что ХайДжек не доработал до конца (закрылся), но так как в логе была информация, я не стал об этом указывать.

 

[Dragokas]

Выглядит лучше. Что с симптомами сейчас?

Дополнительно, сделайте такой тест: нажмите Win + R и введите:

wf.msc

• подтвердите "ОК", откроется окно правил сетевого экрана
• нажмите по очереди на "Правила входящих подключений" и "Правила исходящих сообщений"
• сообщите отображается ли список правил в правом окне, и не возникло ли ошибок.

 

[koronid]

Сделал. Сообщение:
"Х (в кружке) Произошла ошибка при открытии брандмауэра Windows с оснасткой дополнительной безопасности." И ниже
"Не удается загрузить оснастку брандмауэра Windows в режиме повышенной безопасности. перезагрузите службу брандмауэра Windows на управляемом компьютере. Код ошибки 0х6D9."

Выглядит лучше, стал работать быстрее, видео пока не заметил, чтобы затыкалось, понаблюдаю.
Не знаю, пригодится вам или нет:
При включении браузера (Хрома), в Диспетчере задач появляется процесс cmd.exe и
и почему-то в Диспетчере два процесса csrss.exe, независимо от браузера.

Вложения​

 

[koronid]

Слуба Брандмауэра была выключена. Включил ее, зашел еще раз, списки правл отображаются, правда я в них не разбираюсь, но ошибок вроде бы нет.

 

[Dragokas]

1. Скачайте https://www.bleepingcomputer.com/download/farbar-service-scanner/ и отметьте все галочки, затем нажмите кнопку Scan. Приложите лог работы.

2. Запустите Диспетчер задач (Ctrl + Shift + Esc), откройте вкладку "Пользователи" и покажите ее скриншот.

3.

Диспетчере задач появляется процесс cmd.exe и
и почему-то в Диспетчере два процесса csrss.exe, независимо от браузера.

По cmd пожалуйста, подробнее:
- если убить процесс cmd через диспетчер задач, он снова появится?
- закройте/откройте браузер ещё раз, повторно убедитесь что cmd появляется именно после открытия браузера.

 

[koronid]

По cmd пожалуйста, подробнее:

• если убить процесс cmd через диспетчер задач, он снова появится?
• закройте/откройте браузер ещё раз, повторно убедитесь что cmd появляется именно после открытия браузера.

1. Не появляется, по крайней мере, в ближайшее время, долго не отслеживал.
2. Появляется именно после открытия Хрома, при ИЕ и ФФ не появляется. Если Хром закрыть - исчезает сам.

 

[koronid]

Запустите Диспетчер задач (Ctrl + Shift + Esc), откройте вкладку "Пользователи" и покажите ее скриншот.

Верхний с cmd.exe, нижний - браузер закрыт, совсем нижний - пользователи.

 

[koronid]

Последнее задание, может неправильно сделал?