Решена Столкнулся с вирусом, который не получается удалить с помощью общих советов из Интернета

[DebiKk]

Пробуйте сейчас скачать Farbar Recovery Tool

Все заработало

 

[DebiKk]

Если есть дампы, упакуйте в архив и прикрепите к следующему сообщению.

Готово. Ещё сделал фотографию экрана с ошибкой, если это как-то поможет

Upd. Есть теория, что это происходит только если открыт браузер, но это случается довольно редко и пока что выявить условия для краша не представляется возможным. Также заглянул в список событий и увидел там ошибку со следующим описанием: Сбой при запуске службы "Rav Service" из-за ошибки. Не удается найти указанный файл.

 

[DebiKk]

Также заглянул в список событий и увидел там ошибку со следующим описанием:

Извиняюсь, не та ошибка. Вот та:
Компьютер был перезагружен после критической ошибки. Код ошибки: 0x00000109 (0xa3a0236530b8d5a3, 0xb3b72feb833b520f, 0xffffe40c8378ab70, 0x000000000000001c)

 

[DebiKk]

Есть теория, что это происходит только если открыт браузер

Фигня. Оно просто происходит и не даёт мне жить

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус, но не отключайте сеть.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
  HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
  HKU\S-1-5-21-3783526970-1892714085-526456388-1001\...\MountPoints2: {0550923c-eb65-11ec-be9c-9822efe8b1d4} - "D:\autorun.exe" 
  HKU\S-1-5-21-3783526970-1892714085-526456388-1001\...\MountPoints2: {f24fcad3-eb0c-11ec-be9b-9822efe8b1d4} - "D:\autorun.exe" 
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {0133077E-6005-41C3-8766-688F92097BE8} - \BPwpzyzXcLbIj2 -> Нет файла <==== ВНИМАНИЕ
  Task: C:\Windows\Tasks\CXxVjwHtOcirCAp.job => C:\Program Files (x86)\EXJYSpnRU\tWnmRZ.dll
  CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
  CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m",
           "hxxps://www.google.com/?trackid=sp-006"
        
  CHR DefaultSearchKeyword: Default -> cdn
  C:\Users\Akvelon\AppData\Local\Google\Chrome\User Data\Default\Extensions\meejmcfbiapijdfaadackoblffmidlig
  CHR HomePage: Guest Profile -> hxxps://find-it.pro/?utm_source=distr_m
  CHR StartupUrls: Guest Profile -> "hxxps://find-it.pro/?utm_source=distr_m" 
  CHR DefaultSearchKeyword: Guest Profile -> cdn
  C:\Users\Akvelon\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\meejmcfbiapijdfaadackoblffmidlig
  CHR HomePage: System Profile -> hxxps://find-it.pro/?utm_source=distr_m
  CHR StartupUrls: System Profile -> "hxxps://find-it.pro/?utm_source=distr_m" 
  CHR DefaultSearchKeyword: System Profile -> cdn
  C:\Users\Akvelon\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\meejmcfbiapijdfaadackoblffmidlig
  CHR HKU\S-1-5-21-3783526970-1892714085-526456388-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gjaojbkkfpedgefidkagjeibcbfnakke] - hxxps://fastproxy.app/service/update2/crx?partner=01
  YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?q={searchTerms}
  YAN DefaultSearchKeyword: Default -> find-it.pro
  YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
  C:\Users\Akvelon\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
  2022-09-22 17:50 - 2022-10-04 19:59 - 000000000 ____D C:\Program Files (x86)\sXfEwYEsoHUn
  2022-09-17 21:36 - 2022-10-04 16:42 - 000000000 ____D C:\Program Files\RDP Wrapper
  2022-09-17 21:36 - 2022-10-04 15:37 - 000014140 _____ C:\rdpwrap.txt
  AlternateDataStreams: C:\ProgramData:iSpring Solutions [140]
  AlternateDataStreams: C:\ProgramData:iSpring Suite 8 Ru [128]
  AlternateDataStreams: C:\Users\All Users:iSpring Solutions [140]
  AlternateDataStreams: C:\Users\All Users:iSpring Suite 8 Ru [128]
  AlternateDataStreams: C:\Users\Akvelon\Application Data:iSpring Solutions [140]
  AlternateDataStreams: C:\Users\Akvelon\Application Data:iSpring Suite 8 Ru [128]
  AlternateDataStreams: C:\Users\Akvelon\Desktop\desktop (Новинка).ini:com.dropbox.attrs [52]
  AlternateDataStreams: C:\Users\Akvelon\AppData\Roaming:iSpring Solutions [140]
  AlternateDataStreams: C:\Users\Akvelon\AppData\Roaming:iSpring Suite 8 Ru [128]
  AlternateDataStreams: C:\Users\Akvelon\Documents\desktop (Новинка).ini:com.dropbox.attrs [54]
  AlternateDataStreams: C:\Users\Akvelon\Documents\Zoom:com.dropbox.attrs [54]
  AlternateDataStreams: C:\Users\Akvelon\Documents\Настраиваемые шаблоны Office:com.dropbox.attrs [54]
  AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [140]
  AlternateDataStreams: C:\ProgramData\Application Data:iSpring Suite 8 Ru [128]
  FirewallRules: [{E9BF7253-1AD4-4448-87D0-4677BBE9ED96}] => (Allow) LPort=14567
  FirewallRules: [{9FB44A12-9E6F-4678-811A-C62EE73EABA9}] => (Allow) LPort=14568
  FirewallRules: [{0E9135E0-5DBD-407C-9F86-FA72DC5EC285}] => (Allow) LPort=14569
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[DebiKk]

Сделано

 

[Sandor]

Скрипт отработал успешно. В числе прочего:

Программа защиты ресурсов Windows обнаружила поврежденные файлы и успешно их восстановила.

Что сейчас из проблем осталось? Синие экраны продолжаются?

 

[Sandor]

Виноват, в фиксе я пропустил кое-что.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  Ghostery - Privacy Ad Blocker 1.0.0.0 (HKU\S-1-5-21-3783526970-1892714085-526456388-1001\...\{f281557c-2bfe-4110-ad0f-458e88ef5504}) (Version: 1.0.0.0 - Ghostery) Hidden
  spider remain 2.1.5.1 (HKLM-x32\...\{50e06a76-4ca2-4ab8-9c6d-5421c6e71a04}) (Version: 2.1.5.1 - Parker LLC Ltd) Hidden
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

В перечне установленных программ появятся скрытые ранее

Ghostery - Privacy Ad Blocker 1.0.0.0
spider remain 2.1.5.1

Удалите.
Не сможете стандартно, удалите принудительно через Geek Uninstaller

Сбой при запуске службы "Rav Service" из-за ошибки. Не удается найти указанный файл.

Это служба антивируса Rising Antivirus
Попробуйте его деинсталлировать вместе с Rising Software Deployment System

Последите, будет ли повторяться ошибка.

 

[DebiKk]

Готово, готово и готово. Пока что синих экранов не наблюдаю, но нужно ещё посмотреть, иногда время между ними большое, а иногда - несколько минут

Что касается Rising Antivirus, поставил его лишь потому что это единственный антивирус, который скачался и запустился. Однако все равно он ничего не смог сделать

 

[DebiKk]

Увы, проблема никуда не делась. Сообщение об ошибке всё то же. Ещё другая ошибка говорит о том, что не удалось создать дамп:

Не удалось создать файл дампа из-за ошибки при создании дампа.

 

[DebiKk]

Выполнил проверку оперативной памяти и проверил ноутбук с помощью Doctor Wed Cureit. Никаких проблем обнаружено не было

Также пробовал откатить драйвера видеокарты. Проблема не ушла

 

[DebiKk]

Сканирование через командную строку не дало результатов

 

[Sandor]

По ошибке на синем экране - Синий экран смерти 0x00000109: устранение Stop-ошибки на bsodstop.ru
Создайте тему в "железном" разделе форума. Пусть ещё специалисты посмотрят и посоветуют что можно сделать.
Ссылку на эту тему там укажите.

 

[DebiKk]

Хорошо. Но обращаться пока не буду, в диспетчере задач позакрывал все ненужные процессы (включая браузер), вроде после этого ничего не было
Спасибо за помощь с вирусом, не знаю, что бы делал без вас

 

[Sandor]

Хорошо, помечаю тему решённой и пока не закрываю.

 

[DebiKk]

Cнова здравствуйте! Обнаружил, что Rising antivirus удалился не до конца, и что ещё остались процессы, запущенные из папки C:\Program Files (x86)\Rising. Прервав процессы, я удалил эту папку, однако через некоторое время обнаружил ее на прежнем месте. Также на рабочем столе постоянно создаются ярлыки на Rising Antivirus и на страницу Restore Rising Software. Через список программ тоже удалял, и там он тоже снова есть. Не подскажете, как от него избавиться?
Rising возвращается каждый раз после того, как падает винда

 

[Sandor]

Удалите старые и соберите новые логи FRST.txt и Addition.txt

 

[DebiKk]

Извините, я за это время смог сам справиться. Хотел удалить или изменить, но уже поздно было. Прошу прощения

 

[Sandor]

Хорошо, если всё в порядке, завершающие шаги:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[regist]

@DebiKk

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имякомпьютерадата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.​
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.