Решена Запускается командная строка и при выключении выходит синий экран

Статус
В этой теме нельзя размещать новые ответы.

AuuuF

Новый пользователь
Сообщения
8
Реакции
0
Доброго времени суток!
Компьютер не мой, моей сестры, поэтому предистория с ее слов.
Ею по ошибке (скорее даже незнанию) было установлено несколько каких-то подозрительных программ, которые в последствии были удалены, однако осадочек от них остался.
По загрузке ОС и спустя минут 3-5 самопроизвольно запускается командная строка, судя по строкам в которой, происходит загрузка какого-то файла размером в 39 мб. После чего командная строка закрывается. И вот тут то начинается самое интересное.
Если после того, как командная строка запустилась/скрылась попытаться компьютер выключить или перезагрузить выскакивает синее окно ошибки Windows "СRITICAL PROCESS DIED". После чего ПК снова уходит в ребут. И тогда, уже не дожидаясь загрузки командной строки, попробовать выключить или перезагрузить - он успешно выключится/перезагрузится.
Нагуглив возможные причины данной ошибки, мною было сделано следующее:
1) Прошёлся курейтом - в темпах обнаружено порядка 60 заражённых объектов. часть из которых перемещена, часть удалена.
2) прошёлся Ccleаner-ом - обнаружено огромное количество ошибок реестра, которые он успешно исправил
3) попытался восстановить систему (благо точки восстановления были) - восстановление прошло с ошибкой и восстановиться не удалось. Из созданных ранее точек также выяснилось что чудесным образом за последние дни были удалены: касперский, касперский секур, защитник яндекса, в общем все что хоть как то может противстоять вирусняку
4) попытался установить все обновления. При проверке которых вышла ошибка. Обновить компьютер тоже не удалось
5) Scannow и chkdsk блочатся - работать не хотят
6) Emsisoft-овский malware запустился, скачал себе обновления и встал, после чего стал выдавать ошибку: "не могу, говорит, обратиться к службе приложений и ля ля ля"
Если далее следовать советам некоторых сайтов, необходимо пройтись ram-тестом по оперативке либо же совсем сносить винду. К сожалению, возможности пройтись рам тестом нет, да и нужды в этом не вижу. Очевидно же что проблема программная. Да и винду сносить не хочется и совсем совсем не желательно. Очень надеюсь на вашу помощь. Скриншоты командной строки, выдаваемой ошибки и логи прилагаю.
 

Вложения

  • CollectionLog-2017.12.19-15.13.zip
    142.7 KB · Просмотры: 2
  • cmd.jpg
    cmd.jpg
    21.3 KB · Просмотры: 43
  • err.jpg
    err.jpg
    49.1 KB · Просмотры: 37
Последнее редактирование:

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,211
Реакции
2,471
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\User\AppData\Local\cbmWrRvPcfM.bat', '');
 QuarantineFile('C:\Users\User\AppData\Local\xWBlg.bat', '');
 ExecuteFile('schtasks.exe', '/delete /TN "LxcBJoPkQqy" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "QRviOY" /F', 0, 15000, true);
 DeleteFile('C:\Users\User\AppData\Local\cbmWrRvPcfM.bat', '32');
 DeleteFile('C:\Users\User\AppData\Local\xWBlg.bat', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Для повторной диагностики запустите снова AutoLogger.
Прикрепите свежий CollectionLog.
 

AuuuF

Новый пользователь
Сообщения
8
Реакции
0
Отправлено с помощью формы.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,211
Реакции
2,471
CollectionLog нужно сюда прикрепить, а не на почту.
 
  • Like
Реакции: akok

AuuuF

Новый пользователь
Сообщения
8
Реакции
0
Хорошо
 

Вложения

  • CollectionLog-2017.12.19-16.53.zip
    141.3 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,211
Реакции
2,471
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

AuuuF

Новый пользователь
Сообщения
8
Реакции
0
Сегодня командной строки уже не было. И перезагрузка безо всяких синих экранов. Не знаю что именно могло этому поспособствовать. Но 3-6 пункты моего первого сообщения всё еще в силе. Подозреваю очень многие службы им были отключены. Можно ли убедиться что он удален окончательно?
 

Вложения

  • AdwCleaner[S1].txt
    4.4 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,211
Реакции
2,471
Сначала закончим с хвостами и адварью.
1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome
      и нажмите Ok.
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

AuuuF

Новый пользователь
Сообщения
8
Реакции
0
..
 

Вложения

  • AdwCleaner[C0].txt
    4.1 KB · Просмотры: 1
  • Addition.txt
    49.3 KB · Просмотры: 1
  • FRST.txt
    71.4 KB · Просмотры: 1
  • Shortcut.txt
    95.3 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,211
Реакции
2,471
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    SearchScopes: HKU\S-1-5-21-2129576046-775921670-950161428-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B395FD857-BC5E-4081-B40B-DBF3C1EF67D2%7D&gp=811142
    SearchScopes: HKU\S-1-5-21-2129576046-775921670-950161428-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B395FD857-BC5E-4081-B40B-DBF3C1EF67D2%7D&gp=811142
    2017-12-15 00:07 - 2017-12-15 00:07 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignf1e349fa186c5bbe
    2017-12-15 00:05 - 2017-12-15 00:05 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign63f6e9eb13caef51
    2017-12-15 00:05 - 2017-12-15 00:05 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign44cec54eeac70235
    2017-12-15 00:05 - 2017-12-15 00:05 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign10443ff87a77d7d9
    2017-12-11 20:47 - 2017-12-11 20:47 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignf600e33b0f24908d
    2017-12-11 20:47 - 2017-12-11 20:47 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign9ce720f5d5866c89
    2017-12-11 20:47 - 2017-12-11 20:47 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign4aa1a8d861a4e3b9
    2017-12-11 20:43 - 2017-12-11 20:43 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigncb599538480b086b
    2017-12-11 20:43 - 2017-12-11 20:43 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign43b1b052c6892d93
    2017-12-11 20:43 - 2017-12-11 20:43 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign1c003155e961792e
    2017-12-08 15:25 - 2017-12-08 15:25 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignd3b998a95e46a62f
    2017-12-08 15:25 - 2017-12-08 15:25 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign49d34bdcdf27ed9e
    2017-12-07 16:11 - 2017-12-07 16:11 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignb476d8463e1d6482
    2017-12-07 16:11 - 2017-12-07 16:11 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignb4031b1acd7ae0a0
    2017-12-07 16:07 - 2017-12-07 16:07 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign20c967ae30840dcb
    2017-12-07 16:07 - 2017-12-07 16:07 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign094f3db780dee978
    2017-12-07 16:06 - 2017-12-07 16:06 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignb381c17521e589e3
    2017-12-07 16:06 - 2017-12-07 16:06 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign0bddf38f37a9a3eb
    2017-12-07 16:03 - 2017-12-07 16:03 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignee05504b45444c69
    2017-12-07 16:03 - 2017-12-07 16:03 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign191048b5f38dbb59
    2017-12-07 16:02 - 2017-12-07 16:02 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign4878e6ce96f2350c
    2017-12-07 16:02 - 2017-12-07 16:02 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign197119d53be555a0
    2017-12-07 16:01 - 2017-12-07 16:01 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignc40e5580bd8146c6
    2017-12-07 16:01 - 2017-12-07 16:01 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign698f25aa27bc492b
    2017-12-07 15:59 - 2017-12-07 15:59 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigndcce577dec74c2bd
    2017-12-07 15:59 - 2017-12-07 15:59 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign085f55c1c2fde4ae
    2017-12-07 15:54 - 2017-12-07 15:54 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignf5602037e66b5d3a
    2017-12-07 15:54 - 2017-12-07 15:54 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign24663a6f160f2c12
    2017-12-07 15:52 - 2017-12-07 15:52 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigne04410307c9c3c95
    2017-12-07 15:52 - 2017-12-07 15:52 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign99f6cbae83b17f34
    2017-12-07 15:51 - 2017-12-07 15:51 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignfa1ff0bcc23f5a41
    2017-12-07 15:51 - 2017-12-07 15:51 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign7b008c8108431720
    2017-12-07 15:40 - 2017-12-07 15:40 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignc0185a0689e69db1
    2017-12-07 15:40 - 2017-12-07 15:40 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignac37a0b23581744a
    2017-12-07 15:39 - 2017-12-07 15:39 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign90f3f088f014b544
    2017-12-07 15:39 - 2017-12-07 15:39 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign18d01f85bb491f19
    2017-12-07 15:38 - 2017-12-07 15:38 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignef30f66663d9e40e
    2017-12-07 15:38 - 2017-12-07 15:38 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign0d393578cd2717a3
    2017-12-07 15:37 - 2017-12-07 15:37 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign926e69cbbc36316e
    2017-12-07 15:37 - 2017-12-07 15:37 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign6ba54800494bd5c8
    2017-12-07 15:22 - 2017-12-07 15:22 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign83f3b85a65015dd6
    2017-12-07 15:22 - 2017-12-07 15:22 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign7b87a4fcea08c8ad
    2017-12-07 15:14 - 2017-12-07 15:14 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignd6f2bbb2e6ea50bd
    2017-12-07 15:14 - 2017-12-07 15:14 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign2480ab3d4cb08cee
    2017-12-05 15:20 - 2017-09-29 16:42 - 000001217 _____ C:\Users\User\AppData\Local\LHjIdjNeBnE
    2017-12-05 15:20 - 2017-09-29 16:42 - 000001132 _____ C:\Users\User\AppData\Local\uYzkAyg
    2017-12-05 15:20 - 2017-09-29 16:42 - 000000069 _____ C:\Users\User\AppData\Local\cbmWrRvPcfM
    2017-12-05 15:20 - 2017-09-29 16:42 - 000000065 _____ C:\Users\User\AppData\Local\xWBlg
    2017-11-25 11:47 - 2017-11-25 11:47 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignaa722764d2ed6c48
    2017-11-25 11:47 - 2017-11-25 11:47 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign20b47c7148c603f2
    2017-11-21 14:25 - 2017-11-21 14:25 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigne22f0852188a2ad6
    2017-11-21 14:25 - 2017-11-21 14:25 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign1f5ce9c2c37106ee
    Task: {DC507B4A-C493-4B27-BFBA-A49382DEF3EB} - \QRviOY -> No File <==== ATTENTION
    Task: {FE94FD6C-02F2-443F-81B5-4FBFC42E4413} - \LxcBJoPkQqy -> No File <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

AuuuF

Новый пользователь
Сообщения
8
Реакции
0
...
 

Вложения

  • Fixlog.txt
    12.4 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,211
Реакции
2,471
Теперь сообщите, что из проблем осталось? (только не пробуйте восстанавливать систему).
 

AuuuF

Новый пользователь
Сообщения
8
Реакции
0
Вроде бы всё заработало) спасибо Вам огромное!
Единственное скан показал какие то файлы, не поддающиеся восстановлению. Сильно ли это критично?
 

Вложения

  • part of CSB.txt
    2.7 MB · Просмотры: 2

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,414
Реакции
13,903
Для разбора лога CSB создайте тему в профильном разделе Microsoft Windows 10, там больше специалистов которые могут ответить. А тут лечение финализируем

Подготовьте лог лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу