Решена Помогите улучшить работоспособность ноутбука

Статус
В этой теме нельзя размещать новые ответы.

Dmiti

Новый пользователь
Сообщения
23
Реакции
0
В продолжение уже открытой темы,
в поисках выхода из тупика :Dash1: (не запускаются приложения [fa=fa-arrow-right][/fa] ошибка 0xc000007b)
Прошу проанализировать логи моей системы на предмет заражения

Заранее премного благодарен
 

Вложения

  • CollectionLog-2016.04.14-01.36.zip
    131.8 KB · Просмотры: 4
Dmiti, через панель управления удалите следующее ПО:
Код:
AnySend [2016/04/12 03:04:20]-->"C:\Users\sony\AppData\Roaming\ASPackage\Uninstall.exe"
Body Text Feathering [2016/04/12 03:04:21]-->C:\Users\sony\AppData\Local\1E4B1380-1454423729-11DE-8973-78843CEAFD8C\Uninstall.exe
GamesDesktop 092.005010224 [20160201]-->"C:\Program Files (x86)\gmsd_re_005010224\gmsd_re_005010224 - uninstall.exe"

Следующее ПО вам знакомо?
Код:
Unity Web Player [2016/04/12 02:22:15]-->C:\Users\sony\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
NEF to JPG [20160125]-->"C:\Program Files (x86)\NEF to JPG\unins000.exe"

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFileF('C:\Users\sony\AppData\Roaming\Calculator', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
QuarantineFileF('C:\Users\sony\AppData\Roaming\MicrosoftUpdater', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
QuarantineFileF('C:\Program Files (x86)\1E4B1380-1454260412-11DE-8973-78843CEAFD8C', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
QuarantineFile('C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat','');
QuarantineFileF('C:\ProgramData\WWdMW', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
QuarantineFileF('C:\Program Files (x86)\1E4B1380-1454346819-11DE-8973-78843CEAFD8C', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
QuarantineFileF('C:\Users\sony\appdata\roaming\aspackage', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\MicrosoftUpdater','64');
DeleteFileMask('C:\Program Files (x86)\1E4B1380-1454346819-11DE-8973-78843CEAFD8C','*', true);
DeleteFileMask('C:\ProgramData\WWdMW','*', true);
DeleteFile('C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat','32');
DeleteFileMask('C:\Users\sony\AppData\Roaming\Calculator','*', true);
DeleteFileMask('C:\Program Files (x86)\1E4B1380-1454260412-11DE-8973-78843CEAFD8C','*', true);
DeleteFileMask('C:\Users\sony\appdata\roaming\aspackage','*', true);
DeleteFileMask('C:\Users\sony\AppData\Roaming\MicrosoftUpdater','*', true);
DeleteDirectory('C:\Users\sony\AppData\Roaming\Calculator');
DeleteDirectory('C:\Users\sony\AppData\Roaming\MicrosoftUpdater');
DeleteDirectory('C:\Program Files (x86)\1E4B1380-1454260412-11DE-8973-78843CEAFD8C');
DeleteDirectory('C:\Users\sony\appdata\roaming\aspackage');
DeleteDirectory('C:\ProgramData\WWdMW');
DeleteDirectory('C:\Program Files (x86)\1E4B1380-1454346819-11DE-8973-78843CEAFD8C');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {8D10F6C4-0E01-4BD4-8601-11AC1FDF8126} - (no file)
O2 - BHO: (no name) - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O3 - Toolbar: (no name) - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - (no file)
O4 - MSConfig..HKLM: /0/0 [EPLTarget]  (no file)
O4 - MSConfig..HKLM: 2015/05/04 [AtherosBtStack] "C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe" (no file)
O4 - MSConfig..HKLM: 2015/05/04 [Bdagent] "C:\Program Files\Bitdefender\Bitdefender\bdagent.exe" (no file)
O4 - MSConfig..HKLM: 2015/05/04 [Bitdefender Wallet Agent] "C:\Program Files\Bitdefender\Bitdefender\pmbxag.exe" (no file)
O4 - MSConfig..HKLM: 2015/05/04 [Bitdefender Wallet Application Agent] "C:\Program Files\Bitdefender\Bitdefender\antispam32\bdapppassmgr.exe" (no file)
O4 - MSConfig..HKLM: 2015/05/04 [Bitdefender Wallet] "C:\Program Files\Bitdefender\Bitdefender\pwdmanui.exe" --hidden --nowizard (no file)
O4 - MSConfig..HKLM: 2015/05/04 [EpicScale]  (no file)
O4 - MSConfig..HKLM: 2015/05/04 [IAStorIcon]  (no file)
O4 - MSConfig..HKLM: 2015/05/04 [NokiaSuite.exe]  (no file)
O4 - MSConfig..HKLM: 2015/05/04 [Nvtmru]  (no file)
O4 - MSConfig..HKLM: 2015/06/07 [MailRuUpdater] C:\Users\sony\AppData\Local\Mail.Ru\MailRuUpdater.exe (no file)
O9 - Extra button: (no name) - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - (no file)
O9 - Extra button: (no name) - {7815BE26-237D-41A8-A98F-F7BD75F71086} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: (no name) - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (no file)
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - (no file)

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
+ Удалил через панель указанные программы;
+ Выполнил скрипт АВЗ и отправил согласно формы;
+ Профиксил строки в HijackThis;
- Повторную диагностику в AutoLogger не выполнил (на форуме не нашел что это такое и где его взять);
+ Просканировал в AdwCleaner (файлы прикрепил).

P.S. было очень интересно этим заниматься, спасибо всем за новый опыт! С удовольствием жду новых указаний)))
 

Вложения

  • AdwCleaner[C1].txt
    11.5 KB · Просмотры: 4
  • AdwCleaner[S1].txt
    12.7 KB · Просмотры: 2
Просканировал в AdwCleaner (файлы прикрепил).
не только просканировали но и удалили все найденное, опасно, рисковали удалить легитимные файлы.

- Повторную диагностику в AutoLogger не выполнил (на форуме не нашел что это такое и где его взять);
вы же собирали в начале логи автологером когда создавали тему.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
отчеты FRST.txt, Addition.txt, Shortcut.txt
 

Вложения

  • Addition.txt
    97.6 KB · Просмотры: 1
  • FRST.txt
    186.7 KB · Просмотры: 2
  • Shortcut.txt
    232.3 KB · Просмотры: 0
1)
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C2].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2) Удалите остатки аваста и Bitdefender https://safezone.cc/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

3) Сделайте свежие логи FRST
+
Код:
Игровой центр (HKU\S-1-5-21-3103766970-968778130-751325252-1000\...\GameCenterMailRu) (Version: 2.378 - ООО "Мэйл.Ру Геймз")
если не нужен, то деинсталируйте.
+
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
+ отчет AdwCleaner[C2].txt
+ остатки Avast и Bitdefender удалены в безопасном режиме
- Игровой центр удалял через Панель Управления..? Правильно, или нет (удалило как несуществующую программу)?
+ свежие логи FRST выполнены
+ AVZ обновлен, скрипт выполнен, карантин загружен: MD5: D1A9D477179F17648EE721ABAD037890
 

Вложения

  • AdwCleaner[C2].txt
    1.3 KB · Просмотры: 2
  • Addition.txt
    96.2 KB · Просмотры: 2
  • FRST.txt
    183.6 KB · Просмотры: 3
  • Shortcut.txt
    232.3 KB · Просмотры: 0
Код:
FF Extension: Google Translator for Firefox - C:\Users\sony\AppData\Roaming\Mozilla\Firefox\Profiles\let6s0bg.default\extensions\translator@zoli.bod.xpi [2015-11-01]
FF Extension: Russian Hunspell spellchecking dictionary - C:\Users\sony\AppData\Roaming\Mozilla\Firefox\Profiles\let6s0bg.default\Extensions\hunspell-ru@dictionaries.addons.mozilla.org [2015-12-17]
FF Extension: Google™ Translator - C:\Users\sony\AppData\Roaming\Mozilla\Firefox\Profiles\let6s0bg.default\Extensions\jid1-dgnIBwQga0SIBw@jetpack.xpi [2016-03-14]
FF Extension: Russian (RU) Language Pack - C:\Users\sony\AppData\Roaming\Mozilla\Firefox\Profiles\let6s0bg.default\Extensions\langpack-ru@firefox.mozilla.org.xpi [2016-03-24]
FF Extension: Ukrainian (UA) Language Pack - C:\Users\sony\AppData\Roaming\Mozilla\Firefox\Profiles\let6s0bg.default\Extensions\langpack-uk@firefox.mozilla.org.xpi [2016-03-24]
FF Extension: Ukrainian dictionary - C:\Users\sony\AppData\Roaming\Mozilla\Firefox\Profiles\let6s0bg.default\Extensions\uk-ua@dictionaries.addons.mozilla.org [2016-01-22]
все эти расширения вам знакомы?
В частности эти
FF Extension: Google Translator for Firefox - C:\Users\sony\AppData\Roaming\Mozilla\Firefox\Profiles\let6s0bg.default\extensions\translator@zoli.bod.xpi [2015-11-01]
FF Extension: Google™ Translator - C:\Users\sony\AppData\Roaming\Mozilla\Firefox\Profiles\let6s0bg.default\Extensions\jid1-dgnIBwQga0SIBw@jetpack.xpi [2016-03-14]
сами ставили?
Аналогично в Хроме, эти расширения все знакомы?
Код:
Chrome:
=======
CHR Profile: C:\Users\sony\AppData\Local\Google\Chrome\User Data\Default
CHR Extension: (Диск Google) - C:\Users\sony\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-04-04]
CHR Extension: (Translate Selected Text) - C:\Users\sony\AppData\Local\Google\Chrome\User Data\Default\Extensions\fbimffnjoeobhjhochngikepgfejjmgj [2016-04-04]
CHR Extension: (Google Документи офлайн) - C:\Users\sony\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-04-04]
CHR Extension: (Application Launcher for Drive (by Google)) - C:\Users\sony\AppData\Local\Google\Chrome\User Data\Default\Extensions\lmjegmlicamnimmfhcmpkclmigmmcbeh [2016-04-03]
CHR Extension: (Платежі Веб-магазину Chrome) - C:\Users\sony\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-04-03]
CHR Extension: (imo free video calls and text) - C:\Users\sony\AppData\Local\Google\Chrome\User Data\Default\Extensions\ocaebkdojpikfmhmnekiflipcicedobi [2016-04-03]
 
Скорее всего сам, пользуюсь ноутбуком только я...
Некритично, если необходимо удалить..
 
1)
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.
Подробнее читайте в этом руководстве.

2) Создайте точку восстановления системы.

3) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
Task: {008DB744-6C97-4EFF-9CAA-C58743154A96} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {153D3C82-8FF4-4CBE-8765-8EB100B321C1} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {2916D882-C81A-47AA-836F-6BC73C9B8D0A} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {3371E059-83DE-48C1-AEE9-51042029EB3C} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {722241C8-F345-42E5-A823-61A1A5D556E6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {86C39AF7-F97E-4DFD-845D-B76E7C5E7671} - \Microsoft\Windows\MicrosoftUpdater -> No File <==== ATTENTION
Task: {BBB3347E-4C2B-44EA-9006-2EE4B876DBF3} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {CB37669F-82BF-42A5-8753-A72BFF2CB73B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {D630E65E-BD8F-46A0-ACA0-D46FFE437863} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {E18A58A2-1C46-42AE-A7F3-4BB388A00B31} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {E9C970BD-8484-4A14-89DA-27AF62D9EBC8} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {FD8AE021-0246-4E0E-988B-AFA0FC064142} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
HKLM-x32\...\Run: [gmsd_re_005010224] => [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
2016-03-27 20:16 - 2016-03-27 20:16 - 0004864 _____ () C:\ProgramData\oqztiqep.adk
Folder:C:\ProgramData\mntemp
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
 
+ удалил adwcleaner
+ точку восстановления создал
+ ПроFixил в FRST, лог прилагаю
 

Вложения

  • Fixlog.txt
    7.9 KB · Просмотры: 2
что с проблемой?
 
загружается ноут чуток быстрее, хоть и не сильно заметно.
главная проблема не исчезла (моя изначальная проблема)
ну а Photoshop практически после первых манипуляций заработал нормально, без этой ошибки 0хс0000....
 
Последнее редактирование:
Это ошибка уже не вирусное, лучше продолжить по ней в той теме. А здесь закругляемся

папку C:\FRST удалите.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ок! спасибо за уделенное мне внимание и время!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу