Решена Программы на Windows 10 сами закрываются

Статус
В этой теме нельзя размещать новые ответы.

kuzmich298

Новый пользователь
Сообщения
8
Реакции
0
Здравствуйте, очень странная проблема, программы начали самопроизвольно закрываться, порой не реагируют даже на открытие, такая ситуация происходит для любых программ начиная от браузеров и игр заканчивая диспетчером задач и проводником, что это может быть и что можно сделать чтобы исправить? P.S. систему даже переустановить не получается, так как нет возможности банально записать систему на флешку(закрывается)
 

Вложения

  • GetSystemInfo_DESKTOP-2TE6765_Домовёнок КУЗЯ_2021_12_17_17_14_54.zip
    159.5 KB · Просмотры: 2

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,831
Реакции
14,272
Поздравляю, у вас майнер хозяйничает.

Будем лечить. Тему переношу в профильный раздел.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,831
Реакции
14,272
Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_br.exe)

Файл quarantine.7z из папки с распакованной утилитой отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма

После нужен будет комплект логов, по этим правилам => Правила оформления запроса о помощи
 

kuzmich298

Новый пользователь
Сообщения
8
Реакции
0
Всё, сделал, а вот майнер это прямо меня сильно расстроило, вот кому то сдался мой трактор
 

Вложения

  • AV_block_remove_2021.12.17-18.56.log
    5.1 KB · Просмотры: 2
  • CollectionLog-2021.12.17-19.11.zip
    105.5 KB · Просмотры: 9
  • report2.log
    3 KB · Просмотры: 8
  • report1.log
    859 байт · Просмотры: 8
Последнее редактирование:

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,831
Реакции
14,272
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\syswow64\sysfiles\rfusclient.exe','');
 QuarantineFile('C:\Windows\syswow64\sysfiles\msimg32.dll','');
 QuarantineFile('C:\Windows\TEMP\FcXboZwMqAwg\RuntimeBroker.exe','');
 QuarantineFile('C:\Users\Домовёнок КУЗЯ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\@Microsoft_Security_Host.exe','');
 DeleteFile('C:\Users\Домовёнок КУЗЯ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\@Microsoft_Security_Host.exe','64');
 DeleteFile('C:\Windows\syswow64\sysfiles\rfusclient.exe','32');
 DeleteFile('C:\Windows\syswow64\sysfiles\msimg32.dll','32');
 DeleteFile('C:\Users\Домовёнок КУЗЯ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\@Microsoft_Security_Host.exe','32');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task (.job): (disabled) Восстановление сервиса обновлений Яндекс.Браузера.job - (no file)
O22 - Task (.job): (disabled) Обновление Браузера Яндекс.job - (no file)
O22 - Task (.job): (disabled) Системное обновление Браузера Яндекс.job - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4B6866CE-C379-4ED1-97E6-8DC1D1DB2C8B} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7B63947E-1FE6-44A5-B1E7-9ED8CEB301A8} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8A41D9AB-A2C9-4212-B5BA-90C6EAFF11B4} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B6432BD6-1DD2-4C00-BD4F-D539143085E3} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\C-7-2-98-1397493181-1060676702-1091223900-4983 (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\FxSound (empty)

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

kuzmich298

Новый пользователь
Сообщения
8
Реакции
0
Всё, сделал всё по инструкции
 

Вложения

  • AdwCleaner[S00].txt
    2.4 KB · Просмотры: 10

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,831
Реакции
14,272
VKsaver - сами ставили?
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,831
Реакции
14,272
Нужно дочистить систему. Основное, вроде убили, но нужно смотреть в свежих логах.
  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Запустить проверку").
  • По окончанию сканирования снимите галочки со следующих строк:
    Код:
    PUP.Optional.VKAdBlock          C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VKsaver
    PUP.Optional.VKAdBlock          C:\ProgramData\VKsaver
    PUP.Optional.VKAdBlock          HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32|VKsaver
    PUP.Optional.VKAdBlock          HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Run|VKsaver
    PUP.Optional.VKAdBlock          HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\VKsaver
  • нажмите кнопку "Quarantine" ("Карантин") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

kuzmich298

Новый пользователь
Сообщения
8
Реакции
0
готово
 

Вложения

  • AdwCleaner[S02].txt
    2 KB · Просмотры: 8
  • Addition_18-12-2021 13.39.31.txt
    40.7 KB · Просмотры: 1
  • FRST_18-12-2021 13.39.31.txt
    31.3 KB · Просмотры: 1

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,831
Реакции
14,272
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-536798931-1054459435-355325497-1002\...\Run: [] => [X]
    HKU\S-1-5-21-536798931-1054459435-355325497-1002\...\MountPoints2: {8d61326f-7676-11eb-8015-902b343086b5} - "F:\Lenovo_Suite.exe" 
    HKU\S-1-5-21-536798931-1054459435-355325497-1002\...\MountPoints2: {c3037100-99ad-11eb-807a-902b343086b5} - "F:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-536798931-1054459435-355325497-1002\...\MountPoints2: {d5ca2096-3de9-11ec-82f8-364b50b7ef2d} - "F:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-536798931-1054459435-355325497-1002\...\MountPoints2: {dee1c517-3d9e-11ec-82f6-902b343086b5} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-536798931-1054459435-355325497-1002\...\MountPoints2: {e0c34615-a7e7-11eb-80aa-902b343086b5} - "F:\Lenovo_Suite.exe" 
    HKU\S-1-5-18\...\Run: [(WindowsRuntimeBroker)] => C:\Windows\TEMP\FcXboZwMqAwg\RuntimeBroker.exe (Нет файла) <==== ВНИМАНИЕ
    2021-11-22 17:29 - 2021-11-22 16:30 - 006699592 _____ (©Microsoft) C:\Users\Public\@Microsoft_Security_Host.exe
    ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
    ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
    ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
    ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
    ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [788]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [788]
    AlternateDataStreams: C:\Users\Все пользователи:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи:NT2 [788]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [788]
    AlternateDataStreams: C:\Users\Домовёнок КУЗЯ\Application Data:NT [40]
    AlternateDataStreams: C:\Users\Домовёнок КУЗЯ\Application Data:NT2 [788]
    AlternateDataStreams: C:\Users\Домовёнок КУЗЯ\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\Домовёнок КУЗЯ\AppData\Roaming:NT2 [788]
    FirewallRules: [{25F45CFC-81B4-454E-B8E3-173A21EB706B}] => (Allow) D:\Games\Wargaming.net\GameCenter\wgc.exe => Нет файла
    FirewallRules: [TCP Query User{46CC1243-BEB3-423C-A702-DFC95EF629B1}E:\games\world_of_tanks_ru\win64\worldoftanks.exe] => (Allow) E:\games\world_of_tanks_ru\win64\worldoftanks.exe => Нет файла
    FirewallRules: [UDP Query User{EEF04552-9BF5-44FF-B639-07CFEC7AA9ED}E:\games\world_of_tanks_ru\win64\worldoftanks.exe] => (Allow) E:\games\world_of_tanks_ru\win64\worldoftanks.exe => Нет файла
    FirewallRules: [TCP Query User{8A576B0E-AD04-43E2-B4E6-8F3AC1A90122}D:\games\wargaming.net\gamecenter\dlls\wgc_renderer_host.exe] => (Allow) D:\games\wargaming.net\gamecenter\dlls\wgc_renderer_host.exe => Нет файла
    FirewallRules: [UDP Query User{6622CD36-ED30-4BE2-9839-554B14255350}D:\games\wargaming.net\gamecenter\dlls\wgc_renderer_host.exe] => (Allow) D:\games\wargaming.net\gamecenter\dlls\wgc_renderer_host.exe => Нет файла
    FirewallRules: [{36A7774B-8C14-43C3-8C87-87266F27615D}] => (Allow) D:\SteamLibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла
    FirewallRules: [{B7CA2D35-4E21-46A8-BCDD-DFEAAB5ED9DE}] => (Allow) D:\SteamLibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла
    FirewallRules: [{A0A67F43-43BF-47F5-8EF4-D7EA86C69640}] => (Allow) C:\Users\Домовёнок КУЗЯ\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
    FirewallRules: [{E98AC04E-E267-454D-96BE-5EE87673FCDF}] => (Allow) D:\SteamLibrary\steamapps\common\Heroes & Generals\hngsteamlauncher.exe => Нет файла
    FirewallRules: [{3B268EAA-FD27-4F6D-99A4-074A16E0DEE4}] => (Allow) D:\SteamLibrary\steamapps\common\Heroes & Generals\hngsteamlauncher.exe => Нет файла
    FirewallRules: [TCP Query User{F4B0307B-6C77-41E9-B367-F818ECFCD98E}E:\games\world_of_tanks_ru\wargaming.net\gamecenter\wgc.exe] => (Allow) E:\games\world_of_tanks_ru\wargaming.net\gamecenter\wgc.exe => Нет файла
    FirewallRules: [UDP Query User{64644233-F852-4ADC-8986-2D0C21DE78EB}E:\games\world_of_tanks_ru\wargaming.net\gamecenter\wgc.exe] => (Allow) E:\games\world_of_tanks_ru\wargaming.net\gamecenter\wgc.exe => Нет файла
    FirewallRules: [TCP Query User{797C7936-A4C2-4C76-A9A8-42F13FC0CD39}E:\games\world_of_tanks_ru\wargaming.net\gamecenter\dlls\wgc_renderer_host.exe] => (Allow) E:\games\world_of_tanks_ru\wargaming.net\gamecenter\dlls\wgc_renderer_host.exe => Нет файла
    FirewallRules: [UDP Query User{54AE44C0-06BD-4E6F-9E9B-F1C1A60951FD}E:\games\world_of_tanks_ru\wargaming.net\gamecenter\dlls\wgc_renderer_host.exe] => (Allow) E:\games\world_of_tanks_ru\wargaming.net\gamecenter\dlls\wgc_renderer_host.exe => Нет файла
    FirewallRules: [{E7A4971B-7703-442E-BE01-5F7D9BB4A978}] => (Allow) D:\SteamLibrary\steamapps\common\KillingFloor\System\KillingFloor.exe => Нет файла
    FirewallRules: [{0241FB98-473F-4F78-BE99-F226ADB055B2}] => (Allow) D:\SteamLibrary\steamapps\common\KillingFloor\System\KillingFloor.exe => Нет файла
    FirewallRules: [{52F907C3-9FE5-4E68-AA8B-D2A400C45F3D}] => (Allow) C:\Windows\SysWOW64\sysfiles\rutserv.exe => Нет файла
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.


Подробнее читайте в этом руководстве.


После понаблюдайте за системой, если проблем не будет, то будем завершать лечение.
 

kuzmich298

Новый пользователь
Сообщения
8
Реакции
0
Ну вроде как все работает, вот последний лог который я сделал
 

Вложения

  • Fixlog_18-12-2021 14.09.08.txt
    12.9 KB · Просмотры: 1

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,831
Реакции
14,272
Второй раз скрипт запускать необязательно. Есть информация по карантину от коллег из вирлаба.

@Microsoft_Security_Host.exe - Trojan-Ransom.Win32.Encoder.org, т.е шифровальщик. Так, что проверьте текстовые файлы, фото, нет ли зашифрованного.

Похоже на шифровальщика, запущенного удаленно через remote utility. После дезинфекции нужно сменить все пароли, используемые на компьютере.

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки

Запустите AdwCleaner. В меню Параметры прокрутите вниз и выберите Удалить.
 

kuzmich298

Новый пользователь
Сообщения
8
Реакции
0
если я переустановлю систему, эти файлы могут остаться?
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,831
Реакции
14,272
Мы их все удалили уже.
 

kuzmich298

Новый пользователь
Сообщения
8
Реакции
0
вот лог
 

Вложения

  • SecurityCheck.txt
    7.8 KB · Просмотры: 10

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,831
Реакции
14,272
Исправьте по возможности. И не забудьте пароли.

--------------------------- [ FirewallWindows ] ---------------------------
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows

------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
------------------------------- [ Imaging ] -------------------------------
GIMP 2.8.16 v.2.8.16 Внимание! Скачать обновления
paint.net v.4.2.15 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.310 Внимание! Скачать обновления
WhatsApp v.2.2140.7 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera GX Stable 81.0.4196.61 v.81.0.4196.61 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Microsoft Edge v.96.0.1054.57 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
WindowsRar 5.72.0.5625 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу