Решена Программы на Windows 10 не реагируют и закрываются

Статус
В этой теме нельзя размещать новые ответы.

kuzmich298

Новый пользователь
Сообщения
8
Реакции
0
Здравствуйте, очень странная проблема, программы начали самопроизвольно закрываться, порой не реагируют даже на открытие, такая ситуация происходит для любых программ начиная от браузеров и игр заканчивая диспетчером задач и проводником, что это может быть и что можно сделать чтобы исправить? P.S. систему даже переустановить не получается, так как нет возможности банально записать систему на флешку(закрывается)
 

Вложения

  • GetSystemInfo_DESKTOP-2TE6765_Домовёнок КУЗЯ_2021_12_17_17_14_54.zip
    159.5 KB · Просмотры: 2
Поздравляю, у вас майнер хозяйничает.

Будем лечить. Тему переношу в профильный раздел.
 
Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_br.exe)

Файл quarantine.7z из папки с распакованной утилитой отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма

После нужен будет комплект логов, по этим правилам => Правила оформления запроса о помощи
 
Всё, сделал, а вот майнер это прямо меня сильно расстроило, вот кому то сдался мой трактор
 

Вложения

  • AV_block_remove_2021.12.17-18.56.log
    5.1 KB · Просмотры: 2
  • CollectionLog-2021.12.17-19.11.zip
    105.5 KB · Просмотры: 9
  • report2.log
    3 KB · Просмотры: 8
  • report1.log
    859 байт · Просмотры: 8
Последнее редактирование:
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\syswow64\sysfiles\rfusclient.exe','');
 QuarantineFile('C:\Windows\syswow64\sysfiles\msimg32.dll','');
 QuarantineFile('C:\Windows\TEMP\FcXboZwMqAwg\RuntimeBroker.exe','');
 QuarantineFile('C:\Users\Домовёнок КУЗЯ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\@Microsoft_Security_Host.exe','');
 DeleteFile('C:\Users\Домовёнок КУЗЯ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\@Microsoft_Security_Host.exe','64');
 DeleteFile('C:\Windows\syswow64\sysfiles\rfusclient.exe','32');
 DeleteFile('C:\Windows\syswow64\sysfiles\msimg32.dll','32');
 DeleteFile('C:\Users\Домовёнок КУЗЯ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\@Microsoft_Security_Host.exe','32');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task (.job): (disabled) Восстановление сервиса обновлений Яндекс.Браузера.job - (no file)
O22 - Task (.job): (disabled) Обновление Браузера Яндекс.job - (no file)
O22 - Task (.job): (disabled) Системное обновление Браузера Яндекс.job - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4B6866CE-C379-4ED1-97E6-8DC1D1DB2C8B} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7B63947E-1FE6-44A5-B1E7-9ED8CEB301A8} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8A41D9AB-A2C9-4212-B5BA-90C6EAFF11B4} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B6432BD6-1DD2-4C00-BD4F-D539143085E3} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\C-7-2-98-1397493181-1060676702-1091223900-4983 (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\FxSound (empty)

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Всё, сделал всё по инструкции
 

Вложения

  • AdwCleaner[S00].txt
    2.4 KB · Просмотры: 10
VKsaver - сами ставили?
 
Нужно дочистить систему. Основное, вроде убили, но нужно смотреть в свежих логах.
  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Запустить проверку").
  • По окончанию сканирования снимите галочки со следующих строк:
    Код:
    PUP.Optional.VKAdBlock          C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VKsaver
    PUP.Optional.VKAdBlock          C:\ProgramData\VKsaver
    PUP.Optional.VKAdBlock          HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32|VKsaver
    PUP.Optional.VKAdBlock          HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Run|VKsaver
    PUP.Optional.VKAdBlock          HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\VKsaver
  • нажмите кнопку "Quarantine" ("Карантин") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
готово
 

Вложения

  • AdwCleaner[S02].txt
    2 KB · Просмотры: 8
  • Addition_18-12-2021 13.39.31.txt
    40.7 KB · Просмотры: 1
  • FRST_18-12-2021 13.39.31.txt
    31.3 KB · Просмотры: 1
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-536798931-1054459435-355325497-1002\...\Run: [] => [X]
    HKU\S-1-5-21-536798931-1054459435-355325497-1002\...\MountPoints2: {8d61326f-7676-11eb-8015-902b343086b5} - "F:\Lenovo_Suite.exe" 
    HKU\S-1-5-21-536798931-1054459435-355325497-1002\...\MountPoints2: {c3037100-99ad-11eb-807a-902b343086b5} - "F:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-536798931-1054459435-355325497-1002\...\MountPoints2: {d5ca2096-3de9-11ec-82f8-364b50b7ef2d} - "F:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-536798931-1054459435-355325497-1002\...\MountPoints2: {dee1c517-3d9e-11ec-82f6-902b343086b5} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-536798931-1054459435-355325497-1002\...\MountPoints2: {e0c34615-a7e7-11eb-80aa-902b343086b5} - "F:\Lenovo_Suite.exe" 
    HKU\S-1-5-18\...\Run: [(WindowsRuntimeBroker)] => C:\Windows\TEMP\FcXboZwMqAwg\RuntimeBroker.exe (Нет файла) <==== ВНИМАНИЕ
    2021-11-22 17:29 - 2021-11-22 16:30 - 006699592 _____ (©Microsoft) C:\Users\Public\@Microsoft_Security_Host.exe
    ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
    ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
    ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
    ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
    ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [788]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [788]
    AlternateDataStreams: C:\Users\Все пользователи:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи:NT2 [788]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [788]
    AlternateDataStreams: C:\Users\Домовёнок КУЗЯ\Application Data:NT [40]
    AlternateDataStreams: C:\Users\Домовёнок КУЗЯ\Application Data:NT2 [788]
    AlternateDataStreams: C:\Users\Домовёнок КУЗЯ\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\Домовёнок КУЗЯ\AppData\Roaming:NT2 [788]
    FirewallRules: [{25F45CFC-81B4-454E-B8E3-173A21EB706B}] => (Allow) D:\Games\Wargaming.net\GameCenter\wgc.exe => Нет файла
    FirewallRules: [TCP Query User{46CC1243-BEB3-423C-A702-DFC95EF629B1}E:\games\world_of_tanks_ru\win64\worldoftanks.exe] => (Allow) E:\games\world_of_tanks_ru\win64\worldoftanks.exe => Нет файла
    FirewallRules: [UDP Query User{EEF04552-9BF5-44FF-B639-07CFEC7AA9ED}E:\games\world_of_tanks_ru\win64\worldoftanks.exe] => (Allow) E:\games\world_of_tanks_ru\win64\worldoftanks.exe => Нет файла
    FirewallRules: [TCP Query User{8A576B0E-AD04-43E2-B4E6-8F3AC1A90122}D:\games\wargaming.net\gamecenter\dlls\wgc_renderer_host.exe] => (Allow) D:\games\wargaming.net\gamecenter\dlls\wgc_renderer_host.exe => Нет файла
    FirewallRules: [UDP Query User{6622CD36-ED30-4BE2-9839-554B14255350}D:\games\wargaming.net\gamecenter\dlls\wgc_renderer_host.exe] => (Allow) D:\games\wargaming.net\gamecenter\dlls\wgc_renderer_host.exe => Нет файла
    FirewallRules: [{36A7774B-8C14-43C3-8C87-87266F27615D}] => (Allow) D:\SteamLibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла
    FirewallRules: [{B7CA2D35-4E21-46A8-BCDD-DFEAAB5ED9DE}] => (Allow) D:\SteamLibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла
    FirewallRules: [{A0A67F43-43BF-47F5-8EF4-D7EA86C69640}] => (Allow) C:\Users\Домовёнок КУЗЯ\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
    FirewallRules: [{E98AC04E-E267-454D-96BE-5EE87673FCDF}] => (Allow) D:\SteamLibrary\steamapps\common\Heroes & Generals\hngsteamlauncher.exe => Нет файла
    FirewallRules: [{3B268EAA-FD27-4F6D-99A4-074A16E0DEE4}] => (Allow) D:\SteamLibrary\steamapps\common\Heroes & Generals\hngsteamlauncher.exe => Нет файла
    FirewallRules: [TCP Query User{F4B0307B-6C77-41E9-B367-F818ECFCD98E}E:\games\world_of_tanks_ru\wargaming.net\gamecenter\wgc.exe] => (Allow) E:\games\world_of_tanks_ru\wargaming.net\gamecenter\wgc.exe => Нет файла
    FirewallRules: [UDP Query User{64644233-F852-4ADC-8986-2D0C21DE78EB}E:\games\world_of_tanks_ru\wargaming.net\gamecenter\wgc.exe] => (Allow) E:\games\world_of_tanks_ru\wargaming.net\gamecenter\wgc.exe => Нет файла
    FirewallRules: [TCP Query User{797C7936-A4C2-4C76-A9A8-42F13FC0CD39}E:\games\world_of_tanks_ru\wargaming.net\gamecenter\dlls\wgc_renderer_host.exe] => (Allow) E:\games\world_of_tanks_ru\wargaming.net\gamecenter\dlls\wgc_renderer_host.exe => Нет файла
    FirewallRules: [UDP Query User{54AE44C0-06BD-4E6F-9E9B-F1C1A60951FD}E:\games\world_of_tanks_ru\wargaming.net\gamecenter\dlls\wgc_renderer_host.exe] => (Allow) E:\games\world_of_tanks_ru\wargaming.net\gamecenter\dlls\wgc_renderer_host.exe => Нет файла
    FirewallRules: [{E7A4971B-7703-442E-BE01-5F7D9BB4A978}] => (Allow) D:\SteamLibrary\steamapps\common\KillingFloor\System\KillingFloor.exe => Нет файла
    FirewallRules: [{0241FB98-473F-4F78-BE99-F226ADB055B2}] => (Allow) D:\SteamLibrary\steamapps\common\KillingFloor\System\KillingFloor.exe => Нет файла
    FirewallRules: [{52F907C3-9FE5-4E68-AA8B-D2A400C45F3D}] => (Allow) C:\Windows\SysWOW64\sysfiles\rutserv.exe => Нет файла
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.


Подробнее читайте в этом руководстве.


После понаблюдайте за системой, если проблем не будет, то будем завершать лечение.
 
Ну вроде как все работает, вот последний лог который я сделал
 

Вложения

  • Fixlog_18-12-2021 14.09.08.txt
    12.9 KB · Просмотры: 1
Второй раз скрипт запускать необязательно. Есть информация по карантину от коллег из вирлаба.

@Microsoft_Security_Host.exe - Trojan-Ransom.Win32.Encoder.org, т.е шифровальщик. Так, что проверьте текстовые файлы, фото, нет ли зашифрованного.

Похоже на шифровальщика, запущенного удаленно через remote utility. После дезинфекции нужно сменить все пароли, используемые на компьютере.

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки

Запустите AdwCleaner. В меню Параметры прокрутите вниз и выберите Удалить.
 
если я переустановлю систему, эти файлы могут остаться?
 
Мы их все удалили уже.
 
вот лог
 

Вложения

  • SecurityCheck.txt
    7.8 KB · Просмотры: 10
Исправьте по возможности. И не забудьте пароли.

--------------------------- [ FirewallWindows ] ---------------------------
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows

------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
------------------------------- [ Imaging ] -------------------------------
GIMP 2.8.16 v.2.8.16 Внимание! Скачать обновления
paint.net v.4.2.15 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.310 Внимание! Скачать обновления
WhatsApp v.2.2140.7 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera GX Stable 81.0.4196.61 v.81.0.4196.61 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Microsoft Edge v.96.0.1054.57 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
WindowsRar 5.72.0.5625 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу