Решена Запускается командная строка и при выключении выходит синий экран

Статус
В этой теме нельзя размещать новые ответы.

AuuuF

Новый пользователь
Сообщения
8
Реакции
0
Доброго времени суток!
Компьютер не мой, моей сестры, поэтому предистория с ее слов.
Ею по ошибке (скорее даже незнанию) было установлено несколько каких-то подозрительных программ, которые в последствии были удалены, однако осадочек от них остался.
По загрузке ОС и спустя минут 3-5 самопроизвольно запускается командная строка, судя по строкам в которой, происходит загрузка какого-то файла размером в 39 мб. После чего командная строка закрывается. И вот тут то начинается самое интересное.
Если после того, как командная строка запустилась/скрылась попытаться компьютер выключить или перезагрузить выскакивает синее окно ошибки Windows "СRITICAL PROCESS DIED". После чего ПК снова уходит в ребут. И тогда, уже не дожидаясь загрузки командной строки, попробовать выключить или перезагрузить - он успешно выключится/перезагрузится.
Нагуглив возможные причины данной ошибки, мною было сделано следующее:
1) Прошёлся курейтом - в темпах обнаружено порядка 60 заражённых объектов. часть из которых перемещена, часть удалена.
2) прошёлся Ccleаner-ом - обнаружено огромное количество ошибок реестра, которые он успешно исправил
3) попытался восстановить систему (благо точки восстановления были) - восстановление прошло с ошибкой и восстановиться не удалось. Из созданных ранее точек также выяснилось что чудесным образом за последние дни были удалены: касперский, касперский секур, защитник яндекса, в общем все что хоть как то может противстоять вирусняку
4) попытался установить все обновления. При проверке которых вышла ошибка. Обновить компьютер тоже не удалось
5) Scannow и chkdsk блочатся - работать не хотят
6) Emsisoft-овский malware запустился, скачал себе обновления и встал, после чего стал выдавать ошибку: "не могу, говорит, обратиться к службе приложений и ля ля ля"
Если далее следовать советам некоторых сайтов, необходимо пройтись ram-тестом по оперативке либо же совсем сносить винду. К сожалению, возможности пройтись рам тестом нет, да и нужды в этом не вижу. Очевидно же что проблема программная. Да и винду сносить не хочется и совсем совсем не желательно. Очень надеюсь на вашу помощь. Скриншоты командной строки, выдаваемой ошибки и логи прилагаю.
 

Вложения

  • CollectionLog-2017.12.19-15.13.zip
    142.7 KB · Просмотры: 2
  • cmd.jpg
    cmd.jpg
    21.3 KB · Просмотры: 72
  • err.jpg
    err.jpg
    49.1 KB · Просмотры: 66
Последнее редактирование:
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\User\AppData\Local\cbmWrRvPcfM.bat', '');
 QuarantineFile('C:\Users\User\AppData\Local\xWBlg.bat', '');
 ExecuteFile('schtasks.exe', '/delete /TN "LxcBJoPkQqy" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "QRviOY" /F', 0, 15000, true);
 DeleteFile('C:\Users\User\AppData\Local\cbmWrRvPcfM.bat', '32');
 DeleteFile('C:\Users\User\AppData\Local\xWBlg.bat', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Для повторной диагностики запустите снова AutoLogger.
Прикрепите свежий CollectionLog.
 
Отправлено с помощью формы.
 
CollectionLog нужно сюда прикрепить, а не на почту.
 
  • Like
Реакции: akok
Хорошо
 

Вложения

  • CollectionLog-2017.12.19-16.53.zip
    141.3 KB · Просмотры: 1
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Сегодня командной строки уже не было. И перезагрузка безо всяких синих экранов. Не знаю что именно могло этому поспособствовать. Но 3-6 пункты моего первого сообщения всё еще в силе. Подозреваю очень многие службы им были отключены. Можно ли убедиться что он удален окончательно?
 

Вложения

  • AdwCleaner[S1].txt
    4.4 KB · Просмотры: 1
Сначала закончим с хвостами и адварью.
1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome
      и нажмите Ok.
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
..
 

Вложения

  • AdwCleaner[C0].txt
    4.1 KB · Просмотры: 1
  • Addition.txt
    49.3 KB · Просмотры: 1
  • FRST.txt
    71.4 KB · Просмотры: 1
  • Shortcut.txt
    95.3 KB · Просмотры: 1
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    SearchScopes: HKU\S-1-5-21-2129576046-775921670-950161428-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B395FD857-BC5E-4081-B40B-DBF3C1EF67D2%7D&gp=811142
    SearchScopes: HKU\S-1-5-21-2129576046-775921670-950161428-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B395FD857-BC5E-4081-B40B-DBF3C1EF67D2%7D&gp=811142
    2017-12-15 00:07 - 2017-12-15 00:07 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignf1e349fa186c5bbe
    2017-12-15 00:05 - 2017-12-15 00:05 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign63f6e9eb13caef51
    2017-12-15 00:05 - 2017-12-15 00:05 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign44cec54eeac70235
    2017-12-15 00:05 - 2017-12-15 00:05 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign10443ff87a77d7d9
    2017-12-11 20:47 - 2017-12-11 20:47 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignf600e33b0f24908d
    2017-12-11 20:47 - 2017-12-11 20:47 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign9ce720f5d5866c89
    2017-12-11 20:47 - 2017-12-11 20:47 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign4aa1a8d861a4e3b9
    2017-12-11 20:43 - 2017-12-11 20:43 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigncb599538480b086b
    2017-12-11 20:43 - 2017-12-11 20:43 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign43b1b052c6892d93
    2017-12-11 20:43 - 2017-12-11 20:43 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign1c003155e961792e
    2017-12-08 15:25 - 2017-12-08 15:25 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignd3b998a95e46a62f
    2017-12-08 15:25 - 2017-12-08 15:25 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign49d34bdcdf27ed9e
    2017-12-07 16:11 - 2017-12-07 16:11 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignb476d8463e1d6482
    2017-12-07 16:11 - 2017-12-07 16:11 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignb4031b1acd7ae0a0
    2017-12-07 16:07 - 2017-12-07 16:07 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign20c967ae30840dcb
    2017-12-07 16:07 - 2017-12-07 16:07 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign094f3db780dee978
    2017-12-07 16:06 - 2017-12-07 16:06 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignb381c17521e589e3
    2017-12-07 16:06 - 2017-12-07 16:06 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign0bddf38f37a9a3eb
    2017-12-07 16:03 - 2017-12-07 16:03 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignee05504b45444c69
    2017-12-07 16:03 - 2017-12-07 16:03 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign191048b5f38dbb59
    2017-12-07 16:02 - 2017-12-07 16:02 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign4878e6ce96f2350c
    2017-12-07 16:02 - 2017-12-07 16:02 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign197119d53be555a0
    2017-12-07 16:01 - 2017-12-07 16:01 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignc40e5580bd8146c6
    2017-12-07 16:01 - 2017-12-07 16:01 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign698f25aa27bc492b
    2017-12-07 15:59 - 2017-12-07 15:59 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigndcce577dec74c2bd
    2017-12-07 15:59 - 2017-12-07 15:59 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign085f55c1c2fde4ae
    2017-12-07 15:54 - 2017-12-07 15:54 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignf5602037e66b5d3a
    2017-12-07 15:54 - 2017-12-07 15:54 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign24663a6f160f2c12
    2017-12-07 15:52 - 2017-12-07 15:52 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigne04410307c9c3c95
    2017-12-07 15:52 - 2017-12-07 15:52 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign99f6cbae83b17f34
    2017-12-07 15:51 - 2017-12-07 15:51 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignfa1ff0bcc23f5a41
    2017-12-07 15:51 - 2017-12-07 15:51 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign7b008c8108431720
    2017-12-07 15:40 - 2017-12-07 15:40 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignc0185a0689e69db1
    2017-12-07 15:40 - 2017-12-07 15:40 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignac37a0b23581744a
    2017-12-07 15:39 - 2017-12-07 15:39 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign90f3f088f014b544
    2017-12-07 15:39 - 2017-12-07 15:39 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign18d01f85bb491f19
    2017-12-07 15:38 - 2017-12-07 15:38 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignef30f66663d9e40e
    2017-12-07 15:38 - 2017-12-07 15:38 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign0d393578cd2717a3
    2017-12-07 15:37 - 2017-12-07 15:37 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign926e69cbbc36316e
    2017-12-07 15:37 - 2017-12-07 15:37 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign6ba54800494bd5c8
    2017-12-07 15:22 - 2017-12-07 15:22 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign83f3b85a65015dd6
    2017-12-07 15:22 - 2017-12-07 15:22 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign7b87a4fcea08c8ad
    2017-12-07 15:14 - 2017-12-07 15:14 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignd6f2bbb2e6ea50bd
    2017-12-07 15:14 - 2017-12-07 15:14 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign2480ab3d4cb08cee
    2017-12-05 15:20 - 2017-09-29 16:42 - 000001217 _____ C:\Users\User\AppData\Local\LHjIdjNeBnE
    2017-12-05 15:20 - 2017-09-29 16:42 - 000001132 _____ C:\Users\User\AppData\Local\uYzkAyg
    2017-12-05 15:20 - 2017-09-29 16:42 - 000000069 _____ C:\Users\User\AppData\Local\cbmWrRvPcfM
    2017-12-05 15:20 - 2017-09-29 16:42 - 000000065 _____ C:\Users\User\AppData\Local\xWBlg
    2017-11-25 11:47 - 2017-11-25 11:47 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignaa722764d2ed6c48
    2017-11-25 11:47 - 2017-11-25 11:47 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign20b47c7148c603f2
    2017-11-21 14:25 - 2017-11-21 14:25 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigne22f0852188a2ad6
    2017-11-21 14:25 - 2017-11-21 14:25 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign1f5ce9c2c37106ee
    Task: {DC507B4A-C493-4B27-BFBA-A49382DEF3EB} - \QRviOY -> No File <==== ATTENTION
    Task: {FE94FD6C-02F2-443F-81B5-4FBFC42E4413} - \LxcBJoPkQqy -> No File <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
...
 

Вложения

  • Fixlog.txt
    12.4 KB · Просмотры: 1
Теперь сообщите, что из проблем осталось? (только не пробуйте восстанавливать систему).
 
Вроде бы всё заработало) спасибо Вам огромное!
Единственное скан показал какие то файлы, не поддающиеся восстановлению. Сильно ли это критично?
 

Вложения

  • part of CSB.txt
    2.7 MB · Просмотры: 2
Для разбора лога CSB создайте тему в профильном разделе Microsoft Windows 10, там больше специалистов которые могут ответить. А тут лечение финализируем

Подготовьте лог лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу