Проблемы с Windows

Printable View

30.09.2023, 18:06
gmwh

Вложений: 1

Проблемы с Windows

Здравствуйте.
Не запускался автономный модуль Windows Defender и Безопасный режим загрузки, невозможно было войти в БИОС.
После свежего биоса это пропало, но осталась Неизвестная учетная запись файлов Рабочего стола во вкладке Безопасность, которая не удаляется.
30.09.2023, 18:07
Info_bot

Уважаемый(ая) [B]gmwh[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
30.09.2023, 19:09
Vvvyg

Что за неизвестная учётная запись, подробнее.

Перетащите лог Check_Browsers_LNK.log из папки Autologger на [url=https://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O4 - HKCU\..\Run: [DriverMax_RESTART] = "H:\Program\DriverMax\drivermax.exe" -RESTART (file missing)
O4 - HKCU\..\Run: [RAM Idle] = C:\Program Files (x86)\RAM Idle\RAMEngine.exe (file missing)
O22 - Tasks: {382206AF-3B40-4179-A5AB-6282A401826A} - C:\Users\user\AppData\Local\Temp\BB2108CF-24D1-4260-A166-6C5AB958715F\ga_service.exe /uninstall (file missing)[/code]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B].

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
30.09.2023, 20:40
gmwh

Вложений: 3

[QUOTE=Vvvyg;1528859]Что за неизвестная учётная запись, подробнее.
.[/QUOTE]
Если её попытаться удалить, то имя при отказе меняется на другое.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[b]Vvvyg[/b], Спасибо.Файлы
01.10.2023, 10:04
Vvvyg

В системе нет этой учётной записи, просто в параметрах файла остались записи о правах для отсутствующего уже в системе пользователя. возможно, он был до обновленияили переустановки системы. Страшного ничего. Сделайте то, что рекомендуют здесь: [URL="https://answers.microsoft.com/ru-ru/windows/forum/all/подскажи/1eed146a-7019-4108-b9f7-ab71c0c50d60"]Подскажите пожалуйста, как удалить неизвестную учетную запись[/URL] - тот же случай.
01.10.2023, 11:15
gmwh

Вложений: 1

Вот Удаленный помошник и Удаленное управление компьютером тоже были включены, когда определялись проблемы, я отключил их ещё до создания логов.
Но сейчас ещё исчез режим сна, как будто его и не было.
И в Параметры Учетные записи пункт "Варианты входа" висит 15 секунд, а потом пишет Требуется вход но После пробуждения компьютера. А кнопки сон теперь нет, т.е. замкнутый круг.
А нельзя ли сегодня оценить вероятность, что файлы с С:/ попали к кому-то ещё? В удаленном задании было кажется 13 триггеров.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Картинка
01.10.2023, 13:30
Vvvyg

Вы что-то творите с системой, при этом обратились на специализированный форум по лечению вирусов. Не совсем по профилю, по нашей части ничего подозрительного.
Если задание удалено, что там было - уже не узнать.
01.10.2023, 13:42
gmwh

[b]Vvvyg[/b], Жаль, и я не знаю много это 13 или мало. Я пользовался твикером, это правда, ну а кто не пробовал отключать телеметрию?
Но всё равно, спасибо! Выполню Ваши рекомендации.
01.10.2023, 18:19
Vvvyg

Небольшая чистка.

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
CHR HKU\S-1-5-21-2129205359-3624487938-1255338883-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
S3 cpuz148; \??\C:\WINDOWS\temp\cpuz148\cpuz148_x64.sys [X]
CustomCLSID: HKU\S-1-5-21-2129205359-3624487938-1255338883-1001_Classes\CLSID\{227C9E8F-71A1-4B23-9076-682A1A8EAAED}\localserver32 -> "c:\program files\macrium\common\reflectmonitor.exe" -ToastActivated => Нет файла
CustomCLSID: HKU\S-1-5-21-2129205359-3624487938-1255338883-1001_Classes\CLSID\{2EF7E390-2F7C-4F9A-9B7D-4A87B56B711D}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.173.51\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2129205359-3624487938-1255338883-1001_Classes\CLSID\{38971E90-14FD-44F6-AA45-1447B653F873}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.173.45\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2129205359-3624487938-1255338883-1001_Classes\CLSID\{608D599A-DCA6-4A7C-BED7-AFCD8465345A}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.175.29\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2129205359-3624487938-1255338883-1001_Classes\CLSID\{7C9A348D-C321-47AC-904F-150312A5430F}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.175.27\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2129205359-3624487938-1255338883-1001_Classes\CLSID\{E8791438-3525-48BF-A600-C577AD1674C2}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.173.49\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2129205359-3624487938-1255338883-1001_Classes\CLSID\{F1CBF5EB-347F-4E4C-90AC-E43339FC34EC}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.173.55\psuser_64.dll => Нет файла
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} => C:\WINDOWS\System32\atiacm64.dll -> Нет файла
FirewallRules: [UDP Query User{37155497-86C4-4A0F-9A52-ED111F9D02B2}C:\program files (x86)\left 4 dead 2\left4dead2.exe] => (Block) C:\program files (x86)\left 4 dead 2\left4dead2.exe => Нет файла
FirewallRules: [TCP Query User{FB153462-8301-4BB4-A1B3-A5733C17C243}C:\program files (x86)\left 4 dead 2\left4dead2.exe] => (Block) C:\program files (x86)\left 4 dead 2\left4dead2.exe => Нет файла
FirewallRules: [UDP Query User{B4F19B0E-0C4C-4B30-9BA9-9AC8183AFC52}C:\program files (x86)\the witcher 2.assassins of kings.enhanced edition.v 3.4.4.1 + 12 dlc\bin\witcher2.exe] => (Block) C:\program files (x86)\the witcher 2.assassins of kings.enhanced edition.v 3.4.4.1 + 12 dlc\bin\witcher2.exe => Нет файла
FirewallRules: [TCP Query User{93FB725F-575B-49E2-A464-751C432F0B3C}C:\program files (x86)\the witcher 2.assassins of kings.enhanced edition.v 3.4.4.1 + 12 dlc\bin\witcher2.exe] => (Block) C:\program files (x86)\the witcher 2.assassins of kings.enhanced edition.v 3.4.4.1 + 12 dlc\bin\witcher2.exe => Нет файла
FirewallRules: [TCP Query User{E53CAB31-712B-466C-A96C-A53145DF2F94}C:\program files (x86)\left 4 dead 2\left4dead2.exe] => (Block) C:\program files (x86)\left 4 dead 2\left4dead2.exe => Нет файла
FirewallRules: [UDP Query User{6FAB4F65-F86B-48C6-ADED-1FB7226C5F5D}C:\program files (x86)\left 4 dead 2\left4dead2.exe] => (Block) C:\program files (x86)\left 4 dead 2\left4dead2.exe => Нет файла
FirewallRules: [{2F8197D4-8B33-4D45-8760-C4650A3F0397}] => (Allow) C:\Users\user\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{D9946ED2-A483-42BB-9E4B-012E4F9507BE}] => (Allow) C:\Users\user\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{722DAD90-F996-425F-844C-1B1413A0D948}] => (Allow) C:\Users\user\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{F678B791-97CA-41C9-BCE5-6366444966AD}] => (Allow) C:\Users\user\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{F530403C-7574-4472-B894-986627BF084D}] => (Allow) C:\Users\user\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{88EB999D-C08F-4B1B-99AF-9154211EB9EC}] => (Allow) C:\Users\user\MediaGet2\QtWebEngineProcess.exe => Нет файла
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
del /s /q C:\Windows\Minidump\*.dmp
ipconfig /flushdns
sfc /scannow
endbatch:
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен
01.10.2023, 19:21
gmwh

Вложений: 1

Я делал с отключенным интернетом:
01.10.2023, 20:58
Vvvyg

Мусор почистили, на этом всё.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.