Regedit открывается и сразу закрывается, любая попытка запуска установки autocad ведет себя так же

Printable View

16.06.2024, 14:27
knunhbv303

Regedit открывается и сразу закрывается, любая попытка запуска установки autocad ведет себя так же

Здравствуйте! Пользователь пытался установить автокад с сомнительных источников и теперь Regedit открывается и сразу закрывается, любая попытка запуска установки autocad ведет себя так же.
сканирование cureit чистое
[ATTACH=CONFIG]689695[/ATTACH]
16.06.2024, 14:28
Info_bot

Уважаемый(ая) [B]knunhbv303[/B], спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
17.06.2024, 07:54
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]{Исправление в службах в реестре, значения ImagePath.
Данный скрипт распространяется свободно и может быть модицифирован по согласованию с авторами - представителями SafеZone.сс
При публикации скрипта данный комментарий и ссылка на VirusNet.Info обязателена. }
var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String;
DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String;
ImagePathStr, RootStr, SubRootStr, LangID: string;
AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer;
FinishMsg, RestoreMsg, FixMsg, CheckMsg: String;
RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String;

procedure CheckAndRestoreSection(Root: String);
begin
Inc(AllRoots);
if RegKeyExistsEx('HKLM', Root) then
RegKeyResetSecurity('HKLM', Root)
else
begin
Inc(RootsRestored);
RegKeyCreate('HKLM', Root);
AddToLog(RegSectMsg + Root + RestMsg);
end;
end;

procedure CheckAndRestoreSubSection;
begin
CheckAndRestoreSection(SubRootStr);
end;

procedure RestoredMsg(Root, Param: String);
begin
AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg);
Inc(KeysRestored);
end;

procedure FixedMsg(Root, Param: String);
begin
AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg);
Inc(KeysFixed);
end;

procedure RestoreStrParam(Root, Param, Value: String);
begin
RegKeyStrParamWrite('HKLM', Root, Param, Value);
RestoredMsg(Root, Param);
end;

procedure CheckAndRestoreStrParam(Root, Param, Value: String);
begin
Inc(AllKeys);
if not RegKeyParamExists('HKLM', Root, Param) then
RestoreStrParam(Root, Param, Value);
end;

procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer);
begin
Inc(AllKeys);
if not RegKeyParamExists('HKLM', Root, Param) then
begin
RegKeyIntParamWrite('HKLM', Root, Param, Value);
RestoredMsg(Root, Param);
end;
end;

procedure CheckAndRestoreMultiSZParam(Param, Value: String);
begin
Inc(AllKeys);
if not RegKeyParamExists('HKLM', RootStr, Param) then
begin
ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true);
RestoredMsg(RootStr, Param);
end;
end;

// Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS'
procedure ImagePathFix(Node, Srv: String);
var RegStr: String;
begin
RegStr := 'SYSTEM\' + Node + '\Services\' + Srv;
if RegKeyExistsEx('HKLM', RegStr) then
begin
Inc(AllKeys);
RegKeyResetSecurity('HKLM', RegStr);
RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr);
FixedMsg(RegStr, 'ImagePath');
end;
end;

{ Выполнение исправление всех ключей в ветках -
'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'}
procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String);
var FileServiceDll, CCSNumber: string;
i : integer;
begin
if Srv = 'BITS' then
FileServiceDll := FullPathSystem32 + 'qmgr.dll'
else
FileServiceDll := FullPathSystem32 + 'wuauserv.dll';
RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv;

CheckAndRestoreSection(RootStr);

CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText);
CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText);
CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem');

Inc(AllKeys);
if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then
RestoreStrParam(RootStr, 'ImagePath', ImagePathStr)
else
begin
Dec(AllKeys);
if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then
for i:= 0 to 999 do
begin
if i > 0 then
CCSNumber := FormatFloat('ControlSet000', i)
else
CCSNumber := 'CurrentControlSet';
ImagePathFix(CCSNumber, Srv);
end;
end;

CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1);
CheckAndRestoreIntParam(RootStr, 'Start', 2);
CheckAndRestoreIntParam(RootStr, 'Type', 32);

if Srv = 'BITS' then
begin
CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs');
CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ');
end;

SubRootStr:= RootStr + '\Enum';
CheckAndRestoreSubSection;

CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000');
CheckAndRestoreIntParam(SubRootStr, 'Count', 1);
CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1);

SubRootStr := RootStr + '\Security';
CheckAndRestoreSubSection;

Inc(AllKeys);
if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then
begin
RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00');
RestoredMsg(SubRootStr, 'Security');
end;

SubRootStr:= RootStr + '\Parameters';
CheckAndRestoreSubSection;

Inc(AllKeys);
if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then
begin
RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
RestoredMsg(SubRootStr, 'ServiceDll');
end
else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then
begin
RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
FixedMsg(SubRootStr, 'ServiceDll');
end
end;

{ Главное выполнение }
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Program Files\Autodesk\AdODIS\V1\Setup\AdskAccessServiceHost.exe', '');
DeleteFile('C:\Program Files\Autodesk\AdODIS\V1\Setup\AdskAccessServiceHost.exe', '64');
ClearLog;
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg');
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg');
LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage');
if LangID = '0419' then
begin
DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.';
DispayNameTextWuauServ := 'Автоматическое обновление';
DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.';
DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)';
AddToLog('Операционная система - русская');
FinishMsg := '–––– Восстановление завершено ––––';
RestoreMsg := 'Восстановлено разделов\параметров: ';
FixMsg := 'Исправлено параметров: ';
CheckMsg := 'Проверено разделов\параметров: ';
RegSectMsg := 'Раздел реестра HKLM\';
ParamMsg := 'Параметр ';
ParamValueMsg := 'Значение параметра ';
InRegSectMsg := ' в разделе реестра HKLM\';
CorrectMsg := ' исправлено на оригинальное.';
RestMsg := 'восстановлен.';
end
else
begin
DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.';
DispayNameTextWuauServ := 'Automatic Updates';
DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.';
DispayNameTextBITS := 'Background Intelligent Transfer Service';
AddToLog('Operation system - english');
FinishMsg := '–––– Restoration finished ––––';
RestoreMsg := 'Sections\parameters restored: ';
FixMsg := 'Parameters corrected: ';
CheckMsg := 'Sections\parameters checked: ';
RegSectMsg := 'Registry section HKLM\';
ParamMsg := 'Parameter ';
ParamValueMsg := 'Value of parameter ';
InRegSectMsg := ' in registry section HKLM\';
CorrectMsg := ' corrected on original.';
RestMsg := ' restored.';
end;
AddToLog('');

{ Определение папки X:\Windows\System32\ }
NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory');
ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs';
Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1);
FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\';

AllRoots := 0;
AllKeys := 0;
RootsRestored := 0;
KeysRestored := 0;
KeysFixed := 0;

CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS');
CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv');

AddToLog('');
AddToLog(FinishMsg);
AddToLog('');
AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored));
AddToLog(FixMsg + IntToStr(KeysFixed));
AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys));
SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log');
DeleteFileMask('c:\program files\autodesk', '*', true);
DeleteDirectory('c:\program files\autodesk');
DeleteService('Autodesk Access Service Host');
DeleteService('Autodesk');
DeleteService('AdskNLM');
ExecuteRepair(1);
ExecuteWizard('SCU', 2, 2, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(false);
end.
[/code]Компьютер перезагрузится.

На рабочем столе появится файл Correct_wuauserv&BITS.log, приложте его к следующему сообщению.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B].

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
17.06.2024, 19:55
knunhbv303

Вадим, благодарю за ответ, файлы во вложении
17.06.2024, 21:58
Vvvyg

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
HKU\S-1-5-21-2903352390-3467101877-3601869930-1001\...\Policies\Explorer: []
HKU\S-1-5-21-2903352390-3467101877-3601869930-1001\...\MountPoints2: {6790c8e3-0ec6-11ef-839a-4c77cb2ebd63} - "D:\Setup.exe"
HKU\S-1-5-21-2903352390-3467101877-3601869930-1001\...\MountPoints2: {6790c93a-0ec6-11ef-839a-4c77cb2ebd63} - "E:\Setup.exe"
IFEO\svchost.exe: [GlobalFlag] C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat
HKLM\...\SilentProcessExit\svchost.exe: [MonitorProcess] C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat
IFEO\TrustedInstaller.exe: [GlobalFlag] C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat
HKLM\...\SilentProcessExit\TrustedInstaller.exe: [MonitorProcess] C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat
CMD: type C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat
C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat
Task: {4459215C-4DC5-4439-8D27-67231EA2EDA7} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe --repair (Нет файла)
Task: C:\Windows\Tasks\Восстановление сервиса обновлений Яндекс.Браузера.job => C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2023-11-24] (Microsoft Windows -> Microsoft Corporation)
S3 dosvc; C:\Windows\System32\svchost.exe [55456 2023-11-24] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S3 dosvc; C:\Windows\SysWOW64\svchost.exe [46544 2023-11-24] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1537536 2024-02-29] (Microsoft Windows -> Microsoft Corporation)
2024-06-16 02:56 - 2024-06-16 02:56 - 000000000 ____D C:\Users\dmitr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Autodesk
2024-06-16 02:27 - 2024-06-16 22:11 - 000000000 ____D C:\Users\dmitr\AppData\Roaming\Autodesk Installer
2024-06-16 02:26 - 2024-06-16 02:37 - 000000000 ____D C:\Users\dmitr\AppData\Roaming\Autodesk
2024-06-16 02:26 - 2024-06-16 02:27 - 000000000 ____D C:\ProgramData\Autodesk
2024-06-16 02:26 - 2024-06-16 02:26 - 000000000 ____D C:\Users\dmitr\AppData\Local\Autodesk
CustomCLSID: HKU\S-1-5-21-2903352390-3467101877-3601869930-1001_Classes\CLSID\{345D3165-3889-4694-AB75-A91A27B217E8}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2022\acad.exe => Нет файла
CustomCLSID: HKU\S-1-5-21-2903352390-3467101877-3601869930-1001_Classes\CLSID\{8B4929F8-076F-4AEC-AFEE-8928747B7AE3}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2022\acad.exe /Automation => Нет файла
CustomCLSID: HKU\S-1-5-21-2903352390-3467101877-3601869930-1001_Classes\CLSID\{AA46BA8A-9825-40FD-8493-0BA3C4D5CEB5}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2022\acad.exe /Automation => Нет файла
CustomCLSID: HKU\S-1-5-21-2903352390-3467101877-3601869930-1001_Classes\CLSID\{ddc3f64f-9ca4-4f8e-a7f9-41585303716d}\InprocServer32 -> C:\Program Files\Mozilla Thunderbird\notificationserver.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2903352390-3467101877-3601869930-1001_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2022\ru-RU\acadficn.dll => Нет файла
ContextMenuHandlers1: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
ContextMenuHandlers1: [Kaspersky Free 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.16\x64\shellex.dll -> Нет файла
ContextMenuHandlers1: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17\x64\shellex.dll -> Нет файла
ContextMenuHandlers2: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
ContextMenuHandlers2: [Kaspersky Free 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.16\x64\shellex.dll -> Нет файла
ContextMenuHandlers2: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17\x64\shellex.dll -> Нет файла
ContextMenuHandlers4: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
ContextMenuHandlers4: [Kaspersky Free 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.16\x64\shellex.dll -> Нет файла
ContextMenuHandlers4: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17\x64\shellex.dll -> Нет файла
ContextMenuHandlers6: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
ContextMenuHandlers6: [Kaspersky Free 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.16\x64\shellex.dll -> Нет файла
ContextMenuHandlers6: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17\x64\shellex.dll -> Нет файла
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"pers\"",Filter="__EventFilter.Name=\"pers\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"nut\"",Filter="__EventFilter.Name=\"nut\"::
WMI:subscription\__EventFilter->nut::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 180 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->pers::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 900 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\CommandLineEventConsumer->nut::[CommandLineTemplate => C:\ProgramData\NUL..\StartMenuExperienceHost.exe --ssl sportjump.ru 5050 -e cmd.exe]
WMI:subscription\CommandLineEventConsumer->pers::[CommandLineTemplate => C:\ProgramData\AUX..\ShellExt.dll C:\ProgramData\AUX..\utshellext.dll]
C:\ProgramData\NUL..\StartMenuExperienceHost.exe
C:\ProgramData\AUX..\ShellExt.dll C:\ProgramData\AUX..\utshellext.dll
C:\ProgramData\NUL..
C:\ProgramData\AUX..
HKU\S-1-5-21-2903352390-3467101877-3601869930-1001\Software\Classes\.scr: scrfile => <==== ВНИМАНИЕ
StartBatch:
del /s /q "%userprofile%\AppData\Local\temp\*.*"
sfc /scannow
endbatch:
Reboot:
End::[/CODE]Отключите до перезагрузки антивирус, запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Папку C:\FRST\Quarantine упакуйте с [B][COLOR="#FF0000"]максимальным сжатием[/COLOR][/B] в непрерывный архив, выложите в облако или на файлообменник и дайте ссылку [B][URL="https://virusinfo.info/private.php?do=newpm&u=25279"]в личном сообщении[/URL][/B].
18.06.2024, 22:34
knunhbv303

fixlog во вложении, карантин отправил в личные сообщения
p.s. еще добавился такой момент, что перестал открываться FRST64.exe (открывается и сразу закрывается), решил переименованием исполняемого файла, но до этого он открывался
19.06.2024, 06:42
Vvvyg

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].
19.06.2024, 22:15
knunhbv303

Лог UVS
20.06.2024, 07:29
Vvvyg

Вложений: 1

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.15.7v [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
sfc %Sys32%\WUAUSERV.DLL
zoo %Sys32%\WUAUSERV.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SECURITY CLOUD 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.16\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.16\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.15\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.15\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\22.5.0.1793\INSTALLER\YNDXSTP.EXE
delref %SystemDrive%\USERS\DMITR\APPDATA\LOCAL\PROGRAMS\WHATSAPP\WHATSAPPLAUNCHER.EXE
apply
deltmp[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Скачайте вложенный архив и извлеките из него пять файлов.
[ATTACH=CONFIG]689742[/ATTACH]
Запустите по очереди каждый. При запросе соглашайтесь на внесение изменений в реестр.
Если будут выдаваться ошибки, проделайте это в безопасном режиме.

Перезагрузите систему.

Скачайте [URL="https://www.bleepingcomputer.com/download/farbar-service-scanner/dl/62/"]Farbar Service Scanner[/URL]

Запустите.
Убедитесь, что отмечены следующие пункты:
Internet Services
Windows Firewall
System Restore
Security Center/Action Center
Windows Update
Windows Defender

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему сообщению.
20.06.2024, 19:56
knunhbv303

готово
20.06.2024, 21:08
Vvvyg

Какие остались проблемы?
21.06.2024, 08:09
knunhbv303

пока не проверял, чтобы не нарушить процесс лечения, сейчас протестирую и отпишусь, спасибо

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Вадим, спасибо! Невероятно, все работает! :) служба обновлений завелась, обновления ставятся, автокад ставится, редактор реестра открывается. Можно вкратце сценарий этого лечения? Как поняли, что надо копать в сторону восстановления службы обновления?
21.06.2024, 11:45
Vvvyg

Проблемы со службами были видны уже по логу AVZ:[QUOTE]Нестандартный ключ реестра для системной службы: BITS ImagePath="C:\Windows\System32\svchost.exe -k netsvcs -p"
Нестандартный ключ реестра для системной службы: wuauserv ImagePath="C:\Windows\system32\svchost.exe -k netsvcs -p"
В ходе исследования заданий BITS возникла ошибка. Возможно, служба BITS отключена. Данные по ошибке: Ошибка при выполнении приложения-сервера, ClassID: {4991D34B-80A1-4291-83B6-3328366B9097}[/QUOTE]Их частично пофиксили уже первым скриптом.
В системе были следы майнера, который портит системные службы, так что, случай уже типовой.
22.06.2024, 09:57
knunhbv303

понял, спасибо большое еще раз!