Перезагрузка при подключении к интернету

[QUOTE]Trojan:Win32/Critet.BS
5
Критический
8
Троян
[url]http://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Critet.BS&threatid=2147726294&enterprise=0[/url]
1
1
3
%%818
C:\Windows\explorer.exe
ф-DNS\ф
file:_F:\FRST.exe[/QUOTE]Microsoft Antimalware постоянно ловит троян в файле FRST.exe, проверьте его на virustotal.com и дайте ссылку на результат.

Каждой перезагрузке предшествуют два события:[QUOTE]Превышение времени ожидания (30000 мс) при ожидании подключения службы "RtkBleServ".Сбой при запуске службы "CHEMCAD System Authorization" из-за ошибки
Системе не удается найти указанный путь.[/QUOTE]Отключите две эти службы. А REALTEK Bluetooth Driver удалите лучше для верности, к тому же устаревшая, кажется, версия.

[QUOTE]Теневая копия тома C: прервана из-за сбоя ввода-вывода на томе C:.[/QUOTE]Тоже на заметку...

Пока всё, завтра на свежую голову продолжу курить логи.

[url]https://www.virustotal.com/#/file/3f409dac964e0c139db25bcef0ad33cada66b121895a381a0d387cd07ba4eb0f/detection[/url]
FRST.exe загружен и отправлен на проверку с "чистого" компа windows 10

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

отправка с заражённой машины -
У вас нет разрешения на открытие этого файла
обратитесь к владельцу файла или к администратору сети, чтобы получить разрешение.

файл удаляется...

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

если выполнить такой cmd
[SPOILER]set devmgr_show_nonpresent_devices=1
cd %SystemRoot%\System32
start devmgmt.msc[/SPOILER]
и поставить галочку в Вид - Показать скрытые устройства
то в ветке Драйверы несамонастраиваемых устройств
видны куча странных драйверов, которых нет в нормальных компах.
к сожалению могу как получить это в текстовом виде не знаю
вот такого типа MpKslea02ed4d больше чем на два экрана.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

службы RtkBleServ и CHEMCAD System Authorization отключены
REALTEK Bluetooth Driver удалён
перезагружено
перезагрузка при подключении к "проблемному" роутеру...

[QUOTE=Dflz;1478106][url]https://www.virustotal.com/#/file/3f409dac964e0c139db25bcef0ad33cada66b121895a381a0d387cd07ba4eb0f/detection[/url]
FRST.exe загружен и отправлен на проверку с "чистого" компа windows 10
Это естественно, там он загружен чистым. [/QUOTE]
[QUOTE=Dflz;1478106]отправка с заражённой машины -
У вас нет разрешения на открытие этого файла
обратитесь к владельцу файла или к администратору сети, чтобы получить разрешение.

файл удаляется...[/QUOTE]Блокирует и удаляет антивирус.
Вот потому-то интересует тот, что на проблемном компьютере. Похоже, подменяется при скачивании.
Попробуйте скачать, отключив в антивирус, упакуйте в архив ZIP с паролем [B]virus[/B] и загрузите в карантин.
[QUOTE=Dflz;1478106]если выполнить такой cmd
[SPOILER]set devmgr_show_nonpresent_devices=1
cd %SystemRoot%\System32
start devmgmt.msc[/SPOILER]
и поставить галочку в Вид - Показать скрытые устройства
то в ветке Драйверы несамонастраиваемых устройств
видны куча странных драйверов, которых нет в нормальных компах.
к сожалению могу как получить это в текстовом виде не знаю
вот такого типа MpKslea02ed4d больше чем на два экрана.[/QUOTE]Это драйвера MS Antimalware.

[QUOTE=Dflz;1478106]перезагрузка при подключении к "проблемному" роутеру...[/QUOTE]
Вот его настройки бы посмотреть, DNS в первую очередь.

роутер перезагружен с возвратом к заводским настройкам
внешний адрес - динамический.
удалил всё что упоминало антивирусы...
удалил мелкомягкий антивирусник - удалось скачать frst (отключение не помогало)
удалось выполнить скрипт предложенный выше.
но при подключении в "проблемному роутеру" - перезагрузка...

Сделайте лог [url=http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657]сканирования МВАМ.[/url]

log MBAM

Удалите в MBAM (переместите в карантин) всё найденное.

[QUOTE=Vvvyg;1478175]Удалите в MBAM (переместите в карантин) всё найденное.[/QUOTE]

перезагрузка продолжается

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

один пункт не перемещается в карантин

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

удалён вручную
не помогло

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

удалил все драйвера что связаны с сетью и реалтеком
скачал и установил новые - с "хорошим" одним роутером работает с "вредным" - перезагрузка
это при том, что Malwarebytes запущен...

Перезагрузка сразу после подключения?

[QUOTE=Vvvyg;1478202]Перезагрузка сразу после подключения?[/QUOTE]

как только происходит распознавание подключения (и возможность получения мак адреса шлюза) перезагрузка.
когда принесли для выявления вируса - удалось подключиться к инету без проблем. некоторое время ноут работал в offline, а при подключении к инету перегрузился. потом было обращение сюда, и, видимо, сам зловред был удалён, но остались его следы, т.к. сейчас подключение к другому роутеру не вызывает перегрузки, а перегрузка только при подключении к "старым" шлюзам (которые идентифицируются по мак адресу, где-то прописанному). Но при работе в безопасном режиме с подключением сетевых драйверов - это не проявляется и не проявлялось даже при наличии зловреда.

первоначально диск был вынут из ноута и подключен дополнительным диском к win10, на котором стоит аваст. было запущено сканирование данного диска в режиме "сканирование при загрузке" - сканирование запустилось, но через некоторое время ком выключился...
был произведён повторный запуск такого сканирования - комп выключился...
была попытка сканирования в нормальном режиме - комп выключился.
проверка подключенного диска c chkdsk прошла без проблем.
чистый комп прошёл сканирование без подключенного диска - без проблем....

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

перезагрузка происходит именно по идентификации ip шлюза
если в настройках сети в поле шлюза ничего не прописано, а сетевой шнурок соединяет роутер и ноут - перезагрузки нет
как только прописывается ip шлюза , кнопка ок - и перезагрузка.....

Проверьте проблему при [URL="https://support.microsoft.com/ru-ru/help/929135/how-to-perform-a-clean-boot-in-windows"]"чистой" загрузке[/URL] системы.
Если не перезагружается - ищите виноватую программу.

Перегружается....

не сохраняется адрес шлюза

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

удалил перечень соединений в
HKLM\Software\Microsoft\Windows NT\CurrentVersion\NetworkList

подключаю к "нормальному" роутеру - предлагает выбрать тип сети - выбираю общественная -нет соединения с инетом
меняю на домашняя/предприятия - перезагрузка

Проблема с вирусами не связана, я теперь в этом полностью уверен.

Попробуйте [URL="http://www.tweaking.com/files/setups/tweaking.com_windows_repair_aio.zip"]Windows Repair (All In One)[/URL], запустите, "Jump To Repairs", "Open Repairs", отметьте пункты:
[B]13 "Repair network"[/B] и нажмите "[B]Start Repairs[/B]".

После перезагрузки проверьте эффект.

не помогло...

У меня нет пока вариантов.

как можно узнать разницу между работающими сервисами/программами в нормальном режиме и защищенном с сетевыми драйверами.
почему введённый ip шлюза не сохраняется? где это можно посмотреть в реестре?

[QUOTE=Dflz;1478331]как можно узнать разницу между работающими сервисами/программами в нормальном режиме и защищенном с сетевыми драйверами.[/QUOTE]Например, по образу автозапуска UVS, сделанном в разных режимах.

[QUOTE=Dflz;1478331]почему введённый ip шлюза не сохраняется? где это можно посмотреть в реестре?[/QUOTE]
Если роутер раздаёт адреса по DHCP, то шлюз прописывается автоматически.

Скачайте утилиту [URL="http://download.bleepingcomputer.com/farbar/MiniToolBox.exe"]MiniToolBox[/URL] и сохраните на рабочем столе.

Запустите [U]при подключённом интернете[/U], отметьте следующие пункты:

[LIST][*]Report IE Proxy Settings[*]Report FF Proxy Settings[*]List content of Hosts[*]List IP Configuration[*]List Winsock Entries[*]List last 10 Event Viewer Errors[*]List Installed Programs[*]List Devices Only Problems[*]List Users, Partitions and Memory size[*]List Minidump Files[*]List Restore Points[/LIST]

и нажмите Старт.

После завершения сбора информации откроется отчет [b]MTB.txt[/b], прикрепите его к своему сообщению. Если вы закрыли отчет утилиты, он будет находиться в той же папке, откуда была запущена утилита.