Жду от Вас ранее запрошенных логов, для того чтобы можно было двигаться дальше с решением возникшей проблемы.
Printable View
Жду от Вас ранее запрошенных логов, для того чтобы можно было двигаться дальше с решением возникшей проблемы.
Прилагаю файлы.
Удалите hohosearch,trotux через установку программ в панели управления
Ранее использовали антивирус MCafee?
[CODE]HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfemms => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Service"[/CODE]
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
CHR HomePage: todipycoudusanifertion -> hxxp://google.com/
CHR StartupUrls: todipycoudusanifertion -> "hxxp://mail.ru/cnt/10445?gp=789182","hxxp://www.trotux.com/?z=9b39c82e63d9b926e4aaf9bg7z3q0m9c1b3ofg7w7c&from=qca&uid=WDCXWD10EZEX-21M2NA0_WCC3F3JEDCV3F3JEDCV3&type=hp"
CHR Session Restore: todipycoudusanifertion -> is enabled.
Reg: reg delete "HKU\S-1-5-21-688054549-1006262046-319902169-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\apphide2" /f
Reg: reg delete "HKU\S-1-5-21-688054549-1006262046-319902169-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\apphide2" /f
Reg: reg delete "HKU\S-1-5-21-688054549-1006262046-319902169-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\apphide2" /f
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Также в системных журналах регистрируются проблемы:
[CODE]Error: (08/26/2016 09:09:04 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Служба Темы была неожиданно завершена. Это произошло 2 раз(а). Следующее корректирующее действие будет предпринято через 60000 мсек: Перезапуск службы.
Error: (08/26/2016 09:09:04 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Служба Определение оборудования оболочки была неожиданно завершена. Это произошло 2 раз(а). Следующее корректирующее действие будет предпринято через 60000 мсек: Перезапуск службы.
Error: (08/26/2016 09:09:04 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Служба Служба уведомления о системных событиях была неожиданно завершена. Это произошло 2 раз(а). Следующее корректирующее действие будет предпринято через 300000 мсек: Перезапуск службы.
Error: (08/26/2016 09:09:04 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Служба Планировщик заданий была неожиданно завершена. Это произошло 2 раз(а). Следующее корректирующее действие будет предпринято через 60000 мсек: Перезапуск службы.
Error: (08/26/2016 09:09:04 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Служба Служба профилей пользователей была неожиданно завершена. Это произошло 2 раз(а). Следующее корректирующее действие будет предпринято через 300000 мсек: Перезапуск службы.[/CODE]
> Удалите hohosearch,trotux через установку программ в панели управления
Пытался, не дает...
> Ранее использовали антивирус MCafee?
Да.
> Также в системных журналах регистрируются проблемы
К сожалению мне причина этого не ясна...
Фикс сделаю...
[QUOTE=Алексей Дёменко;1401263]> Удалите hohosearch,trotux через установку программ в панели управления
Пытался, не дает...
[/QUOTE]
- Подготовьте новый лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.
[QUOTE=Алексей Дёменко;1401263]
> Ранее использовали антивирус MCafee?
Да.[/QUOTE]
А планируете в дальнейшем использовать или зачистим остатки драйверов/служб?
SQ, не планируется.
[QUOTE=Алексей Дёменко;1401676]SQ, не планируется.[/QUOTE]
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfemms => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Service"
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
SQ, а что касается прошлого фикса? С ним как быть? Запускать их по очереди? Или можно как-то слить в один?
Если ранее не выполняли, вот тогда объединенный фикс.
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
CHR HomePage: todipycoudusanifertion -> hxxp://google.com/
CHR StartupUrls: todipycoudusanifertion -> "hxxp://mail.ru/cnt/10445?gp=789182","hxxp://www.trotux.com/?z=9b39c82e63d9b926e4aaf9bg7z3q0m9c1b3ofg7w7c&from=qca&uid=WDCXWD10EZEX-21M2NA0_WCC3F3JEDCV3F3JEDCV3&type=hp"
CHR Session Restore: todipycoudusanifertion -> is enabled.
Reg: reg delete "HKU\S-1-5-21-688054549-1006262046-319902169-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\apphide2" /f
Reg: reg delete "HKU\S-1-5-21-688054549-1006262046-319902169-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\apphide2" /f
Reg: reg delete "HKU\S-1-5-21-688054549-1006262046-319902169-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\apphide2" /f
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfemms => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Service"
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Прикрепляю.
На сколько я вижу Вы не выполняли фикс, так как записи до сих пор присутствуют в логах.
Если не применяли фикс, тогда пробуйте вначале воспользоваться утилитой [URL="http://download.mcafee.com/products/licensed/cust_support_patches/MCPR.exe"]MCPR.exe (MCPR (C) McAfee, Inc).[/URL] для удаление остатков от компонентов антивируса McAfee.
Была проблема с доступом к компьютеру пользователя. Поручил выполнение инструкций пользователю, но, судя по всему, что-то не сработало. В понедельник лично все сделаю.
Все инструкции выполнил, логи сделал, прикрепляю.
Сообщите, что с проблемой?
SQ, по словам юзера - сохраняется... Как и раньше первая загрузка (старт компа) выводит ошибку, приходится перезагружать...
[QUOTE=Алексей Дёменко;1405451]SQ, по словам юзера - сохраняется... Как и раньше первая загрузка (старт компа) выводит ошибку, приходится перезагружать...[/QUOTE]
Есть возможность показать скрин ошибки?
Ошибка перестала выскакивать, когда я перенес часть файлов с основного профиля на временный (С:\windows\system32\config\systemprofile). Только так удалось хотя бы избавиться от проблем с зависанием и глюками первой загрузки. Но все равно он его загружает первым хотя уже без сообщений об ошибке и глюков.
Могли бы показать результат выполнения следующих команд в командной строке(cmd.exe) на момент проблемы:
[CODE]reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" /s[/CODE]
[CODE]dir c:\users[/CODE]
"На момент проблемы" - это в первый раз загрузиться и потом ввести команду?
[QUOTE=Алексей Дёменко;1406096]"На момент проблемы" - это в первый раз загрузиться и потом ввести команду?[/QUOTE]
На момент проблемы (первая загрузка после включения ПК).
Выполнено, прилагаю:
[SPOILER]Microsoft Windows [Version 6.3.9600]
(c) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.
C:\Windows\system32>reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\ProfileList" /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
Default REG_EXPAND_SZ %SystemDrive%\Users\Default
ProfilesDirectory REG_EXPAND_SZ %SystemDrive%\Users
ProgramData REG_EXPAND_SZ %SystemDrive%\ProgramData
Public REG_EXPAND_SZ %SystemDrive%\Users\Public
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-
5-18
Flags REG_DWORD 0xc
ProfileImagePath REG_EXPAND_SZ %systemroot%\system32\config\systemprof
ile
Sid REG_BINARY 010100000000000512000000
RefCount REG_DWORD 0x1
State REG_DWORD 0x0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-
5-19
ProfileImagePath REG_EXPAND_SZ C:\Windows\ServiceProfiles\LocalService
Flags REG_DWORD 0x0
State REG_DWORD 0x0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-
5-20
ProfileImagePath REG_EXPAND_SZ C:\Windows\ServiceProfiles\NetworkServi
ce
Flags REG_DWORD 0x0
State REG_DWORD 0x0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-
5-21-688054549-1006262046-319902169-1001
ProfileImagePath REG_EXPAND_SZ C:\Users\Ксения Косарева
Flags REG_DWORD 0x0
State REG_DWORD 0x100
Sid REG_BINARY 01050000000000051500000015E102291E57FA3BD9511113E903000
0
ProfileAttemptedProfileDownloadTimeLow REG_DWORD 0x0
ProfileAttemptedProfileDownloadTimeHigh REG_DWORD 0x0
ProfileLoadTimeLow REG_DWORD 0x0
ProfileLoadTimeHigh REG_DWORD 0x0
RefCount REG_DWORD 0x1
RunLogonScriptSync REG_DWORD 0x0
C:\Windows\system32>dir c:\users
Том в устройстве C имеет метку Acer
Серийный номер тома: 42B3-192B
Содержимое папки c:\users
18.01.2016 22:32 <DIR> .
18.01.2016 22:32 <DIR> ..
31.05.2016 12:32 <DIR> Public
15.07.2016 15:53 <DIR> Ксения Косарева
0 файлов 0 байт
4 папок 362*645*401*600 байт свободно[/SPOILER]
Кстати, при включении он поприветствовал и пошли какие-то настройки. Возм. у него в какой-то "автозагрузке" что-то пытается постоянно внести изменения.
Такое ощущение, что идет восстановление за предыдущий период.
Предоставьте пожалуйста новый лог утилиты FRST, согласно следующей инструкции:
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
Посмотрел ещё раз что происходит при первой загрузке. Выводятся по очереди следующие сообщения:
[QUOTE]Привет.[/QUOTE]
[QUOTE]Мы выполняем настройку.[/QUOTE]
[QUOTE]Вы можете установить новые приложения из магазина.[/QUOTE]
[QUOTE]Начинаем.[/QUOTE]
Сделал логи FRST в двух вариантах: в первой загрузке и во второй. Прилагаю.
Каким профилем в google chrome пользуетесь?
[CODE]
CHR Profile: C:\Users\Ксения Косарева\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-07-15] <==== ATTENTION
CHR Profile: C:\Users\Ксения Косарева\AppData\Local\Google\Chrome\User Data\todipycoudusanifertion [2016-10-06] <==== ATTENTION
[/CODE]
[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction - Chrome <======= ATTENTION
CHR StartupUrls: todipycoudusanifertion -> "hxxp://mail.ru/cnt/10445?gp=789182","hxxp://www.trotux.com/?z=9b39c82e63d9b926e4aaf9bg7z3q0m9c1b3ofg7w7c&from=qca&uid=WDCXWD10EZEX-21M2NA0_WCC3F3JEDCV3F3JEDCV3&type=hp"
CHR Session Restore: todipycoudusanifertion -> is enabled.
S2 mfemms; "C:\Program Files\Common Files\McAfee\SystemCore\\mfemms.exe" [X]
Reg: reg delete "HKU\S-1-5-21-688054549-1006262046-319902169-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\apphide2" /f
Reg: reg delete "HKU\S-1-5-21-688054549-1006262046-319902169-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\svchost0" /f
Reg: reg delete "HKU\S-1-5-21-688054549-1006262046-319902169-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\BaiduClient" /f
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
подозрения есть на неудавщиеся обновление, предоставьте пожалуйста следующие логи:
[CODE]%windir%\Logs\CBS\CBS.log
%windir%\WindowsUpdate.log[/CODE]
по посту [url]http://virusinfo.info/showthread.php?t=202062&p=1392349&viewfull=1#post1392349[/url] выполняли только то что в ролике youtube.com было?
[QUOTE]Каким профилем в google chrome пользуетесь?
Код:
CHR Profile: C:\Users\Ксения Косарева\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-07-15] <==== ATTENTION
CHR Profile: C:\Users\Ксения Косарева\AppData\Local\Google\Chrome\User Data\todipycoudusanifertion [2016-10-06] <==== ATTENTION[/QUOTE]
Я так понимаю, судя по датам, что вирус переключил на профиль "todipycoudusanifertion" и сейчас работа ведется в нем...
[QUOTE] Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении![/QUOTE]
Сделано.
[QUOTE]подозрения есть на неудавщиеся обновление, предоставьте пожалуйста следующие логи:
Код:
%windir%\Logs\CBS\CBS.log
%windir%\WindowsUpdate.log[/QUOTE]
Логи прикрепить положенным образом не могу - пишет, что лимит превышен. Закачал на Яндекс.Диск - [url]https://yadi.sk/d/qJCJtKQQwaK5f[/url]
[QUOTE]по посту [url]http://virusinfo.info/showthread.php...=1#post1392349[/url] выполняли только то что в ролике youtube.com было?[/QUOTE]
Нуууу... Вообще да, но потом еще часть файлов из основного скопировал во временный профиль, в противном случае вообще было сложно загрузиться...
Попробуйте отключить обновление Windows Update и по наблюдать если проблема первого запуска еще будет проявляться. Также при выключения ПК посмотрите, если предлагается также установить обновления?
[QUOTE]Попробуйте отключить обновление Windows Update и по наблюдать если проблема первого запуска еще будет проявляться. [/QUOTE]
Имеется в виду просто в настройках обновления запретить автообновление или в службах и т.д.?
[QUOTE]
Также при выключения ПК посмотрите, если предлагается также установить обновления? [/QUOTE]
Последователь говорит, что нет.
Покажите результат следующей команды в командной строке (cmd.exe):
[CODE]reg query "HKU\S-1-5-21-688054549-1006262046-319902169-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\apphide2"
reg query "HKU\S-1-5-21-688054549-1006262046-319902169-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\svchost0"
reg query "HKU\S-1-5-21-688054549-1006262046-319902169-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\BaiduClient"[/CODE]
[QUOTE=Алексей Дёменко;1407253]Имеется в виду просто в настройках обновления запретить автообновление или в службах и т.д.?
[/QUOTE]
Да настройки автообновления временно, а о согласно логу Windows Update попытки обновления происходят.
Посмотрел - в настройках стояло "Искать обновления, но решение об их загрузке и установке принимается мной". Я поставил, чтобы и не искало.
[QUOTE]Покажите результат следующей команды в командной строке (cmd.exe)[/QUOTE]
Не могу. По всем трём строчкам пишет
[QUOTE]Ошибка: Не удается найти указанный раздел или параметр в реестре.[/QUOTE]
Проблема еще осталась?
Да. Тому лично был свидетелем.
Могли бы пожалуйста для тестов создать новую учетную запись(тестовую), далее завершить работу ПК именно под новой учетной записью (т.е. перед выключением ПК, зайти на новую учетную запись и выключить ПК).
Первое включение зайти под новой учетной записью и убедиться, что не создался временный профиль.
P.S. Хотелось бы понять проблема в профиле или в системе.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]