Странное поведение компьютера

**exelente** · 25.12.2017, 16:24

Добрый день, из явных странностей на ноутбуке почему то криво работают ассоциации файлов с программами, не работает PuntoSwitcher, при включении компьютера долго висит черное окно до загрузки Windows, а время загрузки до нормального быстрого включения программ до 5 минут. Антивирус Майкрософт не видит проблем

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 25.12.2017, 16:28

Уважаемый(ая) exelente, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 26.12.2017, 23:09

В системе 2 антивируса: 360 Total Security и vast Free Antivirus, странно, что хоть что-то запускается. Удалите один из них.

Удалите также Mail.Ru Спутник и Кнопка "Яндекс" на панели задач.

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe', '');
 QuarantineFile('C:\Program Files (x86)\Mail.Ru\Guard\GuardMailRu.exe', '');
 QuarantineFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe', '');
 QuarantineFile('C:\Users\Александр\appdata\local\askpartnernetwork\toolbar\updater\idc\idcldr.exe', '');
 QuarantineFile('C:\Users\Александр\appdata\local\askpartnernetwork\toolbar\updater\idc\idcldr_x64.exe', '');
 QuarantineFile('C:\Users\Александр\appdata\local\askpartnernetwork\toolbar\updater\idc\idcsrvstub.dll', '');
 QuarantineFile('C:\Windows\system32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}w64.sys', '');
 DeleteFile('C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe', '32');
 DeleteFile('C:\Program Files (x86)\Mail.Ru\Guard\GuardMailRu.exe', '32');
 DeleteFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe', '32');
 DeleteFile('C:\Users\Александр\appdata\local\askpartnernetwork\toolbar\updater\idc\idcldr.exe', '32');
 DeleteFile('C:\Users\Александр\appdata\local\askpartnernetwork\toolbar\updater\idc\idcldr_x64.exe', '32');
 DeleteFile('C:\Users\Александр\appdata\local\askpartnernetwork\toolbar\updater\idc\idcsrvstub.dll', '32');
 DeleteFile('C:\Windows\system32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}w64.sys', '32');
 DeleteService('{55dce8ba-9dec-4013-937e-adbf9317d990}Gw64');
 DeleteService('{55dce8ba-9dec-4013-937e-adbf9317d990}w64');
 DeleteService('APNMCP');
 DeleteService('WindowsMangerProtect');
 DeleteFileMask('c:\program files (x86)\askpartnernetwork', '*', true);
 DeleteFileMask('c:\program files (x86)\mail.ru', '*', true);
 DeleteFileMask('c:\users\александр\appdata\local\askpartnernetwork', '*', true);
 DeleteDirectory('c:\program files (x86)\askpartnernetwork');
 DeleteDirectory('c:\program files (x86)\mail.ru');
 DeleteDirectory('c:\users\александр\appdata\local\askpartnernetwork');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Guard.Mail.ru.gui', 'command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте лог Malwarebytes AdwCleaner.

**exelente** · 27.12.2017, 14:33

Спасибо большое, про аваст даже не знал, его не было в панели задач
Удалил и, возможно зря, запустил скрипт в AVZ без перезагрузки ПК после удаления аваста, виндовс завис при выключении

При загрузке карантина появилось окно в браузере "Результат загрузки. Ошибка загрузки. Данный файл уже был загружен"
Но как я предполагаю пустой файл возможно не нужен, файлы "idcldr" ранее снес Virus Removal Tool

Повторил анализ Autologger, отчет вложил

**Vvvyg** · 27.12.2017, 16:47

Деинсталлируйте программу MiPony 2.0.2.

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O7 - Policy: [Untrusted Certificate] 08E4987249BC450748A4A78133CBF041A3510033 - Unknown
O7 - Policy: [Untrusted Certificate] 4822824ECE7ED1450C039AA077DC1F8AE3489BBF - Unknown
O7 - Policy: [Untrusted Certificate] C6796490CDEEAAB31AED798752ECD003E6866CB2 - Unknown
O7 - Policy: [Untrusted Certificate] D2DBF71823B2B8E78F5958096150BFCB97CC388A - Unknown
O7 - Policy: [Untrusted Certificate] E1F3591E769865C4E447ACC37EAFC9E2BFE4C576 - Unknown

Сообщите, что с проблемами.

**exelente** · 27.12.2017, 17:58

Загрузка виндовс стала быстрее, но перед его запуском так же курсор сдвигается на 5-6 пустых строк по черному экрану
Punto switcher заработал. из того что я наблюдаю по ассоциациям файлов, autocad так же выдает ошибку, если его запускать кликом по файлу dwg, вложил скрин. Остальное вроде в порядке

**Vvvyg** · 27.12.2017, 20:28

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**exelente** · 28.12.2017, 00:56

Приложил все три файла, которые генерит программа

- - - - -Добавлено - - - - -

Есть ли какая то программа для анализа, которую можно запустить из безопасного режима виндовс?

**Vvvyg** · 28.12.2017, 07:17

Сообщение от exelente

Приложил все три файла, которые генерит программа

Просил 2, Shortcut.txt - лишний.

Сообщение от exelente

Есть ли какая то программа для анализа, которую можно запустить из безопасного режима виндовс?

Есть, но зачем?

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
Handler: skypec2c - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll No File
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iehjdlicamopmllhekhgnlbjaboeekof] - C:\ProgramData\SaveByclick\iehjdlicamopmllhekhgnlbjaboeekof.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\Александр\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pgafcinpmmpklohkojmllohdhomoefph] - C:\ProgramData\Browser Manager\2.5.976.107\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
S0 14AC8EAFD6; system32\drivers\14AC8EAFD6.sys [X]
U0 aswVmm; no ImagePath
S3 dbx; system32\DRIVERS\dbx.sys [X]
S1 jwgdgkij; \??\C:\Windows\system32\drivers\jwgdgkij.sys [X]
2017-10-10 05:08 - 2017-10-10 23:51 - 007649280 _____ C:\Program Files (x86)\GUT6652.tmp
2017-10-10 05:08 - 2017-10-10 05:08 - 000000000 ____D C:\Program Files (x86)\GUM6641.tmp
2017-10-04 14:07 - 1997-11-03 22:10 - 000277776 _____ (Microsoft Corporation) C:\Windows\SysWOW64\temp.00F
2017-10-04 14:07 - 1997-09-18 00:00 - 000490256 _____ (Microsoft Corporation) C:\Windows\SysWOW64\temp.012
2017-10-04 14:07 - 1997-05-01 00:00 - 000230672 _____ (Microsoft Corporation) C:\Windows\SysWOW64\temp.00A
2017-10-04 14:07 - 1997-05-01 00:00 - 000184832 _____ (Microsoft Corporation) C:\Windows\SysWOW64\temp.00C
2017-10-04 14:07 - 1997-05-01 00:00 - 000141312 _____ (Microsoft Corporation) C:\Windows\SysWOW64\temp.00E
2017-10-04 14:07 - 1997-05-01 00:00 - 000087824 _____ (Microsoft Corporation) C:\Windows\SysWOW64\temp.009
2017-10-04 14:07 - 1997-05-01 00:00 - 000067072 _____ (Microsoft Corporation) C:\Windows\SysWOW64\temp.00D
2017-10-04 14:07 - 1997-05-01 00:00 - 000013312 _____ (Microsoft Corporation) C:\Windows\SysWOW64\temp.00B
2017-10-04 14:07 - 1997-05-01 00:00 - 000010752 _____ (Microsoft Corporation) C:\Windows\SysWOW64\temp.005
2017-10-04 14:07 - 1997-05-01 00:00 - 000008704 _____ (Microsoft Corporation) C:\Windows\SysWOW64\temp.008
2017-10-04 14:07 - 1997-05-01 00:00 - 000004656 _____ (Microsoft Corporation) C:\Windows\SysWOW64\DS16GT.DLL
2017-10-04 14:07 - 1997-01-22 15:47 - 000018192 _____ (Microsoft Corporation) C:\Windows\SysWOW64\temp.013
2017-10-04 14:07 - 1996-12-02 11:47 - 000241664 _____ (Microsoft Corporation) C:\Windows\SysWOW64\temp.007
2017-10-04 14:07 - 1996-12-02 11:44 - 000037888 _____ (Microsoft Corporation) C:\Windows\SysWOW64\temp.006
2017-10-04 14:07 - 1996-02-19 18:03 - 000326656 _____ (Microsoft Corporation) C:\Windows\SysWOW64\temp.011
2017-10-04 14:07 - 1995-07-11 09:50 - 000253952 _____ (Microsoft Corporation) C:\Windows\SysWOW64\temp.010
2017-10-04 14:06 - 1998-10-06 00:00 - 000598288 _____ (Microsoft Corporation) C:\Windows\SysWOW64\temp.000
2017-10-04 14:06 - 1998-10-06 00:00 - 000164112 _____ (Microsoft Corporation) C:\Windows\SysWOW64\temp.001
2017-10-04 14:06 - 1998-10-06 00:00 - 000147728 _____ (Microsoft Corporation) C:\Windows\SysWOW64\temp.002
2017-10-04 14:06 - 1998-10-06 00:00 - 000017920 _____ (Microsoft Corporation) C:\Windows\SysWOW64\temp.003
2017-10-04 14:06 - 1998-09-25 00:00 - 001409024 _____ (Microsoft Corporation) C:\Windows\SysWOW64\temp.004
2017-12-27 14:00 - 2017-02-03 00:11 - 000000000 ____D C:\ProgramData\AVAST Software
2017-10-07 15:16 - 2017-10-07 15:16 - 000202948 _____ () C:\Users\Александр\AppData\Roaming\DMGR_1N1I1F1S1T1I0M1F1Q2Y1I1P1B0C1F1Q1P.txt
CustomCLSID: HKU\S-1-5-21-1589371660-2538761379-881481015-1001_Classes\CLSID\{004B49B7-11B9-5058-FF22-08DD093ADC4B}\InprocServer32 -> {187141BB-9468-D082-EDD1-00E985889A47} => No File
CustomCLSID: HKU\S-1-5-21-1589371660-2538761379-881481015-1001_Classes\CLSID\{DD0822FF-3A09-4BDC-B749-4B00B9115850}\InprocServer32 -> {418298D4-9468-D082-8208-F3B085889A47} => No File
ShellIconOverlayIdentifiers: [0WualaOverlayIcon3] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43} =>  -> No File
ShellIconOverlayIdentifiers: [0WualaOverlayIcon4] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} =>  -> No File
ContextMenuHandlers1: [HamsterLiteMenu] -> {2DEDD2C9-928E-4442-9417-769C969973B6} => C:\Program Files (x86)\Hamster Soft\Hamster Lite Archiver\HamsterContextMenu64.dll -> No File
ContextMenuHandlers6: [HamsterLiteMenu] -> {2DEDD2C9-928E-4442-9417-769C969973B6} => C:\Program Files (x86)\Hamster Soft\Hamster Lite Archiver\HamsterContextMenu64.dll -> No File
Task: {5A191133-A8F5-4B74-AC74-8B9610B715D6} - \At1 -> No File <==== ATTENTION
MSCONFIG\startupreg: mobilegeni daemon => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
FirewallRules: [{78CD05E3-77FF-4961-9B09-7AA9A718EFCE}] => (Allow) C:\Program Files (x86)\Mail.Ru\Sputnik\SputnikHelper.exe
FirewallRules: [{D77D8B6F-6C7B-4DF4-AD97-6EA8AA6BC448}] => (Allow) C:\Program Files (x86)\Mail.Ru\Sputnik\SputnikHelper.exe
FirewallRules: [{BB5B9AE1-1F88-4097-9871-B03A8C4D84CC}] => (Allow) C:\Program Files (x86)\Mail.Ru\Sputnik\SputnikFlashPlayer.exe
FirewallRules: [{B17D4C4D-85ED-450E-B2C9-06BA10240927}] => (Allow) C:\Program Files (x86)\Mail.Ru\Sputnik\SputnikFlashPlayer.exe
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Ассоциации DWG это не восстановит, сразу предупреждаю.

**exelente** · 28.12.2017, 13:27

Прошу простить мою любознательность)
Ассоциация dwg безразлична, если это не вызвано вирусом

**Vvvyg** · 28.12.2017, 20:28

На этом всё, что можно - почистили.

**exelente** · 05.01.2018, 20:23

Спасибо, большое, забросил небольшую благодарность через яндекс.деньги
С праздниками)

**Vvvyg** · 06.01.2018, 21:56

И Вас тоже с НГ и Рождеством.

Запустите AdwCleaner и нажмите Файл (File) -> Деинсталлировать (Uninstall).

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

Странное поведение компьютера (заявка № 216865)

Опции темы