Диспетчер задач сам закрывается, при открытии некоторых сайтов ошибка DNS (AVZ сразу закрывается)

**Edw** · 18.04.2023, 18:20

Добрый день проблема очень схожа с описаной в теме https://virusinfo.info/showthread.php?t=224985
Диспетчер задач сам закрывается, при открытии некоторых сайтов ошибка DNS (AVZ сразу закрывается) (чтобы написать обращение и прикрепить архив пришлось делать это через VM)
После работы автологгера что-то сформировалось, но не пойму завершился ли сбор, т.к. после предупреждения о том, что сейчас откроются окна браузеров и их не нужно закрывать AutoLogger закрылся или отработал - непонятно.
Архив прикрепляю, но что-то не уверен, что там есть что-то полезное, залогировалось все только до момента запуска браузеров(т.е. фактически почти ничего.
Что делать, ХЕЕЕЛП(AutoLogger.zip

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 18.04.2023, 18:24

Уважаемый(ая) Edw, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 18.04.2023, 18:24

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл. Не поможет - запустите из безопасного режима с поддержкой сети.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

Попробуйте сделать логи AutoLogger в обычном режиме.

**Edw** · 18.04.2023, 20:06

Добавил к первому сообщению логи (отработал только в безопасном режиме).

**Vvvyg** · 18.04.2023, 20:48

Ок, жду логи Autologger.

**Edw** · 18.04.2023, 21:26

Сообщение от Vvvyg

Ок, жду логи Autologger.

Вот его логи.

**Vvvyg** · 18.04.2023, 22:01

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe', '64');
 DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe', '64');
 DeleteFileMask('c:\programdata\windows tasks service', '*', true);
 DeleteDirectory('c:\programdata\windows tasks service');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'deedd', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'deedd', '64');
 DeleteSchedulerTask('deedd');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\RealtekCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\TaskCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\WinlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 DeleteSchedulerTask('NortonLifeLock Trial Agent V2');
ExecuteSysClean;
 ExecuteWizard('SCU', 3, 3, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O15 - Trusted Zone: *.localhost
O15 - Trusted Zone: http://webcompanion.com
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Intel (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Remediation (empty)

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Edw** · 19.04.2023, 10:13

Сообщение от Vvvyg

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe', '64');
 DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe', '64');
 DeleteFileMask('c:\programdata\windows tasks service', '*', true);
 DeleteDirectory('c:\programdata\windows tasks service');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'deedd', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'deedd', '64');
 DeleteSchedulerTask('deedd');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\RealtekCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\TaskCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\WinlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 DeleteSchedulerTask('NortonLifeLock Trial Agent V2');
ExecuteSysClean;
 ExecuteWizard('SCU', 3, 3, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O15 - Trusted Zone: *.localhost
O15 - Trusted Zone: http://webcompanion.com
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Intel (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Remediation (empty)

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Вот результаты скана.

**Vvvyg** · 20.04.2023, 09:41

Уведомление

Не нужно полностью цитировать сообщения, просто пишите в окне "Быстрый ответ"

Из-за этого сообщение попало на премодерацию.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
S2 CanicsKobinu; C:\Program Files (x86)\CanicsKobinu\CanicsKobinu.exe -system -token 6db44f [X]
C:\Program Files (x86)\CanicsKobinu
HKU\S-1-5-21-2626205513-758042505-3341596147-1001\...\StartupApproved\Run: => "Web Companion"
HKU\S-1-5-21-2626205513-758042505-3341596147-1001\...\StartupApproved\Run: => "deedd"
FirewallRules: [{4D300750-E51F-46BE-91C6-C59F5CF2E97E}] => (Allow) C:\Users\deedd\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{9BE9DA8C-3407-4210-96B3-B25C1A73A818}] => (Allow) C:\Users\deedd\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [TCP Query User{110D5748-11B5-440A-9112-06B88F46EA84}C:\media\games\the long dark\tld.exe] => (Allow) C:\media\games\the long dark\tld.exe => Нет файла
FirewallRules: [UDP Query User{6C035339-6B67-47A6-BBE2-0BCC89DA25C6}C:\media\games\the long dark\tld.exe] => (Allow) C:\media\games\the long dark\tld.exe => Нет файла
FirewallRules: [TCP Query User{D04F914F-A174-4EF5-82DE-ECBBE4C242DD}C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [UDP Query User{A30B26D0-B84F-42AA-A526-DEE6F8A549E3}C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [TCP Query User{7503B20A-8563-4858-B44B-CBB2A503E9D2}C:\users\deedd\appdata\local\discord\app-1.0.9004\discord.exe] => (Allow) C:\users\deedd\appdata\local\discord\app-1.0.9004\discord.exe => Нет файла
FirewallRules: [UDP Query User{4AEA165C-8A7F-45E1-803B-F38105461870}C:\users\deedd\appdata\local\discord\app-1.0.9004\discord.exe] => (Allow) C:\users\deedd\appdata\local\discord\app-1.0.9004\discord.exe => Нет файла
FirewallRules: [TCP Query User{E22DB3AE-6AB8-42A9-AE57-B6716D685E17}C:\games\gta the trilogy – the definitive edition\gta iii definitive edition\gameface\binaries\win64\libertycity.exe] => (Allow) C:\games\gta the trilogy – the definitive edition\gta iii definitive edition\gameface\binaries\win64\libertycity.exe => Нет файла
FirewallRules: [UDP Query User{FF6EEDB4-0CF4-40F6-BC2E-EA0B30986B80}C:\games\gta the trilogy – the definitive edition\gta iii definitive edition\gameface\binaries\win64\libertycity.exe] => (Allow) C:\games\gta the trilogy – the definitive edition\gta iii definitive edition\gameface\binaries\win64\libertycity.exe => Нет файла
FirewallRules: [TCP Query User{5A55C2D4-2661-4529-81EC-DB525AAC0DA1}C:\games\gta the trilogy – the definitive edition\gta the trilogy – the definitive edition\gta san andreas definitive edition\gameface\binaries\win64\sanandreas.exe] => (Allow) C:\games\gta the trilogy – the definitive edition\gta the trilogy – the definitive edition\gta san andreas definitive edition\gameface\binaries\win64\sanandreas.exe => Нет файла
FirewallRules: [UDP Query User{47448BAF-F5A3-4F18-B657-DDB5B6AE3705}C:\games\gta the trilogy – the definitive edition\gta the trilogy – the definitive edition\gta san andreas definitive edition\gameface\binaries\win64\sanandreas.exe] => (Allow) C:\games\gta the trilogy – the definitive edition\gta the trilogy – the definitive edition\gta san andreas definitive edition\gameface\binaries\win64\sanandreas.exe => Нет файла
FirewallRules: [{4254DF91-F847-4A16-AC37-E4DE6ABE8750}] => (Allow) C:\Program Files\Blackmagic Design\DaVinci Resolve\ElementsPanelDaemon.exe => Нет файла
FirewallRules: [TCP Query User{5FB93282-8014-4447-8939-4A0B33FFFFF1}C:\games\dead space 2\deadspace2.exe] => (Block) C:\games\dead space 2\deadspace2.exe => Нет файла
FirewallRules: [UDP Query User{29F35E75-A114-4595-ADE4-6F576B8B696F}C:\games\dead space 2\deadspace2.exe] => (Block) C:\games\dead space 2\deadspace2.exe => Нет файла
FirewallRules: [{CB0CE484-4107-4EA2-95AF-33F3A56FB361}] => (Allow) C:\Games\Need for Speed The Run\Need For Speed The Run.exe => Нет файла
FirewallRules: [{93B627E1-7EAC-4BE3-9E1D-3D82FDB5F2FF}] => (Allow) C:\Games\Need for Speed The Run\Need For Speed The Run.exe => Нет файла
FirewallRules: [TCP Query User{D0842593-2B47-4C3A-8D63-F23428243009}C:\games\grand theft auto iii\gameface\binaries\win64\libertycity.exe] => (Allow) C:\games\grand theft auto iii\gameface\binaries\win64\libertycity.exe => Нет файла
FirewallRules: [UDP Query User{6EF65349-302D-40F7-B787-6C075A793725}C:\games\grand theft auto iii\gameface\binaries\win64\libertycity.exe] => (Allow) C:\games\grand theft auto iii\gameface\binaries\win64\libertycity.exe => Нет файла
FirewallRules: [TCP Query User{0BFC6B7B-BB9B-4D72-AD0C-88D2394B69DA}C:\games\dune.spice.wars.steam.rip-insaneramzes\d4x\d4x.exe] => (Allow) C:\games\dune.spice.wars.steam.rip-insaneramzes\d4x\d4x.exe => Нет файла
FirewallRules: [UDP Query User{EF2C96AE-57CC-4ECB-9BF1-A62C16AB6B25}C:\games\dune.spice.wars.steam.rip-insaneramzes\d4x\d4x.exe] => (Allow) C:\games\dune.spice.wars.steam.rip-insaneramzes\d4x\d4x.exe => Нет файла
FirewallRules: [TCP Query User{370F4736-D103-43D8-9CED-C217283CE1F3}C:\games\v rising\vrising.exe] => (Allow) C:\games\v rising\vrising.exe => Нет файла
FirewallRules: [UDP Query User{DBC0C19B-0231-4595-985F-8893492FAF53}C:\games\v rising\vrising.exe] => (Allow) C:\games\v rising\vrising.exe => Нет файла
FirewallRules: [TCP Query User{D96D7F3C-3314-467F-8F83-806160BEA5AA}C:\games\v rising\vrising_server\vrisingserver.exe] => (Allow) C:\games\v rising\vrising_server\vrisingserver.exe => Нет файла
FirewallRules: [UDP Query User{7E6EAF85-E977-45A6-BFE1-35EB2806C1AD}C:\games\v rising\vrising_server\vrisingserver.exe] => (Allow) C:\games\v rising\vrising_server\vrisingserver.exe => Нет файла
FirewallRules: [{BC56F3F2-2EB5-45B3-A247-2AAE804ED9E4}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\3DMark\bin\x86\3DMark.exe => Нет файла
FirewallRules: [{481F9F2B-C166-4741-AEB9-ACCF0AD636C7}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\3DMark\bin\x86\3DMark.exe => Нет файла
FirewallRules: [{56012778-1520-40A7-B6DD-AD7B94193857}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\3DMark\bin\x64\3DMark.exe => Нет файла
FirewallRules: [{BFCC65DB-EBA1-4742-9D3A-202F3D447181}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\3DMark\bin\x64\3DMark.exe => Нет файла
FirewallRules: [TCP Query User{AD6E7682-9530-49D0-B4BC-66CC458D0140}C:\games\resident evil village\re8.exe] => (Allow) C:\games\resident evil village\re8.exe => Нет файла
FirewallRules: [UDP Query User{835FDB8B-1087-4407-83DF-CB61C5414D88}C:\games\resident evil village\re8.exe] => (Allow) C:\games\resident evil village\re8.exe => Нет файла
FirewallRules: [{7834D3C2-A1FC-44BE-80A8-F4D0C8AFD71C}] => (Allow) C:\Users\deedd\AppData\Local\Temp\bittorrent\bittorrent.exe => Нет файла
FirewallRules: [{0DD185A4-E12E-4D61-8EF2-C8D9CDB25A39}] => (Allow) C:\Users\deedd\AppData\Local\Temp\bittorrent\bittorrent.exe => Нет файла
FirewallRules: [TCP Query User{AE50292A-5482-4043-B685-9DBC906316DF}C:\media\torrents\hogwarts.legacy.digital.deluxe.edition-insaneramzes\phoenix\binaries\win64\hogwartslegacy.exe] => (Block) C:\media\torrents\hogwarts.legacy.digital.deluxe.edition-insaneramzes\phoenix\binaries\win64\hogwartslegacy.exe => Нет файла
FirewallRules: [UDP Query User{702180FE-5820-4E7B-A118-85AA0E74A514}C:\media\torrents\hogwarts.legacy.digital.deluxe.edition-insaneramzes\phoenix\binaries\win64\hogwartslegacy.exe] => (Block) C:\media\torrents\hogwarts.legacy.digital.deluxe.edition-insaneramzes\phoenix\binaries\win64\hogwartslegacy.exe => Нет файла
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
del /s /q C:\Windows\Minidump\*.dmp
ipconfig /flushdns
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

**Edw** · 20.04.2023, 10:17

А код куда, cmd? в FRST64 по дефолту Исправить не активна.
Спасибо.

**Sandor** · 20.04.2023, 10:34

Убедитесь, что код скопирован и нажмите "Исправить". Он выполнится из буфера обмена, никуда вставлять не нужно.

**Edw** · 20.04.2023, 11:34

Прикрепляю fixlog.

**Vvvyg** · 20.04.2023, 12:37

Проблема должна быть решена после работы AV block remove, просьба подтвердить.

**Edw** · 20.04.2023, 13:01

Да, спасибо Вам огромное, сейчас охлаждение и нагрузка на ЦП ведет себя штатно, загрузка не более 10% в тех же сценариях использования, в которых ранее была 100%

**Vvvyg** · 20.04.2023, 14:53

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

На этом всё.

Диспетчер задач сам закрывается, при открытии некоторых сайтов ошибка DNS (AVZ сразу закрывается) (заявка № 228135)

Опции темы