Требуется долечивание после китайских вирусов

[SQ]

Жду от Вас ранее запрошенных логов, для того чтобы можно было двигаться дальше с решением возникшей проблемы.

[Алексей Дёменко]

Прилагаю файлы.

[SQ]

Удалите hohosearch,trotux через установку программ в панели управления

Ранее использовали антивирус MCafee?

Код:

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfemms => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Service"

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  CHR HomePage: todipycoudusanifertion -> hxxp://google.com/
  CHR StartupUrls: todipycoudusanifertion -> "hxxp://mail.ru/cnt/10445?gp=789182","hxxp://www.trotux.com/?z=9b39c82e63d9b926e4aaf9bg7z3q0m9c1b3ofg7w7c&from=qca&uid=WDCXWD10EZEX-21M2NA0_WCC3F3JEDCV3F3JEDCV3&type=hp"
  CHR Session Restore: todipycoudusanifertion -> is enabled.
  Reg: reg delete "HKU\S-1-5-21-688054549-1006262046-319902169-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\apphide2" /f
  Reg: reg delete "HKU\S-1-5-21-688054549-1006262046-319902169-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\apphide2" /f
  Reg: reg delete "HKU\S-1-5-21-688054549-1006262046-319902169-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\apphide2" /f
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

Также в системных журналах регистрируются проблемы:

Код:

Error: (08/26/2016 09:09:04 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Служба Темы была неожиданно завершена. Это произошло 2 раз(а). Следующее корректирующее действие будет предпринято через 60000 мсек: Перезапуск службы.

Error: (08/26/2016 09:09:04 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Служба Определение оборудования оболочки была неожиданно завершена. Это произошло 2 раз(а). Следующее корректирующее действие будет предпринято через 60000 мсек: Перезапуск службы.

Error: (08/26/2016 09:09:04 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Служба Служба уведомления о системных событиях была неожиданно завершена. Это произошло 2 раз(а). Следующее корректирующее действие будет предпринято через 300000 мсек: Перезапуск службы.

Error: (08/26/2016 09:09:04 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Служба Планировщик заданий была неожиданно завершена. Это произошло 2 раз(а). Следующее корректирующее действие будет предпринято через 60000 мсек: Перезапуск службы.

Error: (08/26/2016 09:09:04 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Служба Служба профилей пользователей была неожиданно завершена. Это произошло 2 раз(а). Следующее корректирующее действие будет предпринято через 300000 мсек: Перезапуск службы.

[Алексей Дёменко]

> Удалите hohosearch,trotux через установку программ в панели управления

Пытался, не дает...

> Ранее использовали антивирус MCafee?

Да.

> Также в системных журналах регистрируются проблемы

К сожалению мне причина этого не ясна...

Фикс сделаю...

[SQ]

> Удалите hohosearch,trotux через установку программ в панели управления

Пытался, не дает...

- Подготовьте новый лог AdwCleaner и приложите его в теме.

> Ранее использовали антивирус MCafee?

Да.

А планируете в дальнейшем использовать или зачистим остатки драйверов/служб?

[Алексей Дёменко]

SQ, не планируется.

[SQ]

SQ, не планируется.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack => ""="Service"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack.sys => ""="Driver"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk => ""="Service"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk.sys => ""="Driver"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Service"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfemms => ""="Service"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k => ""="Service"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k.sys => ""="Driver"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Service"
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Алексей Дёменко]

SQ, а что касается прошлого фикса? С ним как быть? Запускать их по очереди? Или можно как-то слить в один?

[SQ]

Если ранее не выполняли, вот тогда объединенный фикс.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  CHR HomePage: todipycoudusanifertion -> hxxp://google.com/
  CHR StartupUrls: todipycoudusanifertion -> "hxxp://mail.ru/cnt/10445?gp=789182","hxxp://www.trotux.com/?z=9b39c82e63d9b926e4aaf9bg7z3q0m9c1b3ofg7w7c&from=qca&uid=WDCXWD10EZEX-21M2NA0_WCC3F3JEDCV3F3JEDCV3&type=hp"
  CHR Session Restore: todipycoudusanifertion -> is enabled.
  Reg: reg delete "HKU\S-1-5-21-688054549-1006262046-319902169-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\apphide2" /f
  Reg: reg delete "HKU\S-1-5-21-688054549-1006262046-319902169-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\apphide2" /f
  Reg: reg delete "HKU\S-1-5-21-688054549-1006262046-319902169-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\apphide2" /f
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack => ""="Service"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack.sys => ""="Driver"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk => ""="Service"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk.sys => ""="Driver"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Service"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfemms => ""="Service"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k => ""="Service"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k.sys => ""="Driver"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Service"
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Алексей Дёменко]

Прикрепляю.

[SQ]

На сколько я вижу Вы не выполняли фикс, так как записи до сих пор присутствуют в логах.

Если не применяли фикс, тогда пробуйте вначале воспользоваться утилитой MCPR.exe (MCPR (C) McAfee, Inc). для удаление остатков от компонентов антивируса McAfee.

[Алексей Дёменко]

Была проблема с доступом к компьютеру пользователя. Поручил выполнение инструкций пользователю, но, судя по всему, что-то не сработало. В понедельник лично все сделаю.

[Алексей Дёменко]

Все инструкции выполнил, логи сделал, прикрепляю.

[SQ]

Сообщите, что с проблемой?

[Алексей Дёменко]

SQ, по словам юзера - сохраняется... Как и раньше первая загрузка (старт компа) выводит ошибку, приходится перезагружать...

[SQ]

SQ, по словам юзера - сохраняется... Как и раньше первая загрузка (старт компа) выводит ошибку, приходится перезагружать...

Есть возможность показать скрин ошибки?

[Алексей Дёменко]

Ошибка перестала выскакивать, когда я перенес часть файлов с основного профиля на временный (С:\windows\system32\config\systemprofile). Только так удалось хотя бы избавиться от проблем с зависанием и глюками первой загрузки. Но все равно он его загружает первым хотя уже без сообщений об ошибке и глюков.

[SQ]

Могли бы показать результат выполнения следующих команд в командной строке(cmd.exe) на момент проблемы:

Код:

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" /s

Код:

dir c:\users

[Алексей Дёменко]

"На момент проблемы" - это в первый раз загрузиться и потом ввести команду?

[SQ]

"На момент проблемы" - это в первый раз загрузиться и потом ввести команду?

На момент проблемы (первая загрузка после включения ПК).