Помогите. Второй комп в сети заразился

SQ · 24.04.2020, 23:53

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

- - - - -Добавлено - - - - -

Также пожалуйста приложите файл системных событий System.evtx который находится по следующему пути:

Код:

C:\Windows\System32\winevt\Logs

P.S. заархивируйте в zip пожалуйста.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**way** · 25.04.2020, 00:01

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

Ошибка 225 или 2 ((((

- - - - -Добавлено - - - - -

лог

SQ · 25.04.2020, 02:38

Выполните пожалуйста следующую команду в командной строке(cmd):

Код:

reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WSearch"

**way** · 25.04.2020, 13:00

Выполните пожалуйста следующую команду в командной строке(cmd):

Вложение 681575

SQ · 25.04.2020, 17:38

Выполните следующую команду в командной строке (cmd):

Код:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WSearch" /v Start /t REG_DWORD /d 2 /f

Перегрузите ПК.

Сообщите пожалуйста, а Вы можете скачать утилиту FRST на другом ПК и после этого скопировать на проблемый, чтобы собрать нужные логи? Есть подозрения, что какая-та политика запрещает некоторые функции на вашем ПК.

**way** · 26.04.2020, 02:15

Выполните следующую команду в командной строке (cmd):

выполнил. перезагрузил

Сообщите пожалуйста, а Вы можете скачать утилиту FRST на другом ПК и после этого скопировать на проблемый, чтобы собрать нужные логи?

скачал на другом компе. заархивировал с паролем. перенес на целевой комп. после запуска программы выдает ошибку
Вложение 681587

SQ · 26.04.2020, 21:13

А можете загрузиться в безопасный режим с поддержкой сети и после этого собрать логи?

- - - - -Добавлено - - - - -

Также покажите результат следющей команды в командной строке (cmd):

Код:

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\.NETFramework\Security\TrustManager\PromptingLevel"

**way** · 26.04.2020, 21:42

Вложение 681606

- - - - -Добавлено - - - - -

логи

https://yadi.sk/d/txdXwtfjRC_0sA

SQ · 27.04.2020, 02:59

Сами прописывали?

Код:

0HTTPS://ANTIZAPRET.PROSTOVPN.ORG/PROXY.PAC

По каким-то причинам следующие службы при запуске вызывают ошибку:

Код:

ShellHWDetection, WSearch, wuauserv

Закройте и сохраните все открытые приложения.

Выделите следующий код::

Код:

Start::
CreateRestorePoint:
CloseProcesses:
IFEO\MusNotification.exe: [Debugger] C:\WINDOWS\system32\systray.exe
IFEO\MusNotifyIcon.exe: [Debugger] C:\WINDOWS\system32\systray.exe
File: C:\Users\alexa\AppData\Local\Temp\HWiNFO32.SYS 
File: C:\WINDOWS\System32\Drivers\PortTalk.sys 
File: C:\WINDOWS\system32\CSVer.dll
ContextMenuHandlers1: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} =>  -> No File
ContextMenuHandlers2: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} =>  -> No File
ContextMenuHandlers4: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} =>  -> No File
ExportKey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ShellHWDetection
ExportKey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WSearch
ExportKey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST/FRST64 (от имени администратора).
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
Обратите внимание, что компьютер будет перезагружен.

**way** · 27.04.2020, 11:41

лог

Сами прописывали?
Код:
0HTTPS://ANTIZAPRET.PROSTOVPN.ORG/PROXY.PAC
По каким-то причинам следующие службы при запуске вызывают ошибку:
Код:
ShellHWDetection, WSearch, wuauserv

нет. ни чего самостоятельно не изменял

SQ · 27.04.2020, 23:37

Закройте и сохраните все открытые приложения.

Выделите следующий код::

Код:

Start::
CreateRestorePoint:
AutoConfigURL: [{A325ACA9-693E-4134-842A-1761126A8744}] => hxxps://antizapret.prostovpn.org/proxy.pac
AutoConfigURL: [S-1-5-21-3041070351-906738250-1886818187-1004] => hxxps://antizapret.prostovpn.org/proxy.pac
ManualProxies: 0hxxps://antizapret.prostovpn.org/proxy.pac
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST/FRST64 (от имени администратора).
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
Обратите внимание, что компьютер возможно будет перезагружен.

В логах у Вас замечен активатор Windows, не мог бы он быть виновником отключение системных служб?

**way** · 27.04.2020, 23:57

В логах у Вас замечен активатор Windows, не мог бы он быть виновником отключение системных служб?

с вероятностью 99% нет.
до недавнего времени он абсолютно не мешал работе ОС)

SQ · 28.04.2020, 06:29

К сожалению, неизвестно мне как можно решить проблему со службами на Windows 10. На сторонних форумах предлагают использовать следующую утилиту. Однако у меня с ней нет опыта работы, если будете ее использовать, то только на свой страх и риск.

Скачайте Windows Repair (All In One), распакуйте, запустите, перейдите в "Jump To Repairs", далее "Open Repairs", отметьте пункты:
"Repair Windows Updates"
"Restore Important Windows Services"
"Set Windows Services To Default Startup"
и нажмите "Start Repairs".
После перезагрузки проверяйте работу обновления системы и работу защитника.

Если указанное решение не поможет, то скорее всего Вам необходимо обратиться на специализированные форумы по решению системных проблем, например TechNet, однако вам необходимо будет удалить активатор, иначе Вас могут забанить, т.к. использование обходных средств лицензирования нарушает права компании Microsoft.

- - - - -Добавлено - - - - -

Если предыдущее еще не выполнили то попробуйте воспроизвести проблему в чистой загрузке, некоторые пользователи со схожими симптома, писал, что в чистой загрузке проблема не воспроизводиться.

**way** · 29.04.2020, 19:10

лог

Если предыдущее еще не выполнили то попробуйте воспроизвести проблему в чистой загрузке, некоторые пользователи со схожими симптома, писал, что в чистой загрузке проблема не воспроизводиться.

вроде бы делали. результат нулевой

SQ · 30.04.2020, 01:19

проверьте пожалуйста если служба Remote Procedure Call (RPC) запущена? Если запущена, пробуйте запустить службу Shell Hardware Detection и сообщите пожалуйста результат.

**way** · 30.04.2020, 10:22

Скачайте Windows Repair (All In One), распакуйте, запустите, перейдите в "Jump To Repairs", далее "Open Repairs", отметьте пункты:

результат нулевой(

проверьте пожалуйста если служба Remote Procedure Call (RPC) запущена? Если запущена, пробуйте запустить службу Shell Hardware Detection

ни одна из этих служб не запущена
кстати, на чистом компьютере, эти службы так же отсутствуют)

обнаружил кучу служб со странным названием(
Вложение 681668

SQ · 30.04.2020, 16:19

Указанные службы легитимные и они создаются для каждого пользователя на ПК:

CDPUserSvc_xxxxx
PimIndexMaintenanceSvc_xxxxx
MessagingService_xxxxx
OneSyncSvc_xxxxx
UserDataSvc_xxxxx
UnistoreSvc_xxxxx
WpnUserService_xxxxx

2) Возможно ваш чистый ПК имеет другой язык и указанные службы переведены на другой язык, они не могу отсутствовать, если это легальная сборка.

- - - - -Добавлено - - - - -

Сообщение от way

результат нулевой(

Видимо у Вас более сложный случай. Необходимо определить какие зависящие службы в нерабочем состояние.
Проверьте какие из следующих служб не запущены и при попытки запуска вызывают ошибку:
- DCOM Server Process Launcher
- Remote Procedure Call (RPC)
- RPC Endpoint Mapper

Также убедитесь, чтобы у этих всех служб был тип запуска: Автоматический.

Помогите. Второй комп в сети заразился (заявка № 224852)

Опции темы

Похожие темы

Второй компьютер из сети,с вирусом The Porno Collection. Посмотрите логи пожалуйста.

Камп заразился с нэта или сети!

temp2.exe - второй комп

Второй комп

svchost.exe второй комп.

Ваши права в разделе