Windows зависает после логона (был маленький смайл на черной панели)

**otruja** · 19.11.2016, 09:28

Случайно заметил что после каждой загрузки странички в Chrome, браузер подключается на доли секунды к dropbox. Мне показалось это поведение странным, так как я не пользуюсь этим облаком.
После перезагрузки ноутбука Windows завис после экрана лог-он на рабочем столе. Курсор мыши завис в левом верхнем углу, и там же я заметил небольшую черную панель, в левой части которой был маленький красный смайл (размером где-то 10х10 пикселей, похож на человечка - голова, два глаза, шея и верхукша плеч).
После перезагрузки через отключение питания, Windows стал зависать практически сразу после ввода пароля на экране лог-он.

В безопасном режиме оставил CureIt на ночь, но после перезагрузки проблема сохранилась - Windows после логона зависает, и даже в безопасном режиме с сетью Chrome постоянно подключается к dropbox (обычно ссылка выглядит как dl.dropboxusercontent.com или типа того).

virusinfo_syscure.zip не прикрепляю так как пропустил 1й пункт Диагностики.

Полный образ автозапуска - http://rgho.st/6kv85XKlP

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 19.11.2016, 09:29

Уважаемый(ая) otruja, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 19.11.2016, 13:33

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

**otruja** · 19.11.2016, 13:54

Сделал.

**Vvvyg** · 19.11.2016, 16:14

Computrace обновился, возможно, из-за этого зависает. В курсе, что эта программа вообще установлена? Ноутбук? Легально куплен, или с рук?
Попробуем вычистить, но сам Computrace встроен в биос, так что надежд мало.
По поводу хрома, ломящегося в дропбокс - наверняка дело в одном из многочисленных расширений, в каком именно - понять можно только перебором, отключая каждое.
Кстати, у Вас ещё древний псевдохром от Mail.Ru по именем "Интернет" установлен, рекомендую деинсталлировать.

Выполните скрипт в uVS:

Код:

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
; C:\WINDOWS\SYSTEM32\RPCNETP.EXE
zoo %Sys32%\RPCNETP.EXE
addsgn A7679BCCEBDA1C320BE76E8862BD3F55DA9F48E6C9FA94358D20F58791A25DC52D473C621247DD497A7F9127565649C706EEA8720DAFA4C44F75A42F7F072273 8 rpcnetp
chklst
delvir
deldir %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MIPONY
delref %SystemDrive%\PROGRAM FILES (X86)\MIPONY\MIPONY.EXE
delref %SystemDrive%\USERS\СКАЙ\APPDATA\LOCAL\TEMP\7ZOC948.TMP\AUTOHIDEDESKTOPICONS.EXE
zoo %Sys32%\AUTOCHK.EXE
delall %Sys32%\AUTOCHK.EXE
zoo %SystemRoot%\SYSWOW64\RPCNET.DLL
delall %SystemRoot%\SYSWOW64\RPCNET.DLL
delref %SystemDrive%\USERS\9E90~1\APPDATA\LOCAL\TEMP\RARSFX0\PHOTOSHOP.EXE
delref %SystemDrive%\USERS\СКАЙ\DESKTOP\NEW FOLDER\BLOCK_READER.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\SPYWARE PROCESS DETECTOR\SPD323.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MEDIAFIRE DESKTOP\*_82331.DLL
delref %SystemDrive%\USERS\СКАЙ\APPDATA\LOCAL\MEDIAFIRE DESKTOP
delref HTTP://GO.MAIL.RU/SEARCH?UTF8IN=1&FR=FFTBUFIX&Q=
zoo %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delall %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\USERS\СКАЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OIIAIGJNKHNGDBNOOOKOGELABOHPGLMD\2.6.69_0\HUBSPOT SALES
delref %SystemDrive%\USERS\СКАЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HLKKJGFBFGDCDJNDDAMLMGBIPGBHGPPK\1.2_0\DON'T BREAK THE CHAIN
delref %SystemDrive%\USERS\СКАЙ\APPDATA\ROAMING\GALCON FUSION\FLASHPLAYERUPDATESERVICE.EXE
delref %SystemDrive%\USERS\СКАЙ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX
delref %SystemDrive%\PROGRAM FILES\TREND MICRO\AMSP\MODULE\20004\1.5.1381\6.5.1234\FIREFOXEXTENSION\
delref %SystemDrive%\PROGRAM FILES (X86)\HAMSTER SOFT\HAMSTER LITE ARCHIVER\HAMSTERCONTEXTMENU64.DLL
delref %SystemDrive%\USERS\СКАЙ\APPDATA\LOCAL\MAIL.RU\GAMECENTER\NPDETECTOR.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\WEBCAKE\WEBCAKEIECLIENT.DLL
czoo
deltmp
restart

Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Сделайте новый полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.

**otruja** · 19.11.2016, 17:04

Вообще не в курсе. Покупал ноутбук в кредит в местном магазине, в ноябре, кажется, 2012-го. Винду переустановил на следующий день, и с тех пор ничего не трогал.
В хроме пожонглировал расширениями - MusicSig шалит, после его отключения и удаления dropbox больше не отмечался.

Запустил скрипт, попытался загрузиться в обычном режиме - не помогло. Ввожу пароль, "винда" думает, и зависает.

Карантин прислал, лог приаттачил, ссылка на образ автозапуска - http://rgho.st/6kv85XKlP

**otruja** · 19.11.2016, 17:23

Сообщение зависло где-то в модерации (видимо из-за ссылки), поэтому продублирую.

Ноутбук покупался в ноябре, кажется, 2012-го в магазине в кредит. Винду поставил на следующий день и с тех пор не трогал.
О Computrace слышу впервые, и ничего хорошего на этот счет сказать не могу

От дропбокса отделался - расширение MusicSig шалит.

Архив в карантин отправил, скрипт выполнил, после перезагрузки пробовал войти в винду - все равно зависает после ввода пароля.
Ссылка на образ автозапуска - в шапке, лог выполнения скрипта - в аттаче.

**Vvvyg** · 19.11.2016, 19:05

Как и предполагал, файлы от Computrace восстановлены. В BIOS нет такого пункта, проверьте?

Из свежепоставленных программ - NetLimiter 4, вчера установлен. Не с ним подвисание связано?

**otruja** · 19.11.2016, 19:40

Биос от American Megatrends, ничего про Computrace не нашел.

Однако снес NetLimiter, перезагрузился - "винда" грузилась заметно (секунд на пять) дольше, однако пустила дальше экрана авторизации - пишу из "нормального" режима

Если не требуется какая-нибудь дополнительная проверка (на всякий случай поставлю на ночь CureIT еще раз), то, наверное, можно закрывать тему. Спасибо! ^_^

**Vvvyg** · 19.11.2016, 20:19

Ну, тогда Computrace пусть живёт.

Сделайте лог AdwCleaner (by Xplode).

**otruja** · 19.11.2016, 20:30

Готово.

**Vvvyg** · 19.11.2016, 22:19

Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan), по окончании сканирования в пункте меню "Настройки" (Settings)установите галочку "Сброс политик Chrome".
Затем нажмите Очистка (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.

После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.

**otruja** · 20.11.2016, 10:48

Готово

**Vvvyg** · 20.11.2016, 13:48

Если проблемы решены - всё на этом.

**otruja** · 20.11.2016, 13:53

Согласен

Спасибо огромное! Обязательно поддержу проект когда получу следующий чек.

**CyberHelper** · 20.11.2016, 14:03

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 8
В ходе лечения вредоносные программы в карантинах не обнаружены

Windows зависает после логона (был маленький смайл на черной панели) (заявка № 206021)

Опции темы