Не работает хром без --no-sandbox + реклама в браузерах + ошибка (0xc000007b) [HEUR:Trojan.Win32.Generic ]

[s4dko]

Здравствуйте. В общем есть три проблемы:
1) Не работает хром без установленного флага --no-sandbox
Не знаю что на воздействует на хром, но при запуске браузера ссылки просто бесконечно грузятся, и всё. Настройки, история, загрузки так же не открываются. Пробовал полное удаление браузера с очисткой всех данных из C:\Users\user\AppData\Local\Google и чисткой реестра, и совместимость проверял - всё без галочек у меня запускается, и смотрел настройки видюхи( ибо некоторые писали мол из за энергосбережение в настройках видеокарты может такое происходить ), но таких настроек у в моей видюхе нет. При полном удалении браузера и повторной установки он работает без флага, но проходит некоторое время и опять тоже самое. Т.е даже если каким то образом он запустится без флага, например, после флага, то через время всё тоже самое повторяется, и ничего не работает.

2) Реклама в браузерах
Во всех браузерах начала появляться реклама. В том числе и в гугл хроме. По скольку я другими браузерами не пользуюсь, я пытался её убрать на основе гугл хрома. Эта реклама может как автоматически открывать новые вкладки в браузере, так и внедрятся в код страницы, и при клике на какую то часть сайта открывать новую ссылку с рекламой. Ладно.Посмотрел процессы - нету, посмотрел службы - нету, посмотрел планировщик задач - нету, отключил расширения - не помогло. Без понятия каким образом она работает.

3) Ошибка при запуске приложения (0xc000007b)
По скольку я живу в Украине, я использую ВПН, а именно клиент "Hotspot Shield"(кстати его я подозреваю в появлении рекламы в браузере, ибо я скачал крякнутую версию, мб что то в ней не так, но удалять ещё не пробовал ). Так вот после чистки реестра CClearner'ом, он удалил какие то записи в реестре, и у меня слетела "Елит версия" в этом клиенте. Думаю, ну окей, ща обратно поставлю. Ищу архив с программу, достаю от туда кряк, запускаю, и получаю ошибку "Ошибка при запуске приложения (0xc000007b)".
Обновил драйвера видеокарты, .NET Framework, Microsoft Visual C++ 2015 Redistributate, DirectX, сделал проверку SFC( в cmd прописал sfc /scannow) в результате которого он мне написал что у меня есть какие то ошибки, некоторые исправил, некоторые нет, но в итоге ничего из перечисленного не помогло, программа по прежнему не открывается.

Следуя правилам, скачал AutoLogger, запустил, он проверил, лог прикрепил

[Info_bot]

Уважаемый(ая) s4dko, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
 QuarantineFile('d:\Програмы\autologger\autologger\avz\avz.exe','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\Windows\system32\easy_roulette\easy_roulette.exe','');
 QuarantineFile('C:\Windows\System32\ie4uinit.exe','');
 QuarantineFile('C:\Windows\system32\unregmp2.exe','');
 QuarantineFile('C:\Windows\system32\appidcertstorecheck.exe','');
 QuarantineFile('C:\Windows\system32\appidpolicyconverter.exe','');
 QuarantineFile('C:\Windows\system32\MASetupCleaner.exe','');
 QuarantineFile('C:\Windows\explorer.exe','');
 QuarantineFile('C:\Windows\system32\SystemPropertiesPerformance.exe','');
 QuarantineFile('C:\Windows\system32\cmd.exe','');
 QuarantineFile('C:\Windows\system32\rundll32.exe','');
 DeleteService('modulev');
 DeleteService('QMUdisk');
 DeleteService('WinRing0_1_2_0');
 DeleteService('ZAM');
 QuarantineFile('C:\Windows\system32\wbem\WmiApSrv.exe','');
 QuarantineFile('C:\Windows\system32\wbengine.exe','');
 QuarantineFile('C:\Windows\system32\vssvc.exe','');
 QuarantineFile('C:\Windows\System32\vds.exe','');
 QuarantineFile('C:\Windows\servicing\TrustedInstaller.exe','');
 QuarantineFile('C:\Windows\system32\sppsvc.exe','');
 QuarantineFile('C:\Windows\System32\snmptrap.exe','');
 QuarantineFile('C:\Windows\system32\locator.exe','');
 QuarantineFile('C:\Windows\system32\nfsclnt.exe','');
 QuarantineFile('C:\Windows\system32\msiexec.exe','');
 QuarantineFile('C:\Windows\System32\msdtc.exe','');
 QuarantineFile('C:\Windows\system32\IEEtwCollector.exe','');
 QuarantineFile('C:\Windows\System32\alg.exe','');
 QuarantineFile('c:\program files\windows media player\wmpnetwk.exe','');
 QuarantineFile('c:\windows\system32\taskeng.exe','');
 QuarantineFile('c:\windows\system32\spoolsv.exe','');
 QuarantineFile('c:\windows\system32\searchprotocolhost.exe','');
 QuarantineFile('c:\windows\system32\searchindexer.exe','');
 QuarantineFile('c:\windows\system32\searchfilterhost.exe','');
 QuarantineFile('C:\Windows\System32\sc.exe','');
 QuarantineFile('c:\windows\system32\sc.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

У вас файловый вирус, пролечитесь как указано в этой теме: Как лечить файловый вирус?, потом сделайте новые логи.

[s4dko]

В общем скрипт я логи отправил через красную кнопку вверху.

А вот по поводу лечения теперь всё плохо стало (
Крч по скольку просканировать хард на другом рабочем устройстве у мя сейчас нет возможности, решил я скачать каспера, и проверить. И зря я это сделал...
Каспер находил вирус почти что в каждом моём исполняемом файле, в том числе explorer, svchost, winlogon и т.д.. Все подверглись "лечению" или удалению. В итоге после перезагрузки компа перстал работать проводник, ошибки при старте userinit.exe, ошибки с установщиком виндовс, проблемы с айро, и т.д... Ну я воостановил работу компа, удалил нафиг каспера, но остались две проблемы, которые я не получается исправить.

1) При старте комп чёрный экран и курсор
Не запускается проводник крч при старте. Фиг знает почему. В реестре в параметре Shell прописан explorer.exe(полный путь тоже ставил), в Userinit прописан "userinit.exe,"
Так же добавил запись на автозагрузку( reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Explorer" /d "%SYSTEMROOT%\explorer.exe" /f )
Запись есть, в msconfig - автозагрузка проводник показывает, вроде всё хорошо, но не запускается.

2) Отключение эффектов aero
Как бы проблема то решается легко. Заходим в реестр HKEY_CURRENT_USER\Software\Microsoft\Windows\DWM, меняем параметры

Код:

Composition - 1
CompositionPolicy -2
EnableAeroPeek - 1

потом перезагружаем службу деспетчер окон тот

Код:

net stop uxsms
net start uxsms

И aero опять работает. НО стоит перезагрузить комп, как всё слетает. Записи в реестре остаются, но что бы запустить aero надо опять перепустить службу "деспетчера сеансов деспетчера окон рабочего стола", поцеееему (((
И при установки других тем, стиль меняется на "классический" и всё.

Сделать заново логин AutoLogger'ом не могу. Т.к после момента когда просит перезагрузить комп, программа больше не появляется, как и explorer)))
Могу выполнять скрипты в которых не нужна перезагрузка.

[Vvvyg]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).

[s4dko]

Сделал.

[Vvvyg]

[2012-07-22 18:47] - [2017-07-15 01:27] - 2623488 _____ (Microsoft Corporation) DB46CAECE3D3F9AA3B889036F3BF792A
C:\Windows\system32\userinit.exe IS MISSING <==== ATTENTION

explorer.exe, возможно, некорректно вылечен, а userinit.exe отсутствует, из-за чего и проблема.

Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией, разрядностью и тем же сервис паком (SP) что установлен у вас.

Откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".

Введите sfc /scannow и нажмите Enter.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.

Сообщите результат.

[s4dko]

Инсталятор этой винды которая у меня стоит - отсутствует, т.к давно устанавливал с флешки, и за это время уже давно потёр её.
Без винды никак? Нужно обратно качать?

[Vvvyg]

Желательно. Но можно попробовать и так, шанс есть.

[s4dko]

Желательно. Но можно попробовать и так, шанс есть.

Ну так я пробовал уже 10 раз)
SFC не помгает. Даже в безопасном пробовал.

[Vvvyg]

Распакуйте файл userinit.exe из архива в папку C:\Windows\system32
Перезагрузите систему и сообщите результат.

[s4dko]

Распакуйте файл userinit.exe из архива в папку C:\Windows\system32
Перезагрузите систему и сообщите результат.

Восстановился автозапуск проводника и эффекты aero. Спасибо.
По прежнему не могу сделать повторное сканирование AutoLogger'ом, т.к после перезагрузки программа не стартует, и не продолжает сканирование.
Так же при смене темы на другую(не стандартную) оно её не ставит, а просто переходит на "классическую".

[Vvvyg]

Запустите FRST/FRST64. Нажмите комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKLM\...\RunOnce: [AVZ] => cmd /c start " " "D:\Програмы\AutoLogger\AutoLogger\AVZ\avz.exe" Script="D:\Програмы\AutoLogger\AutoLogger\AVZ\Script2.txt" HiddenMode=0
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
HKU\S-1-5-21-3918751067-717928060-3746672622-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://google.inklineglobal.com
HKU\S-1-5-21-3918751067-717928060-3746672622-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=821687
HKU\S-1-5-21-3918751067-717928060-3746672622-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://google.inklineglobal.com
HKU\S-1-5-21-3918751067-717928060-3746672622-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://google.inklineglobal.com?MB
Toolbar: HKLM - No Name - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} -  No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKLM - No Name - {95188727-288F-4581-A48D-EAB3BD027314} -  No File
Toolbar: HKLM - No Name - {F348E1B0-CBFE-47C3-81B4-9F44B3B5A618} -  No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-3918751067-717928060-3746672622-1001 -> No Name - {6AA40521-14E7-4B1D-B1B4-98528C1388C9} -  No File
Toolbar: HKU\S-1-5-21-3918751067-717928060-3746672622-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\2b4ji130.default -> SearchMyWeb
FF DefaultSearchUrl: Mozilla\Firefox\Profiles\2b4ji130.default -> hxxp://www.google.com/cse?cx=partner-pub-6697027465779297:7461124956&ie=ISO-8859-1&sa=Search&q=
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\2b4ji130.default -> SearchMyWeb
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\2b4ji130.default -> mail.ru: Поиск в Интернете
FF Homepage: Mozilla\Firefox\Profiles\2b4ji130.default -> hxxp://mail.ru/cnt/10445?gp=openpart3
FF Extension: (Homepage Guard) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\2b4ji130.default\Extensions\{6236BA26-C117-4007-928C-DE0716C7FA58}.xpi [2013-11-02] [not signed]
FF Extension: (Aptana Debugger) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\2b4ji130.default\Extensions\[email protected] [2013-07-22] [not signed]
FF Plugin HKU\S-1-5-21-3918751067-717928060-3746672622-1001: @tools.google.com/Google Update;version=3 -> C:\Users\user\AppData\Local\Google\Update\1.3.33.5\npGoogleUpdate3.dll [No File]
FF Plugin HKU\S-1-5-21-3918751067-717928060-3746672622-1001: @tools.google.com/Google Update;version=9 -> C:\Users\user\AppData\Local\Google\Update\1.3.33.5\npGoogleUpdate3.dll [No File]
CHR Profile: C:\Users\user\AppData\Local\Google\Chrome\User Data\System Profile [2017-07-12]
CHR HKLM\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [dljdacfojgikogldjffnkdcielnklkce] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ehkipmcipcejliebomgjmfchgplnbmfm] - <no Path/update_url>
CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [mfmjpfoggikolkfilofbpgcnhdcgahib] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pfjgibhmcgncmjhdodpaolfbjpjjajal] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - hxxps://clients2.google.com/service/update2/crx
OPR StartupUrls:  "hxxp://mail.ru/cnt/10445" 
S2 BDSafeBrowser; C:\Windows\System32\DRIVERS\BDSafeBrowser.sys [62664 2015-05-04] (Baidu)
2017-07-15 01:22 - 2013-06-14 19:56 - 00032768 _____ ((주)마크애니) C:\Windows\system32\MASetupCleaner.exe
ContextMenuHandlers01: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
ContextMenuHandlers01: [AIMPClassic] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
ContextMenuHandlers01: [BB FlashBack 2] -> {A8065B9E-193F-4797-B62D-8F6321E7FCCB} =>  -> No File
ContextMenuHandlers01: [HamsterLiteMenu] -> {2DEDD2C9-928E-4442-9417-769C969973B6} =>  -> No File
ContextMenuHandlers01: [MRACMenu] -> {B495CAFE-D53F-408B-A081-0814BE80EB3E} => C:\Users\user\AppData\Roaming\Mail.Ru\Agent\Mra\dll\mramenu.dll [2013-01-09] ()
ContextMenuHandlers01: [MRAICQCMenu] -> {7C9E7B90-88EC-4852-AC7A-C938268A5D04} =>  -> No File
ContextMenuHandlers01: [ObjectDockShellExt] -> {1984D045-52CF-49cd-DB77-08F378FEA4DB} =>  -> No File
ContextMenuHandlers04: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
ContextMenuHandlers04: [AIMPClassic] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
ContextMenuHandlers04: [ObjectDockShellExt] -> [CC]{1984D045-52CF-49cd-DB77-08F378FEA4DB} =>  -> No File
ContextMenuHandlers05: [ObjectDockShellExt] -> {1984D045-52CF-49cd-DB77-08F378FEA4DB} =>  -> No File
Task: {E52CA9B1-0629-4CF1-8019-AE7CC999F4E2} - System32\Tasks\Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B => schtasks [Argument = /run /TN "\Microsoft\Windows\Setup\gwx\refreshgwxconfig"]
AlternateDataStreams: C:\Windows:{DA6227CB-326B-4B4D-9A81-04B61F1538DD} [26]
AlternateDataStreams: C:\Windows\Temp:8E6PgAUa7bUid605jNY6yP [2050]
AlternateDataStreams: C:\Windows\Temp:OxPpomygALFnko5prZ [2230]
AlternateDataStreams: C:\Program Files\Common Files\System:EJT7kHE8zvcOrjYPdZSfyzRcnL [2260]
AlternateDataStreams: C:\Users\Все пользователи\Microsoft:h7EmDUyvXtuadVkcH6xF6o [1990]
AlternateDataStreams: C:\Users\Все пользователи\Microsoft:kqgLNE3skXETjA4k4YDsB4 [2180]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:05EE1EEF [103]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [147]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:8C35AEA7 [164]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [278]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
HKU\S-1-5-21-3918751067-717928060-3746672622-1001\Software\Classes\.exe: exefile =>  <==== ATTENTION
MSCONFIG\startupreg: 8f984fd3d92f592d5172d73fcd7c979db98b3359 => iexplore.exe
MSCONFIG\startupreg: b0c62d42c661 => iexplore.exe
MSCONFIG\startupreg: baidu => C:\Program Files\baidu\BindEx.exe
MSCONFIG\startupreg: chromium => C:\Users\user\AppData\Local\Google\Chrome\Application\chrome.exe --no-startup-window
MSCONFIG\startupreg: Clownfish => 
MSCONFIG\startupreg: DAEMON Tools Lite => "D:\Програмы\DAEMON Tools Lite\DTLite.exe" -autorun
MSCONFIG\startupreg: DATAMNGR => 
MSCONFIG\startupreg: eTranslator Update => "C:\Users\user\AppData\Roaming\eTranslator\eTranslator.exe" -checkforupdates
MSCONFIG\startupreg: GameCenterMailRu => 
MSCONFIG\startupreg: Guard.Mail.ru.gui => "C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe" /gui
MSCONFIG\startupreg: IDSCCOMCKW => "C:\Program Files\SpaceSoundPro\idsccom_CKW.exe"
MSCONFIG\startupreg: ImageEd => "C:\Users\user\AppData\Roaming\ImageCropResize\ImageEd\ImageEd.exe"
MSCONFIG\startupreg: MAgent => C:\Users\user\AppData\Roaming\Mail.Ru\Agent\magent.exe -CU
MSCONFIG\startupreg: MailRuUpdater => C:\Users\user\AppData\Local\Mail.Ru\MailRuUpdater.exe
MSCONFIG\startupreg: multibar.exe => "C:\Program Files\Ticno\Multibar\multibar.exe" /auto
MSCONFIG\startupreg: Nezavisimo => C:\Program Files\Napnut\Nezavisimo\krip.exe
MSCONFIG\startupreg: Обнови Софт => 
Reboot:

Сохраните (Ctrl+S) и закройте.
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[s4dko]

Ctrl + Y отказался работать( издавался звук мол такого хоткея не существует ). Но я создал вручную файл fixlist.txt, закинул туда ваш скрипт, открыл FRST и нажал Fix. Скрипт успешно выполнился, комп перезагрузился.

В логе есть некие проблемы с кодировкой, мб из за того что я скрипт в utf-8 сохранил... Не знаю на сколько это важно. Если надо будет переделаю.

[Vvvyg]

А теперь стоит всё же сделать sfc /scannow с установочным диском.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 26
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\explorer.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Razy.25782 )
  2. c:\windows\servicing\trustedinstaller.exe - HEUR:Trojan.Win32.Generic
  3. c:\windows\system32\rundll32.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Kazy.762148 )
  4. c:\windows\system32\searchprotocolhost.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Razy.13830 )
  5. c:\windows\system32\snmptrap.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Zusy.135817 )
  6. c:\windows\system32\taskeng.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Razy.28013 )
  7. c:\windows\system32\unregmp2.exe - HEUR:Trojan.Win32.Generic
  8. c:\windows\system32\wbem\wmiapsrv.exe - HEUR:Trojan.Win32.Generic