Junior Member
Вес репутации
55
Ключ реестра TaskbarNoNotification
Добрый день!
Может и не вирус вовсе, но не знаю куда обратиться ещё.
Не знаю что произошло, но в реестре в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer начал появляться постоянно ключ TaskbarNoNotification.
Может сразу после удаления и перезагрузки появиться, может не появляться несколько дней. Не могу найти и определить кто его туда прописывает. Надеюсь на Вашу помощь.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) w03zd8rc , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Групповые политики используете?
Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора) )и пофиксите только эти строки :
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://www.oursurfing.com/?type=hp&ts=1435216074&z=39371430ef04c2061749b42gazdc8w5o6gaqde0m9c&from=amt&uid=SanDiskXSD6SB1M256G1022I_144672400350
R0 - HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command: (default) = C:\Program Files\Internet Explorer\iexplore.exe http://www.oursurfing.com/?type=sc&ts=1435216074&z=39371430ef04c2061749b42gazdc8w5o6gaqde0m9c&from=amt&uid=SanDiskXSD6SB1M256G1022I_144672400350
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://www.oursurfing.com/?type=hp&ts=1435216074&z=39371430ef04c2061749b42gazdc8w5o6gaqde0m9c&from=amt&uid=SanDiskXSD6SB1M256G1022I_144672400350
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://www.oursurfing.com/web/?type=ds&ts=1435216074&z=39371430ef04c2061749b42gazdc8w5o6gaqde0m9c&from=amt&uid=SanDiskXSD6SB1M256G1022I_144672400350&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://www.oursurfing.com/web/?type=ds&ts=1435216074&z=39371430ef04c2061749b42gazdc8w5o6gaqde0m9c&from=amt&uid=SanDiskXSD6SB1M256G1022I_144672400350&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://www.oursurfing.com/?type=hp&ts=1435216074&z=39371430ef04c2061749b42gazdc8w5o6gaqde0m9c&from=amt&uid=SanDiskXSD6SB1M256G1022I_144672400350
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://www.oursurfing.com/?type=hp&ts=1435216074&z=39371430ef04c2061749b42gazdc8w5o6gaqde0m9c&from=amt&uid=SanDiskXSD6SB1M256G1022I_144672400350
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://www.oursurfing.com/web/?type=ds&ts=1435216074&z=39371430ef04c2061749b42gazdc8w5o6gaqde0m9c&from=amt&uid=SanDiskXSD6SB1M256G1022I_144672400350&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://www.oursurfing.com/web/?type=ds&ts=1435216074&z=39371430ef04c2061749b42gazdc8w5o6gaqde0m9c&from=amt&uid=SanDiskXSD6SB1M256G1022I_144672400350&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://www.oursurfing.com/?type=hp&ts=1435216074&z=39371430ef04c2061749b42gazdc8w5o6gaqde0m9c&from=amt&uid=SanDiskXSD6SB1M256G1022I_144672400350
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: [URL] = http://www.oursurfing.com/web/?type=ds&ts=1435216074&z=39371430ef04c2061749b42gazdc8w5o6gaqde0m9c&from=amt&uid=SanDiskXSD6SB1M256G1022I_144672400350&q={searchTerms} - oursurfing
R4 - SearchScopes: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: [URL] = http://www.oursurfing.com/web/?type=ds&ts=1435216074&z=39371430ef04c2061749b42gazdc8w5o6gaqde0m9c&from=amt&uid=SanDiskXSD6SB1M256G1022I_144672400350&q={searchTerms} - oursurfing
O4 - HKU\.DEFAULT\..\Run: [Bitrix24 Desktop] = C:\Program Files (x86)\Bitrix24\BitrixDesktop.exe (file missing)
O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^SPDriverInstall.lnk [backup] => C:\Program Files\MediaTek\SP Driver\SPDriverInstall (2018/12/17) (file missing)
O4 - MSConfig\startupfolder: C:^Users^popovichav^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Magic Mouse Utilities.lnk [backup] => C:\Program Files (x86)\Magic Mouse Utilities\MagicMouseUtilities.exe (2015/05/08) (file missing)
O4 - MSConfig\startupreg: DLSService [command] = C:\Program Files (x86)\DYMO\DYMO Label Software\DLSService.exe (HKLM) (2015/09/09) (file missing)
O4 - MSConfig\startupreg: EaseUS EPM Tray Agent [command] = C:\Program Files (x86)\EaseUS\EaseUS Partition Master 10.0\bin\TrayPopupE\TrayTipAgentE.exe (HKLM) (2014/04/23) (file missing)
O4 - MSConfig\startupreg: EaseUS EPM tray [command] = C:\Program Files (x86)\EaseUS\EaseUS Partition Master 10.0\bin\EpmNews.exe (HKLM) (2014/04/23) (file missing)
O4 - MSConfig\startupreg: Linia Crash Reporter [command] = C:\Program Files (x86)\DevLine\Line\crash_reporter.exe (HKLM) (2015/10/23) (file missing)
O4 - MSConfig\startupreg: Linia Mini [command] = C:\Program Files (x86)\DevLine\Linia SKW\linia_mini\linia_mini.exe (HKCU) (2015/05/08) (file missing)
O4 - MSConfig\startupreg: MailRuUpdater [command] = C:\Users\popovichav\AppData\Local\Mail.Ru\MailRuUpdater.exe (HKCU) (2015/11/17) (file missing)
O4 - MSConfig\startupreg: NvBackend [command] = C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe (HKLM) (2015/12/22) (file missing)
O4 - MSConfig\startupreg: PriceMeterW [command] = C:\Users\popovichav\AppData\Local\PriceMeter\pricemeterw.exe (HKCU) (2014/04/23) (file missing)
O4 - MSConfig\startupreg: Steam [command] = D:\games\Steam\steam.exe -silent (HKCU) (2015/11/17) (file missing)
O4 - MSConfig\startupreg: Timestasks [command] = C:\ProgramData\TimeTasks\timetasks.exe" " (HKLM) (2015/11/18) (file missing)
O4 - MSConfig\startupreg: ZaxarGameBrowser [command] = C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe -s (HKLM) (2015/11/18) (file missing)
O4 - MSConfig\startupreg: ZaxarLoader [command] = C:\Program Files (x86)\Zaxar\ZaxarLoader.exe /verysilent (HKLM) (2015/11/18) (file missing)
O4 - MSConfig\startupreg: mailruhomesearchvbm [command] = C:\Users\popovichav\AppData\Local\Mail.ru\Sputnik\ptls\mailruhomesearchvbm.exe -ptlsff (HKCU) (2015/11/17) (file missing)
O4 - MSConfig\startupreg: mobilegeni daemon [command] = C:\Program Files (x86)\Mobogenie\DaemonProcess.exe (HKLM) (2014/04/23) (file missing)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_C: BitrixShellExt.FileIconOverlayExt_C Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll (file missing)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_E: BitrixShellExt.FileIconOverlayExt_E Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll (file missing)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_S: BitrixShellExt.FileIconOverlayExt_S Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll (file missing)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_C: BitrixShellExt.FileIconOverlayExt_C Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - C:\Program Files (x86)\Bitrix24\32\BitrixShellExt.dll (file missing)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_E: BitrixShellExt.FileIconOverlayExt_E Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - C:\Program Files (x86)\Bitrix24\32\BitrixShellExt.dll (file missing)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_S: BitrixShellExt.FileIconOverlayExt_S Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - C:\Program Files (x86)\Bitrix24\32\BitrixShellExt.dll (file missing)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_C: BitrixShellExt.FileIconOverlayExt_C Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - C:\Program Files (x86)\Bitrix24\32\BitrixShellExt.dll (file missing)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_E: BitrixShellExt.FileIconOverlayExt_E Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - C:\Program Files (x86)\Bitrix24\32\BitrixShellExt.dll (file missing)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_S: BitrixShellExt.FileIconOverlayExt_S Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - C:\Program Files (x86)\Bitrix24\32\BitrixShellExt.dll (file missing)
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Junior Member
Вес репутации
55
Груповые используются, но там нет этого ключа реестра.
Вложения
Политик у вас много и разных:
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
GroupPolicyScripts: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Кстати, если политики Google сами установили, уберите из фикслиста соответствующую строку.
Подчистим некоторый мусор.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [ebofkjllhndgcocjmbkgbnfomddgkaip] - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta1425\ch\VideoPlayerV3beta1425.crx <not found>
S3 CacheDump; "C:\Users\POPOVI~1\AppData\Local\Temp\cachedump64.exe" -s [X] <==== ATTENTION
S2 iZHost; "C:\Windows\SysWOW64\iZHost.exe" [X]
S3 RManInstallHelper; {C65116F6-64AC-4F2C-B463-4A91CD83FF07}\r_install.exe -RINSTALL [X]
S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMUdisk64.sys [X]
2015-05-19 02:43 - 2015-05-19 02:43 - 000247298 _____ () C:\Users\popovichav\AppData\Local\Tempdivx3ca7
2015-06-05 16:05 - 2015-06-05 16:05 - 000043682 _____ () C:\Users\popovichav\AppData\Local\Tempdivx59d7
2015-05-19 02:43 - 2015-05-19 02:43 - 000247298 _____ () C:\Users\popovichav\AppData\Local\Tempdivx9941
2015-06-08 13:32 - 2015-06-08 13:32 - 000043682 _____ () C:\Users\popovichav\AppData\Local\Tempdivxdb63
HKU\S-1-5-21-2488715770-4235817966-3563374635-1369\...\Policies\Explorer: [TaskbarNoNotification] 1
Reboot:
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод !
Отключите до перезагрузки антивирус, закройте все программы , запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt ). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Что именно прописывает ключ TaskbarNoNotification понять при таком количестве софта сложно. Предлагаю 2 варианта.
1. Установите значение ключа
Код:
HKU\S-1-5-21-2488715770-4235817966-3563374635-1369\...\Policies\Explorer: [TaskbarNoNotification]
в ноль и отберите права полного доступа на раздел реестра у всех, у кого он есть.
2. В Process Monitor настраивать мониторинг этого раздела реестра и ловить виноватого.
Junior Member
Вес репутации
55
Попробовал сначала Process Monitor, но это надо писать в течение дня (не известно, в какой момент времени и в связи с чем этот ключ появляется), и спустя час он вешает систему - не могу отследить кто это делает. Пошёл по первому пути, посмотрю не появится ли ключ снова.
Вложения
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Junior Member
Вес репутации
55
1й вариант не сработал. Система вернула себе полные права (учитывая что я даже владельца поменял, чтоб она не смогла это сделать) и ключ снова выставился в 1
Junior Member
Вес репутации
55
Выловил в Process Monitor момент изменения.
1.PNG
------------------------------
2.PNG
------------------------------
3.PNG
Group Policy client service шалит, смотрите GPO.
Junior Member
Вес репутации
55
Vvvyg , да, спасибо, уже понял что GPO шалил. Прошелюстил все груповые и нашёл таки пакостника - груповая политика выставляла.