активное заражение. проблемы с меню виндовс,скачиванием антивирусных утилит и прочие радости

[evgengss]

Доброго времени суток

1. началось все с сообщения винды critical error your start menu isn`t working. погуглил и согласно рекомендациям попытался вылечить через sfc /scannow и DISM /Online /Cleanup-Image /RestoreHealth-результат нулевой. обе команды вообще не работают

C:\WINDOWS\system32>sfc /scannow

Beginning system scan. This process will take some time.


Windows Resource Protection could not perform the requested operation.


C:\WINDOWS\system32>DISM /Online /Cleanup-Image /RestoreHealth

Deployment Image Servicing and Management tool
Version: 10.0.17763.771

Image Version: 10.0.17763.775

[== 4.5% ]
Error: 1450

Insufficient system resources exist to complete the requested service.

обращался к буржуям с форума sysnative.com и там выяснили, что системных ресурсов более чем достаточно и проблем с аппаратной частью нет никаких. рекомендовали писать в антивирусную ветку, создал,выслал логи созданные Farbar,но пока тишина в ответ

2. пытался скачивать утилиты KVRT и Dr.Web CureIt. ни через один браузер это сделать не получается. пришлось использовать менеджер закачек. в итоге, с Dr.Web CureIt получаю BSOD. KVRT нашел и сообщает,что прибил какую то активную заразу в системной памяти. но после перезагрузки имеем все те же critical error your start menu isn`t working, неработающие sfc /scannow и DISM /Online /Cleanup-Image /RestoreHealth+нечто по прежнему блокирует скачивание KVRT и Dr.Web CureIt через браузеры

[Info_bot]

Уважаемый(ая) evgengss, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[evgengss]

P.S. поскольку ответа долго нет и неизвестно когда будет,а работать как то надо продолжил попытки вылечиться. KVRT при повторном запуске после лечения и перезагрузки ничего более не находит. Malwarebytes и AdwCleaner что то также нашли и вроде как вычистили уже после лечения с KVRT. снова перезагрузка и проблемы не решились.
актуальный лог после лечения всем вышеуказанным приложил

[Vvvyg]

Не ваш случай?

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\Public\Desktop\FSCloud.lnk"         -> ["C:\Users\Public\Downloads\FSCloud\FSCloud.exe"]
>>>  "C:\Users\Public\Desktop\Envdir.lnk"          -> ["C:\Users\Public\AppData\Local\TOGA projects\ENVDIR\Envdir.exe"]
>>>  "C:\Users\Public\Desktop\Aerosoft Updater.lnk"          -> ["C:\Users\Public\Documents\Aerosoft\ASUpdater\ASUpdater.exe"]
>>>  "C:\Users\Public\Desktop\TC PU Programs\uTorrent.lnk"   -> ["C:\TCPU71\Programm\uTorrent\uTorrent.exe"]
>>>  "C:\Users\homepc\AppData\Local\Garmin\Trainers\Launcher\Hangar\NGSTP1\avionics\Navigator_1\GTN\750\winfs_mount\active\fc_tpc.lnk"       -> ["C:\ProgramData\Garmin\Trainers\Databases\fc_tpc"]
>>>  "C:\Users\.NET v4.5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk"         -> ["C:\Users\.NET v4.5\AppData\Local\Microsoft\OneDrive\OneDrive.exe"]
>>>  "C:\Users\.NET v4.5 Classic\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk"           -> ["C:\Users\.NET v4.5 Classic\AppData\Local\Microsoft\OneDrive\OneDrive.exe"]
>>>  "C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk"    -> ["C:\Users\DefaultAppPool\AppData\Local\Microsoft\OneDrive\OneDrive.exe"]
>>>  "C:\Users\Public\Desktop\Load Manager.lnk"    -> ["C:\Users\Public\Documents\Maddog X Files\Load Manager\maddog_lm.exe"]

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:

Код:

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task: (telemetry) NvTmMon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvTmMon.exe (file missing)
O22 - Task: (telemetry) NvTmRepCR1_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvTmRep.exe /noshim (file missing)
O22 - Task: (telemetry) NvTmRepCR2_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvTmRep.exe /noshim (file missing)
O22 - Task: (telemetry) NvTmRepCR3_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvTmRep.exe /noshim (file missing)
O22 - Task: (telemetry) NvTmRepOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvTmRep.exe --logon (file missing)
O22 - Task: (telemetry) NvTmRep_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvTmRep.exe (file missing)
O22 - Task: NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NVIDIA GeForce Experience\NVIDIA GeForce Experience.exe (file missing)
O22 - Task: NvBatteryBoostCheckOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe -d "C:\Program Files\NVIDIA Corporation\NvBackend\NvBatteryBoostCheck" -l 3 -f C:\ProgramData\NVIDIA\NvContainerBatteryBoostCheck.log (file missing)
O22 - Task: NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe -d "C:\Program Files\NVIDIA Corporation\NvDriverUpdateCheck" -l 3 -f C:\ProgramData\NVIDIA\NvContainerDriverUpdateCheck.log (file missing)
O22 - Task: NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files (x86)\NVIDIA Corporation\NvNode\nvnodejslauncher.exe --launcher=TaskScheduler (file missing)
O22 - Task: NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\Update Core\NvProfileUpdater64.exe (file missing)
O22 - Task: NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\Update Core\NvProfileUpdater64.exe (file missing)

Сделайте новые логи FRST и приложите.

[evgengss]

Добрый вечер

нет не мой случай точно. спецы с sysnative.com помимо KB4524147 грешили еще и на KB4515384, который также ломает меню Пуск

https://www.windowscentral.com/how-f...384-windows-10

но у меня не установлено и никогда не ставилось ни то, ни другое обновление

эти строки ниже не нашел и пофиксил в HijackThis только те, что увидел

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)

еще сегодня днем сделал анализ на VirusDetector https://virusinfo.info/virusdetector...FD41B8B9C38F3A

заразы никакой не нашел,но это уже было после того как KVRT за компанию с Malwarebytes+AdwCleaner нашли в памяти и реестре малварь и прибили ее. за файлы,что VirusDetector пометил как неопознанные могу поручиться. получены из доверенных источников и используются задолго до предполагаемого заражения вчера
логи FRST после всех указанных вами действий прилагаются
да кстати. теперь KVRT и cureit могу скачивать через браузер. ничего скачивание не блокирует

[Vvvyg]

Не вижу я никакого активного заражения. Очень много установленных программ, 3 антивируса - всякие глюки могут быть.

Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас. Если его нет- продолжайте без него.

Откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".

Введите sfc /scannow и нажмите Enter.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.

[evgengss]

Не вижу я никакого активного заражения. Очень много установленных программ, 3 антивируса - всякие глюки могут быть.

Откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".

Введите sfc /scannow и нажмите Enter.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.

заражение скорее всего было. KVRT работал первым и нашел нечто в памяти, затем прибил. есть его логи,но у них закрытый формат. приложу- может у вас есть,чем прочитать
основным антивирем у меня стоит доктор веб секьюрити спейс и до 7го сентября он успешно справлялся. а началось все с того, что 7го числа ставил купленный недавно симулятор Prepar3D v4. инсталлер пожаловался,что не может записать какие то ключи в реестр винды и я нажал отмену. перезагрузился и тут вся канитель с "critical error your start menu isn`t working" понеслась сразу же. локхид мартин контора серьезная и пытаться предположить,что они пихают малварь в лицензионный софт за $59.95 даже не стоит. саппорт ничего толком сказать не может.

sfc /scannow и DISM не работают вообще (я с них и начал попытки починить винду и уже после запустил KVRT) ни под текущим пользователем, ни под каким либо другим. в безопасном режиме они не работают тоже.
если буржуи с sysnative форума не смогут помочь реанимировать sfc /scannow и DISM, выход вижу только -один-бэкап содержимого диска и попытка обновиться на билд винды 1903 в режиме in-place upgrade,то бишь с сохранением настроек и приложений. есть вероятность,что инсталлер 1903 версии пофиксит все неполадки. если нет, то буду все ставить вчистую

логи KVRT во вложении. может из них,что то получится вытащить

[evgengss]

Не вижу я никакого активного заражения. Очень много установленных программ, 3 антивируса - всякие глюки могут быть.

Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас. Если его нет- продолжайте без него.

Откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".

Введите sfc /scannow и нажмите Enter.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.

sfc /scannow и dism не работают совсем. ни под текущим пользователем, ни под любыми другими. в безопасном режиме тоже пишет Windows Resource Protection could not perform the requested operation

если буржуи с форума сиснайтив сегодня- завтра не помогут реанимировать sfc /scannow и dism,то буду систему переставлять вчистую с форматированием диска. бэкап уже сделал всего чего можно

[Vvvyg]

Не нужно полностью цитировать сообщения, просто пишите в окне "Быстрый ответ".
В результате сообщения провисели на премодерации, на почту мне оповещения не пришли.

Логи KVRT шифрованные, прочитать не могу. Похоже, систему, действительно, переустанавливать.