Помогите. Второй комп в сети заразился

[way]

ситуация усугубляется(
у второго компьютера в сети вообще отключился Защитник(

[Info_bot]

Уважаемый(ая) way, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[SQ]

Здравствуйте,

Просмотрите не ваш случай - Апрельские обновления сломали полное сканирование в Windows Defender



Удалите Driver Booster через установку программ в панели управления.

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

O4 - HKCU\..\Run: [alexa] = C:\WINDOWS\system32\cmd.exe /c start www.exinariuminix.info
O22 - Task: alexa - C:\WINDOWS\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v alexa /t REG_SZ /d "cmd.exe /c start www.exinariuminix.info"
O21 - HKLM\..\ShellIconOverlayIdentifiers\ SkyDrivePro1 (ErrorConflict): Microsoft SkyDrive Pro Icon Overlay 1 (ErrorConflict) - {8BA85C75-763B-4103-94EB-9470F12FE0F7} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ SkyDrivePro2 (SyncInProgress): Microsoft SkyDrive Pro Icon Overlay 2 (SyncInProgress) - {CD55129A-B1A1-438E-A425-CEBC7DC684EE} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ SkyDrivePro3 (InSync): Microsoft SkyDrive Pro Icon Overlay 3 (InSync) - {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)

- Подготовьте лог AdwCleaner и приложите его в теме.

[way]

добрый день

Здравствуйте,

Просмотрите не ваш случай - Апрельские обновления сломали полное сканирование в Windows Defender

проблемы начались немного раньше)
лог во вложении

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[way]

отчет во вложении

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[way]

логи

[SQ]

Сами настраивали ограничения в локально политике?

Код:

GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
GroupPolicyUsers\S-1-5-21-3041070351-906738250-1886818187-1004\User: Restriction <==== ATTENTION

Знакома ли Вам следующее:

Код:

R1 HWiNFO32; C:\Users\alexa\AppData\Local\Temp\HWiNFO32.SYS [23840 2020-01-25] (Martin Malik - REALiX -> REALiX(tm)) <==== ATTENTION

• Закройте и сохраните все открытые приложения.
• Выделите следующий код::
  
  Код:

  Start::
  CreateRestorePoint:
  CloseProcesses:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  Task: {D3A56EBE-13C6-48C0-946B-A484D108410F} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
  Task: {BE0F1E54-E490-4A7F-BC92-A33434782BFD} - System32\Tasks\Driver Booster SkipUAC (alexa) => C:\Program Files\IObit\Driver Booster\DriverBooster.exe
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  Folder: C:\Users\alexa\AppData\Roaming\GHISLER
  Folder: C:\Users\alexa\AppData\Local\GHISLER
  ContextMenuHandlers1: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} =>  -> No File
  ContextMenuHandlers2: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} =>  -> No File
  ContextMenuHandlers4: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} =>  -> No File
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST/FRST64 (от имени администратора).
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
• Обратите внимание, что компьютер будет перезагружен.

В системных событиях логируются проблемы со службами:

Код:

Error: (04/19/2020 01:41:01 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Служба "WMPNetworkSvc" является зависимой от службы "WSearch", которую не удалось запустить из-за ошибки 
Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства.

Error: (04/19/2020 01:41:01 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Служба "RasMan" является зависимой от службы "Dnscache", которую не удалось запустить из-за ошибки 
Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства.

Error: (04/19/2020 01:40:54 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Служба "NcaSvc" является зависимой от службы "Dnscache", которую не удалось запустить из-за ошибки 
Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства.

[way]

Сами настраивали ограничения в локально политике?

нет. ни чего в локальной политике не настраивал

Знакома ли Вам следующее:

что конкретно? на всякий случай: нет не знакома)

В системных событиях логируются проблемы со службами:

как исправить?

[SQ]

Сообщите, что с проблемой? Также сообщите если защитник запустился?

как исправить?

Это больше системная проблема, чем относится к лечению.

Как вариант проверьте целостность системных файлов.

Код:

sfc /scannow

- - - - -Добавлено - - - - -

нет. ни чего в локальной политике не настраивал

Если уверены, то выполните следующее:

• Закройте и сохраните все открытые приложения.
• Выделите следующий код::
  
  Код:

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction ? <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  GroupPolicyUsers\S-1-5-21-3041070351-906738250-1886818187-1004\User: Restriction <==== ATTENTION
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST/FRST64 (от имени администратора).
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
• Обратите внимание, что компьютер возможно будет перезагружен.

[way]

Сообщите, что с проблемой? Также сообщите если защитник запустился?

все так же.
еще забыл добавить, что в трее постоянно весит значок микрофона, который использует Yandex. отключить или войти в параметры не получается. выдает ошибку
Вложение 681497

Как вариант проверьте целостность системных файлов

что то восстановилось. но результат прежний. защитник не работает. win store нет, на обновлениях стоит ограничения админа

[SQ]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[way]

лог
https://yadi.sk/d/nlPvI8lrVh_6zg

[SQ]

В логах ничего плохого не вижу.

Проверьте пожалуйста вашу системы утилитой KVRT.

[way]

к большому сожалению защитник Windows так и не заработал

- - - - -Добавлено - - - - -

Проверьте пожалуйста вашу системы утилитой KVRT.

проверил, вирусов не обнаружено

[SQ]

Скачайте сторонную утилиту SFCFix.exe (by niemiro) и поместите на рабочей стол.
- Запустите программу.
- При запросах, нажмите "enter" (в общем должно получиться три-четыре раза).
- подождите завершения.
- по окончанию нажмите "enter", на рабочем столе сформируется файл SFCFix.txt приложите его к следующем сообщение.

P.S. файл sfx.txt можете удалить с рабочего стола

[way]

лог

[SQ]

Согласно логам ошибок нет. Могли бы приложить скрин с проблемой Защитника с кодом ошибки?

[way]

Могли бы приложить скрин с проблемой Защитника с кодом ошибки?

а ошибок особых то и нет)) просто он не работает. и не работает толком диспетчер обновлений
Вложение 681519
Вложение 681520
Вложение 681521