Синее окно смерти при пользовании интернетом

**Porosenok** · 20.04.2024, 19:06

Добрый день! Возникла проблема - при использовании интернета через 5 минут вылетает синее окно смерти, либо компьютер просто перезагружается. При отключенном интернет-кабеле проблема отсутствует, компьютер работает нормально.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 20.04.2024, 19:07

Уважаемый(ая) Porosenok, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 20.04.2024, 20:44

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 DeleteFile('C:\Program Files\Google\Chrome\updater.exe', '64');
 DeleteFile('c:\users\з\appdata\local\temp\2BF843C8-BFC9B0C8-8F5F1070-4491FFB0\cUuIirNmi7jsamd.exe', '64');
 DeleteSchedulerTask('GoogleUpdateTaskMachineQC');
ExecuteSysClean;
 ExecuteRepair(13);
RebootWindows(false);
end.

Компьютер перезагрузится.

Сделайте новые логи по правилам раздела.

**Porosenok** · 20.04.2024, 22:14

Компьютер продолжает самопроизвольно перезагружаться при пользовании интернетом

**Vvvyg** · 20.04.2024, 23:05

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O1 - Hosts: Reset contents to default
O22 - Tasks: GoogleUpdateTaskMachineQC - C:\Program Files\Google\Chrome\updater.exe (not signed - no company - 221A714C7EA143399C9DAD504B12B29BE2F62BC9)

Перезагрузите систему.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Porosenok** · 21.04.2024, 13:54

Готово

**Vvvyg** · 21.04.2024, 15:25

Firefox Browser весьма подозрительный установлен в папке C:\Firefox, явно не от Mozilla. Возможно, он и возвращает майнер. Удалим, профиль браузера не затронет.

Chrone Browser сами устанавливали? Тоже стрёмный.

Отключите временно системный антивирус (Защитник).
Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3295525476-1098983851-3689423039-1001\...\Run: [Firefox Browser] => C:\Firefox\X-Firefox.exe [549794 2018-07-09] (www.winpenpack.com) [Файл не подписан]
Task: {01F04438-EE30-4938-BA3E-A461FD4AE590} - System32\Tasks\GoogleUpdateTaskMachineQC => C:\Program Files\Google\Chrome\updater.exe [10745360 2024-04-21] () [Файл не подписан] <==== ВНИМАНИЕ
File: C:\Firefox\X-Firefox.exe
Folder: C:\Firefox
C:\Firefox
C:\Program Files\Google\Chrome\updater.exe
File: C:\chrone\chrome.exe
Task: {B86F3B32-C120-4FBC-8686-A1E325397272} - System32\Tasks\Opera scheduled Autoupdate 1633537764 => C:\Users\З\AppData\Local\Programs\Opera\launcher.exe  --scheduledautoupdate $(Arg0) (Нет файла)
OPR Notifications: Opera Stable -> hxxps://44.cholteth.com; hxxps://92.cholteth.com
YAN Notifications: Default -> hxxps://dlmmoreigrcom1663757976205.tikstok.fun
Shortcut: C:\Users\З\Desktop\Браузер Opera.lnk -> C:\Users\З\AppData\Local\Programs\Opera\launcher.exe (Нет файла) <==== Cyrillic
Shortcut: C:\Users\З\Desktop\Менеджер Аддонов (Last Fallout Overhaul).lnk -> D:\Games\S.T.A.L.K.E.R - Last Fallout Overhaul\JSGME.exe (Нет файла) <==== Cyrillic
Shortcut: C:\Users\З\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Браузер Opera.lnk -> C:\Users\З\AppData\Local\Programs\Opera\launcher.exe (Нет файла) <==== Cyrillic
Shortcut: C:\Users\З\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2\Удалить MediaGet.lnk -> C:\Users\З\MediaGet2\mediaget-uninstaller.exe (Нет файла) <==== Cyrillic
Shortcut: C:\Users\З\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Браузер Opera.lnk -> C:\Users\З\AppData\Local\Programs\Opera\launcher.exe (Нет файла) <==== Cyrillic
Hosts:
FirewallRules: [TCP Query User{D4FFD531-6BA8-4780-BBE3-B287CD7B77C8}C:\users\з\appdata\local\programs\opera\opera.exe] => (Block) C:\users\з\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [UDP Query User{5CE05E70-C710-43E9-9EB8-BFF6C71A8D6F}C:\users\з\appdata\local\programs\opera\opera.exe] => (Block) C:\users\з\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [{54B144C4-BD0F-4DA5-9998-B9B6C0A06B68}] => (Allow) C:\Users\З\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
FirewallRules: [{6FECEBC7-E744-48B3-9C4B-7FB58AFFA8BA}] => (Allow) C:\Users\З\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{612E9EE2-50E2-4864-892D-7DDB47CC776C}] => (Allow) C:\Users\З\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [TCP Query User{8A480828-3D1F-4CEC-A42A-45E6654FDAD8}D:\games\you are empty\you_are_empty.exe] => (Allow) D:\games\you are empty\you_are_empty.exe => Нет файла
FirewallRules: [UDP Query User{92B6B46C-D618-4C0B-88E2-9A5C3807AFD1}D:\games\you are empty\you_are_empty.exe] => (Allow) D:\games\you are empty\you_are_empty.exe => Нет файла
FirewallRules: [TCP Query User{D36E4E6F-62FF-4CEC-A3D1-CF4250F5065F}D:\games\brothers in arms - hell's highway\binaries\biahh.exe] => (Allow) D:\games\brothers in arms - hell's highway\binaries\biahh.exe => Нет файла
FirewallRules: [UDP Query User{05E68F59-B1BF-47A8-8351-BA3D13DC6A60}D:\games\brothers in arms - hell's highway\binaries\biahh.exe] => (Allow) D:\games\brothers in arms - hell's highway\binaries\biahh.exe => Нет файла
FirewallRules: [TCP Query User{AAF12DBD-ECD8-4797-9C6D-1CE6275D6B78}D:\games\singularity\binaries\singularity.exe] => (Allow) D:\games\singularity\binaries\singularity.exe => Нет файла
FirewallRules: [UDP Query User{AC7AD859-16E3-4C5B-9111-46DFFAD67E19}D:\games\singularity\binaries\singularity.exe] => (Allow) D:\games\singularity\binaries\singularity.exe => Нет файла
FirewallRules: [{0BAECC47-681B-4693-8651-6AE5F808B84E}] => (Block) D:\games\singularity\binaries\singularity.exe => Нет файла
FirewallRules: [{70F74452-0B6D-4F8C-832C-DBF3A4D83CDE}] => (Block) D:\games\singularity\binaries\singularity.exe => Нет файла
FirewallRules: [TCP Query User{7203A6A6-B4D9-4878-A3ED-6A76479234D1}D:\games\enlisted\launcher.exe] => (Allow) D:\games\enlisted\launcher.exe => Нет файла
FirewallRules: [UDP Query User{283DC677-5EFB-49CA-8C9A-828965780CC9}D:\games\enlisted\launcher.exe] => (Allow) D:\games\enlisted\launcher.exe => Нет файла
FirewallRules: [TCP Query User{43C8E25D-6FA7-4848-B170-45B5AD3DB5C6}C:\users\з\downloads\call.of.duty.vanguard.ultimate.edition.battle.net.rip-insaneramzes\call of duty vanguard\vanguard.exe] => (Allow) C:\users\з\downloads\call.of.duty.vanguard.ultimate.edition.battle.net.rip-insaneramzes\call of duty vanguard\vanguard.exe => Нет файла
FirewallRules: [UDP Query User{AE98E48F-0904-451D-B637-28B4509321C9}C:\users\з\downloads\call.of.duty.vanguard.ultimate.edition.battle.net.rip-insaneramzes\call of duty vanguard\vanguard.exe] => (Allow) C:\users\з\downloads\call.of.duty.vanguard.ultimate.edition.battle.net.rip-insaneramzes\call of duty vanguard\vanguard.exe => Нет файла
FirewallRules: [TCP Query User{AA66F17C-00A1-436F-90F5-19BC73EBD797}D:\games\vietnam.exe] => (Block) D:\games\vietnam.exe => Нет файла
FirewallRules: [UDP Query User{FB792D5E-0003-443E-9A7C-6053464CB588}D:\games\vietnam.exe] => (Block) D:\games\vietnam.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Firefox Browser
StartBatch:
del /q C:\Windows\MEMORY.DMP
del /s /q C:\Windows\Minidump\*.dmp
endbatch:
CreateRestorePoint:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив .RAR и прикрепите к своему следующему сообщению.
Компьютер будет перезагружен.

**Porosenok** · 21.04.2024, 19:58

Готово

**Vvvyg** · 21.04.2024, 20:08

По логу майнер удалён, снова. Что с проблемой?
Если осталась, нужен такой лог.

Отключите временно встроенный антивирус ("Защитник") - у него ложное срабатывание на компоненты используемой далее программы.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**Porosenok** · 21.04.2024, 22:12

Около часа компьютер работает нормально, не отключается. На всякий случай прикрепляю образ автозапуска uVS, вдруг вирус затаился. Я вижу, что браузер Firefox остался, удалить его и Chrome самостоятельно?

**Vvvyg** · 22.04.2024, 07:49

Порядок, дочистим по мелочам снова в FRST.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
StartPowerShell:
Remove-MpPreference -ExclusionPath "C:\Users\З"
Remove-MpPreference -ExclusionPath "C:\Program Files"
Remove-MpPreference -ExclusionPath "C:\Windows\system32\config\systemprofile"
EndPowerShell:
DeleteKey: HKLM-x32\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Firefox Browser
C:\USERS\PUBLIC\DESKTOP\FIREFOX BROWSER.LNK
C:\USERS\З\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MEDIAGET2\MEDIAGET.LNK
C:\USERS\З\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MEDIAGET.LNK
CreateRestorePoint:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt), прикрепите его к своему следующему сообщению.

Запись об установленном Firefox должна исчезнуть, Chrone Browser удалите самостоятельно, если не нужен.

**Porosenok** · 22.04.2024, 18:06

После исправления в FRST опять стало выскакивать синее окно смерти аналогично тому, что было до этого

**Vvvyg** · 22.04.2024, 20:05

Поздравляю, майнер снова на месте. хотя удаляли уже дважды. После скрипта в FRST - сообщение #7 в теме - делали полный образ автозапуска uVS 2024-04-21 21-20-05 - на это время всё было чисто. Удалять его можно чем угодно, но какая-то программа, скорее всего, взломанная игра восстанавливает майнер.

Выполните скрипт в AVZ:

Код:

begin
 DeleteFile('C:\Program Files\Google\Chrome\updater.exe', '64');
 DeleteSchedulerTask('GoogleUpdateTaskMachineQC');
 ExecuteRepair(13);
RebootWindows(true);
end.

После перезагрузки следующую проверку.
Сделайте проверку с помощью KVRT. Прикрепите упакованными в архив файлы отчёта report_<дата>_*.klr.enc1 из папки C:\KVRT2020_Data.

И вспоминайте. что устанавливали и запускали непосредственно перед появлением проблемы.

**Porosenok** · 23.04.2024, 20:29

После удаления некоторых игр и проверки KVRT компьютер не отключается

**Vvvyg** · 23.04.2024, 21:44

Будем надеяться, что на этом закончили.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

**Porosenok** · 23.04.2024, 22:06

Очень ценю Вашу помощь, большое спасибо!

Синее окно смерти при пользовании интернетом (заявка № 228548)

Опции темы