Что делать, если сборщик логов работает без завершения работы? После пункта "Выполняется исследование системы" не завершается.

запросил перезагрузиться, перезагрузил, после перезагрузки снова зарядил на полчаса.
upd. Всё, через 30 мин создал:
https://cloud.mail.ru/public/CTfZ/9zNz7UrB4

Здравствуйте!

Логи прикрепляйте к сообщению, пожалуйста.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantineEx(true);
TerminateProcessByName('c:\programdata\drivers\csrss.exe');
TerminateProcessByName('c:\programdata\resources\svchost.exe');
TerminateProcessByName('c:\programdata\services\csrss.exe');
TerminateProcessByName('c:\programdata\windows\csrss.exe');
QuarantineFile('C:\PROGRA~2\SysWOW64\nNLmu.cmd', '');
QuarantineFile('c:\programdata\drivers\csrss.exe', '');
QuarantineFile('c:\programdata\resources\svchost.exe', '');
QuarantineFile('c:\programdata\services\csrss.exe', '');
QuarantineFile('c:\programdata\windows\csrss.exe', '');
DeleteFile('C:\PROGRA~2\SysWOW64\nNLmu.cmd', '32');
DeleteFile('c:\programdata\drivers\csrss.exe', '');
DeleteFile('C:\ProgramData\Drivers\csrss.exe', '32');
DeleteFile('c:\programdata\resources\svchost.exe', '');
DeleteFile('C:\ProgramData\Resources\svchost.exe', '32');
DeleteFile('c:\programdata\services\csrss.exe', '');
DeleteFile('C:\ProgramData\services\csrss.exe', '32');
DeleteFile('c:\programdata\windows\csrss.exe', '');
DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '32');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS', '32');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hh.exe', '32');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Session Manager', '32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина (http://dragokas.com/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Прикрепите свежий CollectionLog.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. »
Это всего нужно ещё сделать 2 лога, или 1 с нажатым "Shift"?
Имя карантина: 2019.03.04_quarantine_71edb885739cddffe037a84279668fbe.7z.

Один с нажатым Shift.

Один »

Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (или с зеркала (http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/)) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17759/').

Прикрепите отчеты »

Отключите до перезагрузки антивирус.
Выделите следующий код:
Start::
CreateRestorePoint:
GroupPolicy\User: Restriction ? <==== ATTENTION
2019-03-02 01:13 - 2019-03-04 13:55 - 000000000 __SHD C:\ProgramData\SysWOW64
2019-03-02 01:13 - 2019-03-04 13:55 - 000000000 __SHD C:\ProgramData\Resources
2019-03-02 01:12 - 2019-03-04 13:55 - 000000000 __SHD C:\ProgramData\services
2019-03-02 01:11 - 2019-03-02 01:11 - 002148954 _____ C:\Users\Миша\AppData\Roaming\2023DBCA2023DBCA.bmp
2019-03-02 01:11 - 2019-03-02 01:11 - 000004150 _____ C:\Users\Миша\Desktop\README9.txt
2019-03-02 01:11 - 2019-03-02 01:11 - 000004150 _____ C:\Users\Миша\Desktop\README8.txt
2019-03-02 01:11 - 2019-03-02 01:11 - 000004150 _____ C:\Users\Миша\Desktop\README7.txt
2019-03-02 01:11 - 2019-03-02 01:11 - 000004150 _____ C:\Users\Миша\Desktop\README6.txt
2019-03-02 01:11 - 2019-03-02 01:11 - 000004150 _____ C:\Users\Миша\Desktop\README5.txt
2019-03-02 01:11 - 2019-03-02 01:11 - 000004150 _____ C:\Users\Миша\Desktop\README4.txt
2019-03-02 01:11 - 2019-03-02 01:11 - 000004150 _____ C:\Users\Миша\Desktop\README3.txt
2019-03-02 01:11 - 2019-03-02 01:11 - 000004150 _____ C:\Users\Миша\Desktop\README2.txt
2019-03-02 01:11 - 2019-03-02 01:11 - 000004150 _____ C:\Users\Миша\Desktop\README10.txt
2019-03-02 01:11 - 2019-03-02 01:11 - 000004150 _____ C:\Users\Миша\Desktop\README1.txt
2019-03-02 01:10 - 2019-03-04 13:55 - 000000000 __SHD C:\ProgramData\Windows
2019-03-02 01:13 - 2019-03-02 01:13 - 012375552 _____ () C:\Users\Миша\AppData\Local\Temp\4402FEF0.exe
2019-03-02 01:12 - 2019-03-02 01:12 - 001635840 _____ () C:\Users\Миша\AppData\Local\Temp\676DAC28.exe
2019-03-02 01:11 - 2019-03-02 01:11 - 000887808 _____ (Microsoft Corporation) C:\Users\Миша\AppData\Local\Temp\7158C7B5.exe
2019-03-02 01:13 - 2019-03-02 01:13 - 000777216 _____ () C:\Users\Миша\AppData\Local\Temp\F4B81A8F.exe
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').

FRST64 »
Точно 64-разрядную версию? у меня Windows 10 x86.

Это шаблон на все случаи и к тому же в скобках :)
Конечно, запускайте свою, не 64.

Сделал.

Загрузите SecurityCheck by glax24 & Severnyj (http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe) и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

А куда дели файлы README... с рабочего стола?

Они в папке C:\frst\quarantine

Вынужден огорчить, это Shade и расшифровки для него нет.

C:\SecurityCheck\SecurityCheck.txt »

------------------------------- [ Windows ] -------------------------------
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Oracle VM VirtualBox Guest Additions 5.2.24 v.5.2.24.0 Внимание! Скачать обновления (https://www.virtualbox.org/wiki/Downloads)


Рекомендации после лечения. (http://forum.oszone.net/post-1838507-9.html)

Oracle VM VirtualBox Guest Additions 5.2.24 v.5.2.24.0 Внимание! Скачать обновления »
Мне что, менять Virtualbox? А если там регрессии?
И 6-й пока не хочу ставить.

Если и обновлять Virtualbox, то откатываться на более раннюю версию, т. к. 5.2 крашится и не факт, что исправили в 6.0.4.

Речь идёт об уязвимостях (https://www.securitylab.ru/news/496314.php).