Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Ноут перезагружается самопроизвольно (http://forum.oszone.net/showthread.php?t=342426)

alissa_12 03-10-2019 17:14 2890619
Ноут перезагружается самопроизвольно
 
Вложений: 2
Здравствуйте!
Ноут перезагружается сам, иногда выдает ошибку (на приложенном скрине), а иногда сразу черный экран и перезагрузка
Может перезагружаться раз в день, а может и несколько раз. Не знаю от чего это зависит
Посмотрите, пожалуйста, логи, может увидите причину
Заранее спасибо!

Sandor 04-10-2019 08:18 2890664
Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:
Цитата:
Web Companion
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\RegPolicy\aticonto.exe', '');
 DeleteFile('C:\Windows\RegPolicy\aticonto.exe', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'aticonto', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

alissa_12 04-10-2019 21:25 2890745
Вложений: 2
Нежелательное ПО - удалила
Оба скрипта - выполнила

Файл Карантин - по форме отправила:
2019.10.04_quarantine_7e227611f1d9ba44913afb5728aae71d.7z

Логи заново сделала, прилагаю
И еще заметила, что в браузере Google у меня стало выходить какое-то всплывающее рекламное окно (скрин во вложении). Я обновляю страничку - оно исчезает. Может это как-то связано с основной проблемой. Кстати, оно снова появилось после выполнения скриптов
Хотелось бы его тоже убрать, если возможно

P.S.
1. Минут через 10 после того как написала это сообщение - снова перезагрузился
2. Заметила особенность - допусти если смотрим фильмы - все норм, не перезагружается. Но как только хожу по сайтам в браузере, или работаю в Word, то перезагружается (или это просто совпадение)
3. Подумала еще такую версию - тут стоит Windows 8, 64 бит система, может ли быть такое, что установлена какая-то программа, которая не контактирует с этим Windows, что и ведет к постоянным перезагрузкам

Sandor 07-10-2019 08:30 2891021
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

alissa_12 07-10-2019 13:06 2891048
Вложений: 1
Сделала

Sandor 07-10-2019 15:29 2891065
1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

alissa_12 08-10-2019 14:45 2891210
Вложений: 4
Здравствуйте!

Цитата:
Цитата Sandor
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.
(Обратите внимание - C и S - это разные буквы). »
После первого сканирования файл с таким названием на появился
В итоге еще дважды просканировала

Цитата:
Цитата Sandor
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. »
Прикрепляю

Sandor 08-10-2019 15:31 2891214
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {4B132994-FD5D-49C4-A424-32CCD608944B} - System32\Tasks\{7C6DC58C-36AB-4201-BA1F-E689CD4D7C23} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Company\PowerPoint 2013\Uninstall.exe"
    CHR HKU\S-1-5-21-356431496-3959525834-3342876769-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [nladljmabboanhihfkjacnnkgjhnokhj] - hxxps://clients2.google.com/service/update2/crx
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

alissa_12 08-10-2019 16:51 2891222
Вложений: 2
Цитата:
Цитата Sandor
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. »
Сделала

После того, как ноут перезагрузился после этого скрипта, через секунд 30 перезагрузился второй раз уже самовольно
И показал такую ошибку - во вложении скрин

Sandor 08-10-2019 16:58 2891226
Предположу, что эти перезагрузки не из-за "вирусов".
Загрузите систему в безопасном режиме и понаблюдайте, будет ли перезагрузка?

alissa_12 10-10-2019 21:55 2891570
Я нажимаю при загрузке F8, но загрузка идет как обычно, в безопасный режим не переходит
Там на кнопочке увеличение звука нарисовано, и видно как эта функция работает, а как F8 не работает
В безопасном режиме все будет как обычно работать - ну Word, Excel, браузер? Просто именно в этих условиях перезагрузка всегда происходит. Сегодня снова в течение 2-х часов перезагрузился раза 3-4 наверно, пока я работала в Word
А допустим просмотр фильмов, хоть 5 часов подряд - ни разу не перезагрузился

Sandor 11-10-2019 08:30 2891607
Цитата:
Цитата alissa_12
видно как эта функция работает, а как F8 не работает »
Вероятно вам следует еще одновременно нажимать клавишу Fn. Или воспользоваться альтернативным способом через msconfig.

alissa_12 20-10-2019 18:50 2892897
Вложений: 3
Загрузила в безопасном режиме Windows 8 через msconfig (ни какие комбинации с F8 не сработали)
По сути проверить работоспособность не знаю как... потому что при открытии Word и Excel - выходят ошибки, скрины я их сделала и прикладываю. Перезагрузки повторяются, проблема не решена.. и теперь еще иногда когда ошибка с синим экраном выходит - там указан код ошибки. Это чем-то поможет?

P.S. Получается, что если дело не в вирусе, то тему закрывать? (

Sandor 21-10-2019 08:23 2892961
Посмотрим еще такой лог:

Скачайте Malwarebytes' Anti-Malware. Установите и запустите.
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

alissa_12 23-10-2019 20:54 2893275
Вложений: 1
Прикрепляю

Sandor 24-10-2019 09:18 2893336
Повторите сканирование и удалите (поместите в карантин) только:
Цитата:
Папка: 4
PUP.Optional.BrowserManager, C:\Users\User\AppData\Local\Yandex\BrowserManager\data\SeederTasks, Проигнорировано пользователем, [941], [383595],1.0.13031
PUP.Optional.BrowserManager, C:\Users\User\AppData\Local\Yandex\BrowserManager\data, Проигнорировано пользователем, [941], [383595],1.0.13031
PUP.Optional.BrowserManager, C:\USERS\USER\APPDATA\LOCAL\YANDEX\BROWSERMANAGER, Проигнорировано пользователем, [941], [383595],1.0.13031
PUP.Optional.MailRu, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, Проигнорировано пользователем, [254], [454830],1.0.13031

Файл:
PUP.Optional.BrowserManager, C:\Users\User\AppData\Local\Yandex\BrowserManager\data\SeederTasks\thumbsv1.json, Проигнорировано пользователем, [941], [383595],1.0.13031
PUP.Optional.MailRu, C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000005.ldb, Проигнорировано пользователем, [254], [454830],1.0.13031
PUP.Optional.MailRu, C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000961.ldb, Проигнорировано пользователем, [254], [454830],1.0.13031
PUP.Optional.MailRu, C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000963.ldb, Проигнорировано пользователем, [254], [454830],1.0.13031
PUP.Optional.MailRu, C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000966.ldb, Проигнорировано пользователем, [254], [454830],1.0.13031
PUP.Optional.MailRu, C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000968.log, Проигнорировано пользователем, [254], [454830],1.0.13031
PUP.Optional.MailRu, C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000969.ldb, Проигнорировано пользователем, [254], [454830],1.0.13031
PUP.Optional.MailRu, C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\CURRENT, Проигнорировано пользователем, [254], [454830],1.0.13031
PUP.Optional.MailRu, C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOCK, Проигнорировано пользователем, [254], [454830],1.0.13031
PUP.Optional.MailRu, C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG, Проигнорировано пользователем, [254], [454830],1.0.13031
PUP.Optional.MailRu, C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG.old, Проигнорировано пользователем, [254], [454830],1.0.13031
PUP.Optional.MailRu, C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\MANIFEST-000001, Проигнорировано пользователем, [254], [454830],1.0.13031
PUP.Optional.MailRu, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Проигнорировано пользователем, [254], [454830],1.0.13031

alissa_12 25-10-2019 13:00 2893538
Вложений: 1
Сделала, убрала в карантин выделенное.. и проверила заново.. но опять что ли в отчете выходят?

Sandor 25-10-2019 13:28 2893545
Так MBAM реагирует на поисковую систему mail.ru, которая в русскоязычной версии Chrome стоит по умолчанию.
То есть, проблема не в этом.

Обратитесь за помощью в системный раздел форума. Ссылку на эту тему там укажите.

Тут в завершение:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

MBAM можно деинсталлировать через Панель управления.
Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

alissa_12 26-10-2019 13:41 2893660
Вложений: 1
Рекомендации сделала, спасибо


Время: 00:46.

Время: 00:46.
© OSzone.net 2001-