|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Что-то долбится в автозагрузку при загрузке операционной системы |
|
Что-то долбится в автозагрузку при загрузке операционной системы
|
Старожил Сообщения: 321 |
Профиль | Отправить PM | Цитировать
Добрый день. Меня уже достаёт какое-то чудо-изобретение какого-то мудака. Иначе его не назвать.
Сколько сталкивался с подобными вещами, так обычно можно достаточно не сложно найти откуда ноги растут у этих доставучих желающих попасть в автозагрузку испольняемых файлов. Но, на это раз, ситуация иная. Постоянно ломаться в автозагрузку разные файлы с разными названиями. Названия этих файлов всегда разные, причём они состоят из крокозяблов нечитабельных. Приходит, обычно, по 4 штуки. Вот, например, скрины тех, которые пришли сейчас я прикрепил к этому сообщению. Я пользуюсь программой AnVir Task Maneger уже не первый год. Обычно, запрещаю автозагрузку чего-либо или паралельно удаляю из автозагрузки вообще процесс и сам файл тоже удаляю. В этому случае, не помогает. Как я понимаю, есть какой-то генератор, который генерирует это dll-файлы. Названия этих файлов всегда разные. Поэтому приходится удалять это всё из автозагрузки постоянно. Ежедневно, при загрузке системы. Иногда даже в процессе работы (не при загрузке). Уже достало. Прошу помочь, как найти этот мусорный генератор dll'ок и снести его? |
|
Отправлено: 13:56, 22-11-2019 |
Ветеран Сообщения: 764
|
Профиль | Сайт | Отправить PM | Цитировать |
Отправлено: 14:14, 22-11-2019 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Старожил Сообщения: 321
|
Профиль | Отправить PM | Цитировать Лог прикреплён к сообщению.
|
Последний раз редактировалось hozman, 15-05-2021 в 14:50. Отправлено: 15:09, 22-11-2019 | #3 |
Ветеран Сообщения: 764
|
Профиль | Сайт | Отправить PM | Цитировать Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files (x86)\ACjdzmDaYIE\kAJ9Vqpz.dll', ''); QuarantineFile('C:\Program Files (x86)\ACjdzmDaYIE\tdxogCyq4.dll', ''); QuarantineFile('C:\ProgramData\SanKqrXSCcwHUcVB\cxRZYIc.wsf', ''); QuarantineFile('C:\ProgramData\wwwslvfdeaIGOiVB\zWVVXFw.wsf', ''); QuarantineFile('C:\Users\hoz\AppData\Local\Temp\csrss\scheduled.exe', ''); QuarantineFile('C:\Users\hoz\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe', ''); QuarantineFile('C:\Windows\rss\csrss.exe', ''); QuarantineFile('C:\Windows\windefender.exe', ''); QuarantineFile('http:\jeopath.club\app\app.exe', ''); DeleteFile('C:\Program Files (x86)\ACjdzmDaYIE\kAJ9Vqpz.dll', '32'); DeleteFile('C:\Program Files (x86)\ACjdzmDaYIE\tdxogCyq4.dll', '64'); DeleteFile('C:\ProgramData\SanKqrXSCcwHUcVB\cxRZYIc.wsf', '64'); DeleteFile('C:\ProgramData\wwwslvfdeaIGOiVB\zWVVXFw.wsf', '64'); DeleteFile('C:\Users\hoz\AppData\Local\Temp\csrss\scheduled.exe', '64'); DeleteFile('C:\Users\hoz\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe', '32'); DeleteFile('C:\Windows\rss\csrss.exe', '32'); DeleteSchedulerTask('AeXKSxCsXmTgh2'); DeleteSchedulerTask('jHlWMZKQwtzwX2'); DeleteSchedulerTask('ScheduledUpdate'); DelBHO('{984AFA40-4BEC-457F-AEDE-FE3404A646FA}'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. После перезагрузки, выполните такой скрипт: begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false); end. "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErQ420mCb-Qh0chbvse8ZjJaY5Ny0jMfk88zG2LBqokT0J19XPwPs0UdpCdYUSbzPoIvP390YBqXIQijlg9ESM8eMdHiBjotudcN25e5k-MciKq-nmztvetdpdBKpgHfy99UStYEkoldUvYc1XQ2GS0u3xaLA-GwU,&q={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErQ420mCb-Qh0chbvse8ZjJaY5Ny0jMfk88zG2LBqokT0J19XPwPs0UdpCdYUSbzPoIvP390YBqXIQijlg9ESM8eMdHiBjotudcN25e5k-MciKq-nmztvetdpdBKpgHfy99UStYEkoldUvYc1XQ2GS0u3xaLA-GwU,&q={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErQ420mCb-Qh0chbvse8ZjJaY5Ny0jMfk88zG2LBqokT0J19XPwPs0UdpCdYUSbzPoIvP390YBqXIQijlg9ESM8eMdHiBjotudcN25e5k-MciKq-nmztvetdpdBKpgHfy99UStYEkoldUvYc1XQ2GS0u3xaLA-GwU,&q={searchTerms} R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}: [url] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErQ420mCb-Qh0chbvse8ZjJaY5Ny0jMfk88zG2LBqokT0J19XPwPs0UdpCdYUSbzPoIvP390YBqXIQijlg9ESM8eMdHiBjotudcN25e5k-MciKq-nmztvetdpdBKpgHfy99UStYEkoldUvYc1XQ2GS0u3xaLA-GwU,&q={searchTerms} - Search the web O2 - HKLM\..\BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file) https://safezone.cc/threads/9188/ AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". {Исправление в службах в реестре, значения ImagePath. Данный скрипт распространяется свободно и может быть модицифирован по согласованию с авторами - представителями SafeZone.cc При публикации скрипта данный комментарий и ссылка на SafeZone.cc обязателена. } var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String; DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String; ImagePathStr, RootStr, SubRootStr, LangID: string; AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer; FinishMsg, RestoreMsg, FixMsg, CheckMsg: String; RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String; procedure CheckAndRestoreSection(Root: String); begin Inc(AllRoots); if RegKeyExistsEx('HKLM', Root) then RegKeyResetSecurity('HKLM', Root) else begin Inc(RootsRestored); RegKeyCreate('HKLM', Root); AddToLog(RegSectMsg + Root + RestMsg); end; end; procedure CheckAndRestoreSubSection; begin CheckAndRestoreSection(SubRootStr); end; procedure RestoredMsg(Root, Param: String); begin AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg); Inc(KeysRestored); end; procedure FixedMsg(Root, Param: String); begin AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg); Inc(KeysFixed); end; procedure RestoreStrParam(Root, Param, Value: String); begin RegKeyStrParamWrite('HKLM', Root, Param, Value); RestoredMsg(Root, Param); end; procedure CheckAndRestoreStrParam(Root, Param, Value: String); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', Root, Param) then RestoreStrParam(Root, Param, Value); end; procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', Root, Param) then begin RegKeyIntParamWrite('HKLM', Root, Param, Value); RestoredMsg(Root, Param); end; end; procedure CheckAndRestoreMultiSZParam(Param, Value: String); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', RootStr, Param) then begin ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true); RestoredMsg(RootStr, Param); end; end; // Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS' procedure ImagePathFix(Node, Srv: String); var RegStr: String; begin RegStr := 'SYSTEM\' + Node + '\Services\' + Srv; if RegKeyExistsEx('HKLM', RegStr) then begin Inc(AllKeys); RegKeyResetSecurity('HKLM', RegStr); RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr); FixedMsg(RegStr, 'ImagePath'); end; end; { Выполнение исправление всех ключей в ветках - 'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'} procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String); var FileServiceDll, CCSNumber: string; i : integer; begin if Srv = 'BITS' then FileServiceDll := FullPathSystem32 + 'qmgr.dll' else FileServiceDll := FullPathSystem32 + 'wuauserv.dll'; RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv; CheckAndRestoreSection(RootStr); CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText); CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText); CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem'); Inc(AllKeys); if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then RestoreStrParam(RootStr, 'ImagePath', ImagePathStr) else begin Dec(AllKeys); if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then for i:= 0 to 999 do begin if i > 0 then CCSNumber := FormatFloat('ControlSet000', i) else CCSNumber := 'CurrentControlSet'; ImagePathFix(CCSNumber, Srv); end; end; CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1); CheckAndRestoreIntParam(RootStr, 'Start', 2); CheckAndRestoreIntParam(RootStr, 'Type', 32); if Srv = 'BITS' then begin CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs'); CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ'); end; SubRootStr:= RootStr + '\Enum'; CheckAndRestoreSubSection; CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000'); CheckAndRestoreIntParam(SubRootStr, 'Count', 1); CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1); SubRootStr := RootStr + '\Security'; CheckAndRestoreSubSection; Inc(AllKeys); if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then begin RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00'); RestoredMsg(SubRootStr, 'Security'); end; SubRootStr:= RootStr + '\Parameters'; CheckAndRestoreSubSection; Inc(AllKeys); if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then begin RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll); RestoredMsg(SubRootStr, 'ServiceDll'); end else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then begin RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll); FixedMsg(SubRootStr, 'ServiceDll'); end end; { Главное выполнение } begin ClearLog; ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg'); ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg'); LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage'); if LangID = '0419' then begin DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.'; DispayNameTextWuauServ := 'Автоматическое обновление'; DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.'; DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)'; AddToLog('Операционная система - русская'); FinishMsg := '–––– Восстановление завершено ––––'; RestoreMsg := 'Восстановлено разделов\параметров: '; FixMsg := 'Исправлено параметров: '; CheckMsg := 'Проверено разделов\параметров: '; RegSectMsg := 'Раздел реестра HKLM\'; ParamMsg := 'Параметр '; ParamValueMsg := 'Значение параметра '; InRegSectMsg := ' в разделе реестра HKLM\'; CorrectMsg := ' исправлено на оригинальное.'; RestMsg := 'восстановлен.'; end else if LangID = '0409' then begin DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.'; DispayNameTextWuauServ := 'Automatic Updates'; DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.'; DispayNameTextBITS := 'Background Intelligent Transfer Service'; AddToLog('Operation system - english'); FinishMsg := '–––– Restoration finished ––––'; RestoreMsg := 'Sections\parameters restored: '; FixMsg := 'Parameters corrected: '; CheckMsg := 'Sections\parameters checked: '; RegSectMsg := 'Registry section HKLM\'; ParamMsg := 'Parameter '; ParamValueMsg := 'Value of parameter '; InRegSectMsg := ' in registry section HKLM\'; CorrectMsg := ' corrected on original.'; RestMsg := ' restored.'; end; AddToLog(''); { Определение папки X:\Windows\System32\ } NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory'); ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs'; Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1); FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\'; AllRoots := 0; AllKeys := 0; RootsRestored := 0; KeysRestored := 0; KeysFixed := 0; CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS'); CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv'); AddToLog(''); AddToLog(FinishMsg); AddToLog(''); AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored)); AddToLog(FixMsg + IntToStr(KeysFixed)); AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys)); SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log'); RebootWindows(false); end.
Подробнее читайте в этом руководстве. |
Отправлено: 00:24, 23-11-2019 | #4 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Установка - Установка виндовс, ошибка при загрузке с флешки, что-то не так с жестким диском. | ted.sikvel@vk | Microsoft Windows 7 | 2 | 11-01-2016 12:31 | |
Разное - [решено] Залагивание системы при сохранении/создании файлов (Что-то с системой или с диском) | Vladimir1 | Microsoft Windows 8 и 8.1 | 4 | 25-01-2015 00:29 | |
Загрузка - как убрать окно выбора операционной системы при загрузке в безопасном режиме | nikielena | Microsoft Windows 2000/XP | 2 | 02-12-2014 09:33 | |
Загрузка - что то выдает при загрузке | 1123 | Microsoft Windows Vista | 15 | 06-01-2010 20:46 | |
[решено] Зависание при загрузке операционной системы | S.F.O. | Непонятные проблемы с Железом | 4 | 17-12-2009 11:50 |
|