Самопроизвольная перезагрузка компьютера

[Resing]

Здраствуйте. У меня постоянно перезагружается компьютер (ноут-бук), при запуске CCleaner, когда делал логи (сделал в безопасном режиме), когда пытался посмотреть что стоит в автозапуске, когда хотел попасть на сайт CCleaner, когда какой то файл хотел удалить подозрительный.

Ещё когда ноут долго находится в бездействии, появляется очень много процессов csrss.exe.

CollectionLog-2015.11.18-23.33.zip

CollectionLog-2015.11.18-23.33.zip

[Sandor]

Здравствуйте!
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
 
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

beginExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Windows\ShellNew\RakyatKelaparan.exe', ''); QuarantineFile('C:\Users\Lenovo\AppData\Local\br4149on.exe', ''); QuarantineFile('C:\Windows\KesenjanganSosial.exe', ''); QuarantineFile('C:\Windows\system32\cmd-brontok.exe', ''); QuarantineFile('C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif', ''); QuarantineFile('C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Templates\6480-NendangBro.com', ''); QuarantineFile('C:\Users\Lenovo\AppData\Local\Temp\IS3571~1\uninstaller.exe', ''); QuarantineFile('C:\Users\Lenovo\appdata\local\csrss.exe', ''); QuarantineFile('C:\Users\Lenovo\appdata\local\lsass.exe', ''); QuarantineFile('C:\Users\Lenovo\appdata\local\services.exe', ''); QuarantineFile('C:\Users\Lenovo\appdata\local\smss.exe', ''); QuarantineFile('C:\Users\Lenovo\appdata\local\winlogon.exe', ''); QuarantineFile('C:\Users\Lenovo\documents\documents.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "At1.job" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "At2.job" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "At3.job" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "At4.job" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "At5.job" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{095CD286-9658-4A0D-AC2E-ED95975B4890}" /F', 0, 15000, true); DeleteFile('C:\Windows\ShellNew\RakyatKelaparan.exe', '32'); DeleteFile('C:\Users\Lenovo\AppData\Local\br4149on.exe', '32'); DeleteFile('C:\Windows\KesenjanganSosial.exe', '32'); DeleteFile('C:\Windows\system32\cmd-brontok.exe', '32'); DeleteFile('C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif', '32'); DeleteFile('C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Templates\6480-NendangBro.com', '32'); DeleteFile('C:\Users\Lenovo\AppData\Local\Temp\IS3571~1\uninstaller.exe', '32'); DeleteFile('C:\Users\Lenovo\appdata\local\csrss.exe', '32'); DeleteFile('C:\Users\Lenovo\appdata\local\lsass.exe', '32'); DeleteFile('C:\Users\Lenovo\appdata\local\services.exe', '32'); DeleteFile('C:\Users\Lenovo\appdata\local\smss.exe', '32'); DeleteFile('C:\Users\Lenovo\appdata\local\winlogon.exe', '32'); DeleteFile('C:\Users\Lenovo\documents\documents.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Bron-Spizaetus'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus-1563'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\SafeBoot','AlternateShell');ExecuteSysClean; ExecuteRepair(3); ExecuteRepair(4); ExecuteRepair(8); ExecuteRepair(10); ExecuteRepair(16); ExecuteRepair(17); ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');RebootWindows(true);end.

 
Компьютер перезагрузится. 
 
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
 
 
 
Для повторной диагностики запустите снова AutoLogger (уже в обычном режиме) и подготовьте свежий CollectionLog.

[Resing]

CollectionLog-2015.11.19-19.48.zip

CollectionLog-2015.11.19-19.48.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
 
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Если "не помещаются", упакуйте.
Подробнее читайте в этом руководстве.

[Resing]

Addition.txt

FRST.txt

Shortcut.txt

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

start
CreateRestorePoint:
HKU\S-1-5-21-248898247-2030311211-3320289827-1000\...\Run: [Tok-Cirrhatus-1563] => "C:\Users\Lenovo\AppData\Local\br4149on.exe"
HKU\S-1-5-21-248898247-2030311211-3320289827-1000\...\Winlogon: [shell] C:\Windows\explorer.exe [2871808 2011-02-25] (Microsoft Corporation) <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1437972361&z=ffb83a36280f9a86133a7f4g3z1ccmctfmbwcbdmbb&from=cor&uid=FUJITSUXMHY2250BH_K407T812AC57T812AC57X&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1437972361&z=ffb83a36280f9a86133a7f4g3z1ccmctfmbwcbdmbb&from=cor&uid=FUJITSUXMHY2250BH_K407T812AC57T812AC57X&q={searchTerms}
SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2396973
SearchScopes: HKU\S-1-5-21-248898247-2030311211-3320289827-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=FUJITSUXMHY2250BH_K407T812AC57T812AC57X&ts=1437972435&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-248898247-2030311211-3320289827-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=FUJITSUXMHY2250BH_K407T812AC57T812AC57X&ts=1437972435&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-248898247-2030311211-3320289827-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=FUJITSUXMHY2250BH_K407T812AC57T812AC57X&ts=1437972435&type=default&q={searchTerms}
CHR Extension: (NetSecurity) - C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapbdbdomjkkjkaonfhkkikfgjllcleb [2014-05-16]
CHR Extension: (CinemaLoad) - C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb [2014-08-18]
CHR Extension: (No Name) - C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Extensions\nkcpopggjcjkiicpenikeogioednjeac [2013-07-02]
CHR Extension: (DivX Plus Web Player HTML5 <video>) - C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Extensions\nneajnkjbffgblleaoojgaacokifdkhm [2013-07-21]
CHR Extension: (PhoenixGuard - бесплатный антивирусный тулбар) - C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Extensions\pleoihkpdomoijdpaibdciidfoeedamm [2014-08-18]
2015-11-18 00:00 - 2015-11-18 00:00 - 00000000 ____D C:\Users\Lenovo\AppData\Local\Bron.tok-16-18
2015-11-17 00:07 - 2015-11-17 00:07 - 00000000 ____D C:\Users\Lenovo\AppData\Local\Bron.tok-16-17
2015-11-16 13:46 - 2015-11-16 13:46 - 00033617 _____ C:\Users\Lenovo\AppData\Local\Bron.tok.A16.em.bin
2015-11-16 00:00 - 2015-11-16 00:00 - 00000000 ____D C:\Users\Lenovo\AppData\Local\Bron.tok-16-16
2015-11-15 01:56 - 2015-11-15 01:56 - 00000000 ____D C:\Users\Lenovo\AppData\Local\Bron.tok-16-15
2015-11-19 19:32 - 2014-10-24 01:19 - 00000446 _____ C:\Windows\Tasks\At5.job
2015-11-19 19:32 - 2014-10-24 01:19 - 00000446 _____ C:\Windows\Tasks\At4.job
2015-11-19 19:32 - 2014-10-24 01:19 - 00000446 _____ C:\Windows\Tasks\At3.job
2015-11-19 19:32 - 2014-10-24 00:54 - 00000446 _____ C:\Windows\Tasks\At2.job
2015-11-19 19:32 - 2014-10-09 22:34 - 00000446 _____ C:\Windows\Tasks\At1.job
2015-11-15 01:10 - 2013-04-26 21:46 - 00000000 ____D C:\Users\Lenovo\AppData\Local\VirtualStore
2014-09-25 21:37 - 2014-09-25 21:37 - 0000051 _____ () C:\Users\Lenovo\AppData\Local\Kosong.Bron.Tok.txt
2014-09-26 03:06 - 2014-09-26 03:06 - 0026541 _____ () C:\Users\Lenovo\AppData\Local\ListHost16.txt
Task: {32471500-6734-430E-9E0F-076DC80E0188} - \At5 -> No File <==== ATTENTION
Task: {45394A29-2888-4662-917A-A9DF62C19656} - \At3 -> No File <==== ATTENTION
Task: {4BD48C9A-7F21-4F91-93B5-088F147C1BE4} - \At1 -> No File <==== ATTENTION
Task: {6BFD6646-E963-4E22-B8D3-1F982657842E} - \Windows Updater -> No File <==== ATTENTION
Task: {8013925B-10F9-4118-8507-8C437DF2BC08} - \At2 -> No File <==== ATTENTION
Task: {EF660775-F238-44B0-B098-CCD2612A695C} - \At4 -> No File <==== ATTENTION
Task: C:\Windows\Tasks\At1.job => C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Templates\6480-NendangBro.com
Task: C:\Windows\Tasks\At2.job => C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Templates\6480-NendangBro.com
Task: C:\Windows\Tasks\At3.job => C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Templates\6480-NendangBro.com
Task: C:\Windows\Tasks\At4.job => C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Templates\6480-NendangBro.com
Task: C:\Windows\Tasks\At5.job => C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Templates\6480-NendangBro.com
FirewallRules: [{EE54A0CB-D14A-44D3-9A1D-3A2BEFFA27A4}] => (Allow) C:\Windows\SysWOW64\muzapp.exe
FirewallRules: [{740827E6-9885-4207-A558-85E0F48E3314}] => (Allow) C:\Windows\SysWOW64\muzapp.exe
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Смените все важные пароли на веб-сервисах, могли быть украдены.

 

Сообщите что с проблемой.

Изменено 19 ноября, 2015 пользователем Sandor

[Resing]

Fixlog.txt

Fixlog.txt

[Sandor]

Сообщите что с проблемой

??

 

Дополнительно: у Вас Хром установлен тестовой версии. Удалите с сохранением данных, скачайте и установите актуальную версию.

[Resing]

 

Сообщите что с проблемой

??

 

Дополнительно: у Вас Хром установлен тестовой версии. Удалите с сохранением данных, скачайте и установите актуальную версию.

 

Компьютер больше не перезагружается при запуске различных программ. Меня смущает csrss.exe в процессах, он там должен быть?

И для меня важно теперь проверить компьютер на факт кражи паролей

[Resing]

Дополнительно: у Вас Хром установлен тестовой версии. Удалите с сохранением данных, скачайте и установите актуальную версию.

 

У меня хром стоит???? :tooth:

[Resing]

И для меня важно теперь проверить компьютер на факт кражи паролей

*Другой, основной мой компьютер.

ps/ следов хрома на буке я не обнаружил.

Изменено 19 ноября, 2015 пользователем Resing

[Sandor]

Меня смущает csrss.exe в процессах, он там должен быть?

Нормальный системный процесс. Тот, что удалили, под него маскировался.

 

У меня хром стоит?

В логах был виден.

 

Другой, основной мой компьютер

Другой компьютер - другая тема.

 

Здесь в завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.

 

2.

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Resing]

SecurityCheck.txt

SecurityCheck.txt

[Resing]

adwcleaner.exe мы вроде не устанавливали

[Sandor]

adwcleaner.exe мы вроде не устанавливали

Да, виноват, это я "промахнулся"))

 

------------------------------- [ Windows ] -------------------------------

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 4.20 (64-разрядная) v.4.20.0 Внимание! Скачать обновления

VLC media player 1.0.5 v.1.0.5 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 7 Update 5 (64-bit) v.7.0.50 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8

^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше (jre-7u80-windows-x64.exe). Желательно отключить Java-плагин в браузере!!!^

Java 7 Update 5 v.7.0.50 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8

^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше (jre-7u80-windows-i586.exe). Желательно отключить Java-плагин в браузере!!!^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe AIR v.3.4.0.2710 Внимание! Скачать обновления

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

 

Установите антивирус. Этот Бронток давным давно всем известен и удивительно, как Вы его подхватили.

[Resing]

Этот Бронток давным давно всем известен и удивительно, как Вы его подхватили.

Ну моя супруга многое может))), Это её бук.

[Resing]

SecurityCheck by glax24 v.1.4.0.32 [01.11.15]
WebSite: www.safezone.cc
DateLog: 20.11.2015 01:01:59
Path starting: C:\Users\Lenovo\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Lenovo
VersionXML: 2.08is-18.11.2015
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 26.04.2013 13:45:52
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Mozilla Firefox\firefox.exe
Системный диск: C: ФС: [NTFS] Емкость: [97.6 Гб] Занято: [42.5 Гб] Свободно: [55.1 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18097
Контроль учётных записей пользователя включен
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2015-11-14 19:01:09
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (включен и устарел)
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.30 beta 6 (64-bit) v.5.30.6 [+]
7-Zip 9.20 (x64 edition) v.9.20.00.0
DivX Setup v.2.6.1.8
VLC media player v.2.2.1
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 66 (64-bit) v.8.0.660.18 [+]
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.19.0.0.241
Adobe Flash Player 19 ActiveX v.19.0.0.245
Adobe Flash Player 19 NPAPI v.19.0.0.245
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 42.0 (x86 ru) v.42.0
Opera 12.17 v.12.17.1863
Opera Stable 33.0.1990.122 v.33.0.1990.122 [+]
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Mozilla Firefox\firefox.exe v.42.0.0.5780
----------------------------- [ End of Log ] ------------------------------