Jump to content
СофтФорум - всё о компьютерах и не только

Самопроизвольная перезагрузка компьютера


Recommended Posts

Здраствуйте. У меня постоянно перезагружается компьютер (ноут-бук), при запуске CCleaner, когда делал логи (сделал в безопасном режиме), когда пытался посмотреть что стоит в автозапуске, когда хотел попасть на сайт CCleaner, когда какой то файл хотел удалить подозрительный.

Ещё когда ноут долго находится в бездействии, появляется очень много процессов csrss.exe.

CollectionLog-2015.11.18-23.33.zip

CollectionLog-2015.11.18-23.33.zip

Link to comment
Share on other sites

Здравствуйте!
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
 
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

beginExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Windows\ShellNew\RakyatKelaparan.exe', ''); QuarantineFile('C:\Users\Lenovo\AppData\Local\br4149on.exe', ''); QuarantineFile('C:\Windows\KesenjanganSosial.exe', ''); QuarantineFile('C:\Windows\system32\cmd-brontok.exe', ''); QuarantineFile('C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif', ''); QuarantineFile('C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Templates\6480-NendangBro.com', ''); QuarantineFile('C:\Users\Lenovo\AppData\Local\Temp\IS3571~1\uninstaller.exe', ''); QuarantineFile('C:\Users\Lenovo\appdata\local\csrss.exe', ''); QuarantineFile('C:\Users\Lenovo\appdata\local\lsass.exe', ''); QuarantineFile('C:\Users\Lenovo\appdata\local\services.exe', ''); QuarantineFile('C:\Users\Lenovo\appdata\local\smss.exe', ''); QuarantineFile('C:\Users\Lenovo\appdata\local\winlogon.exe', ''); QuarantineFile('C:\Users\Lenovo\documents\documents.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "At1.job" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "At2.job" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "At3.job" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "At4.job" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "At5.job" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{095CD286-9658-4A0D-AC2E-ED95975B4890}" /F', 0, 15000, true); DeleteFile('C:\Windows\ShellNew\RakyatKelaparan.exe', '32'); DeleteFile('C:\Users\Lenovo\AppData\Local\br4149on.exe', '32'); DeleteFile('C:\Windows\KesenjanganSosial.exe', '32'); DeleteFile('C:\Windows\system32\cmd-brontok.exe', '32'); DeleteFile('C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif', '32'); DeleteFile('C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Templates\6480-NendangBro.com', '32'); DeleteFile('C:\Users\Lenovo\AppData\Local\Temp\IS3571~1\uninstaller.exe', '32'); DeleteFile('C:\Users\Lenovo\appdata\local\csrss.exe', '32'); DeleteFile('C:\Users\Lenovo\appdata\local\lsass.exe', '32'); DeleteFile('C:\Users\Lenovo\appdata\local\services.exe', '32'); DeleteFile('C:\Users\Lenovo\appdata\local\smss.exe', '32'); DeleteFile('C:\Users\Lenovo\appdata\local\winlogon.exe', '32'); DeleteFile('C:\Users\Lenovo\documents\documents.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Bron-Spizaetus'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus-1563'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\SafeBoot','AlternateShell');ExecuteSysClean; ExecuteRepair(3); ExecuteRepair(4); ExecuteRepair(8); ExecuteRepair(10); ExecuteRepair(16); ExecuteRepair(17); ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');RebootWindows(true);end.

 
Компьютер перезагрузится
 
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
 
 
 
Для повторной диагностики запустите снова AutoLogger (уже в обычном режиме) и подготовьте свежий CollectionLog.

Link to comment
Share on other sites

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
 
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Если "не помещаются", упакуйте.
Подробнее читайте в этом руководстве.

Link to comment
Share on other sites

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.



start
CreateRestorePoint:
HKU\S-1-5-21-248898247-2030311211-3320289827-1000\...\Run: [Tok-Cirrhatus-1563] => "C:\Users\Lenovo\AppData\Local\br4149on.exe"
HKU\S-1-5-21-248898247-2030311211-3320289827-1000\...\Winlogon: [shell] C:\Windows\explorer.exe [2871808 2011-02-25] (Microsoft Corporation) <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1437972361&z=ffb83a36280f9a86133a7f4g3z1ccmctfmbwcbdmbb&from=cor&uid=FUJITSUXMHY2250BH_K407T812AC57T812AC57X&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1437972361&z=ffb83a36280f9a86133a7f4g3z1ccmctfmbwcbdmbb&from=cor&uid=FUJITSUXMHY2250BH_K407T812AC57T812AC57X&q={searchTerms}
SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2396973
SearchScopes: HKU\S-1-5-21-248898247-2030311211-3320289827-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=FUJITSUXMHY2250BH_K407T812AC57T812AC57X&ts=1437972435&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-248898247-2030311211-3320289827-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=FUJITSUXMHY2250BH_K407T812AC57T812AC57X&ts=1437972435&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-248898247-2030311211-3320289827-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=FUJITSUXMHY2250BH_K407T812AC57T812AC57X&ts=1437972435&type=default&q={searchTerms}
CHR Extension: (NetSecurity) - C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapbdbdomjkkjkaonfhkkikfgjllcleb [2014-05-16]
CHR Extension: (CinemaLoad) - C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb [2014-08-18]
CHR Extension: (No Name) - C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Extensions\nkcpopggjcjkiicpenikeogioednjeac [2013-07-02]
CHR Extension: (DivX Plus Web Player HTML5 <video>) - C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Extensions\nneajnkjbffgblleaoojgaacokifdkhm [2013-07-21]
CHR Extension: (PhoenixGuard - бесплатный антивирусный тулбар) - C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Extensions\pleoihkpdomoijdpaibdciidfoeedamm [2014-08-18]
2015-11-18 00:00 - 2015-11-18 00:00 - 00000000 ____D C:\Users\Lenovo\AppData\Local\Bron.tok-16-18
2015-11-17 00:07 - 2015-11-17 00:07 - 00000000 ____D C:\Users\Lenovo\AppData\Local\Bron.tok-16-17
2015-11-16 13:46 - 2015-11-16 13:46 - 00033617 _____ C:\Users\Lenovo\AppData\Local\Bron.tok.A16.em.bin
2015-11-16 00:00 - 2015-11-16 00:00 - 00000000 ____D C:\Users\Lenovo\AppData\Local\Bron.tok-16-16
2015-11-15 01:56 - 2015-11-15 01:56 - 00000000 ____D C:\Users\Lenovo\AppData\Local\Bron.tok-16-15
2015-11-19 19:32 - 2014-10-24 01:19 - 00000446 _____ C:\Windows\Tasks\At5.job
2015-11-19 19:32 - 2014-10-24 01:19 - 00000446 _____ C:\Windows\Tasks\At4.job
2015-11-19 19:32 - 2014-10-24 01:19 - 00000446 _____ C:\Windows\Tasks\At3.job
2015-11-19 19:32 - 2014-10-24 00:54 - 00000446 _____ C:\Windows\Tasks\At2.job
2015-11-19 19:32 - 2014-10-09 22:34 - 00000446 _____ C:\Windows\Tasks\At1.job
2015-11-15 01:10 - 2013-04-26 21:46 - 00000000 ____D C:\Users\Lenovo\AppData\Local\VirtualStore
2014-09-25 21:37 - 2014-09-25 21:37 - 0000051 _____ () C:\Users\Lenovo\AppData\Local\Kosong.Bron.Tok.txt
2014-09-26 03:06 - 2014-09-26 03:06 - 0026541 _____ () C:\Users\Lenovo\AppData\Local\ListHost16.txt
Task: {32471500-6734-430E-9E0F-076DC80E0188} - \At5 -> No File <==== ATTENTION
Task: {45394A29-2888-4662-917A-A9DF62C19656} - \At3 -> No File <==== ATTENTION
Task: {4BD48C9A-7F21-4F91-93B5-088F147C1BE4} - \At1 -> No File <==== ATTENTION
Task: {6BFD6646-E963-4E22-B8D3-1F982657842E} - \Windows Updater -> No File <==== ATTENTION
Task: {8013925B-10F9-4118-8507-8C437DF2BC08} - \At2 -> No File <==== ATTENTION
Task: {EF660775-F238-44B0-B098-CCD2612A695C} - \At4 -> No File <==== ATTENTION
Task: C:\Windows\Tasks\At1.job => C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Templates\6480-NendangBro.com
Task: C:\Windows\Tasks\At2.job => C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Templates\6480-NendangBro.com
Task: C:\Windows\Tasks\At3.job => C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Templates\6480-NendangBro.com
Task: C:\Windows\Tasks\At4.job => C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Templates\6480-NendangBro.com
Task: C:\Windows\Tasks\At5.job => C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Templates\6480-NendangBro.com
FirewallRules: [{EE54A0CB-D14A-44D3-9A1D-3A2BEFFA27A4}] => (Allow) C:\Windows\SysWOW64\muzapp.exe
FirewallRules: [{740827E6-9885-4207-A558-85E0F48E3314}] => (Allow) C:\Windows\SysWOW64\muzapp.exe
EmptyTemp:
Reboot:
end


Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Смените все важные пароли на веб-сервисах, могли быть украдены.

 

Сообщите что с проблемой.

Edited by Sandor
Link to comment
Share on other sites

Сообщите что с проблемой

??

 

Дополнительно: у Вас Хром установлен тестовой версии. Удалите с сохранением данных, скачайте и установите актуальную версию.

Link to comment
Share on other sites

 

Сообщите что с проблемой

??

 

Дополнительно: у Вас Хром установлен тестовой версии. Удалите с сохранением данных, скачайте и установите актуальную версию.

 

Компьютер больше не перезагружается при запуске различных программ. Меня смущает csrss.exe в процессах, он там должен быть?

Снимок.PNG

И для меня важно теперь проверить компьютер на факт кражи паролей

post-121032-0-73725700-1447938044_thumb.

Link to comment
Share on other sites

Дополнительно: у Вас Хром установлен тестовой версии. Удалите с сохранением данных, скачайте и установите актуальную версию.

 

У меня хром стоит???? :tooth:

Link to comment
Share on other sites

И для меня важно теперь проверить компьютер на факт кражи паролей

*Другой, основной мой компьютер.

ps/ следов хрома на буке я не обнаружил.

Edited by Resing
Link to comment
Share on other sites

Меня смущает csrss.exe в процессах, он там должен быть?

Нормальный системный процесс. Тот, что удалили, под него маскировался.

 

У меня хром стоит?

В логах был виден.

 

Другой, основной мой компьютер

Другой компьютер - другая тема.

 

Здесь в завершение:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.

 

2.

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Link to comment
Share on other sites

adwcleaner.exe мы вроде не устанавливали

Да, виноват, это я "промахнулся"))

 

------------------------------- [ Windows ] -------------------------------
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 4.20 (64-разрядная) v.4.20.0 Внимание! Скачать обновления
VLC media player 1.0.5 v.1.0.5 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 5 (64-bit) v.7.0.50 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше (jre-7u80-windows-x64.exe). Желательно отключить Java-плагин в браузере!!!^
Java 7 Update 5 v.7.0.50 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше (jre-7u80-windows-i586.exe). Желательно отключить Java-плагин в браузере!!!^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.3.4.0.2710 Внимание! Скачать обновления
 
 
 
Установите антивирус. Этот Бронток давным давно всем известен и удивительно, как Вы его подхватили.
  • Upvote 1
Link to comment
Share on other sites

Этот Бронток давным давно всем известен и удивительно, как Вы его подхватили.

Ну моя супруга многое может))), Это её бук.

Link to comment
Share on other sites

SecurityCheck by glax24 v.1.4.0.32 [01.11.15]
WebSite: www.safezone.cc
DateLog: 20.11.2015 01:01:59
Path starting: C:\Users\Lenovo\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Lenovo
VersionXML: 2.08is-18.11.2015
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 26.04.2013 13:45:52
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Mozilla Firefox\firefox.exe
Системный диск: C: ФС: [NTFS] Емкость: [97.6 Гб] Занято: [42.5 Гб] Свободно: [55.1 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18097
Контроль учётных записей пользователя включен
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2015-11-14 19:01:09
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (включен и устарел)
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.30 beta 6 (64-bit) v.5.30.6 [+]
7-Zip 9.20 (x64 edition) v.9.20.00.0
DivX Setup v.2.6.1.8
VLC media player v.2.2.1
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 66 (64-bit) v.8.0.660.18 [+]
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.19.0.0.241
Adobe Flash Player 19 ActiveX v.19.0.0.245
Adobe Flash Player 19 NPAPI v.19.0.0.245
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 42.0 (x86 ru) v.42.0
Opera 12.17 v.12.17.1863
Opera Stable 33.0.1990.122 v.33.0.1990.122 [+]
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Mozilla Firefox\firefox.exe v.42.0.0.5780
----------------------------- [ End of Log ] ------------------------------
 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...