Перейти к содержимому


Фото
* * * * * 1 Голосов

Ноутбук выключается сам под настроение и всегда при сканировании CureIT и с LiveCD


  • Закрыто Тема закрыта
50 ответов в этой теме

#1 myhailov

myhailov

    Newbie

  • Posters
  • 19 Сообщений:

Отправлено 25 Сентябрь 2019 - 15:16

Все, как в теме https://forum.drweb.com/index.php?showtopic=330588. Только с домашним ноутбуком. Ноутбук выключается сам по себе вне зависимости от нагрузки и сложно подловить, в какое время. Два типа отключения: 1.внезапное - как у обычного ПК, у которого розетку выдернули; 2. - вначале отключается вай-фай, потом завис, потом плавно закрываются все открытые программы, начиная с браузеров, затем как обычное выключение. Бывало один раз в день, потом чаще. Когда стало чуть ли не каждые полчаса - была переустановлена ОС, выключения снова стали реже - одно раз в пару дней. Конкретные сроки не вспомню, если только подскажите, как сделать копию логов. Иногда все ограничивается отключением вай-фая и зависом или просто зависом до перезагрузки. Перезагружать модуль вай-фая или роутер не помогает. Одинаково как с родным адаптером, так и с новокупленным внешним. Смена роутера и настроек ничего не дали. При проверки любым антивирусом - или же ничего, или же резкое отключение в процессе сканирования или лечения. При проверке CureIt - почти всегда резкое выключение по типу 1. Даже в безопасном режиме. При запуске с LiveCD - аналогично. Вторично флэшка уже не видится, надо форматировать и заново перезаписывать. Пару раз на черном экране перед "потуханием" была надпись - критическая температура, отключение. Температура была не критической при любом отключении - в рамках нормы - 53-71 С. Железо проверялось программно и визуально, в том числе в двух сервис-центрах - в норме. Термопаста свежая, кулер чистый, есть охлаждающая подставка, перегрева нет. При запуске дисков - видятся белыми, в окне возникает неизвестно откуда файл с расширением .ini готовый для записи. Браузеры подвисают. Новооткрытые сайты не открываются, а требуют обновления страницы. Только после этого начинают работать. Часто даже при одной открытой вкладке идет бешеная загрузка процессора и памяти. Постоянно начали взламывать почту и соцсети. ОС и ПО переустанавливались как дома, так и в сервисах (было подозрение, что вирус сел на носителях) - не помогло. Содержимое пары флэшек также "поело" - вместо файлов каша, форматнули в сервисе от греха подальше. Файлы отчетов не загрузились, пишет слишком большой объем. Лежат здесь - https://yadi.sk/d/OZqUBPqBoDvN8g

Прикрепленные файлы:



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 3 088 Сообщений:

Отправлено 25 Сентябрь 2019 - 15:16

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.



#3 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 623 Сообщений:

Отправлено 25 Сентябрь 2019 - 21:11

ОК, смотрим журналы событий из логов.

Имя журнала:   Application
Источник:      MsiInstaller
Дата:          23.09.2019 10:38:46
Начало транзакции установщика Windows: http://Sc.Vuajk.Me/HP2.XXX (расширение изменено преднамеренно). ИД клиентского процесса: 6168.

После чего был успешно установлен некий китайский продукт.

Имя журнала:   Application
Источник:      MsiInstaller
Дата:          23.09.2019 10:38:59
Код события:   1033
Категория задачи:Отсутствует
Описание:
Установщик Windows выполнил установку продукта. Продукт: ZqWJtv3vVRA46m52Z7o691eJp3N3RTFGOefp. Версия: 1.0.0.0. Язык: 2052. Изготовитель: ZqWJtv3vVRA46m52Z7o691eJp3N3RTFGOefp. Установка завершена с состоянием: 1603.

Можете пояснить, что это было?

Если "всё, как в предыдущей теме", то следует озаботиться (помимо проверки железа) установкой патчей безопасности и обновлений. Но если

Пару раз на черном экране перед "потуханием" была надпись - критическая температура, отключение.
то я бы начал именно с железа. Это не отменяет необходимости установки всех обновлений.

#4 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 27 Сентябрь 2019 - 15:30

Добавил пару троев, с одним из ближайших одновлений баз задетектится.

Сообщение было изменено Ivan Korolev: 27 Сентябрь 2019 - 15:57


#5 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 27 Сентябрь 2019 - 15:51

Рекомендую удалить продукт SuperAntiSpyware. Даже если он вдруг и не вредит системе, использование двух антивирусов черевато конфликтами.



#6 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 27 Сентябрь 2019 - 15:53

Пришлите в архиве содержимое папки "C:\recycler\".



#7 myhailov

myhailov

    Newbie

  • Posters
  • 19 Сообщений:

Отправлено 27 Сентябрь 2019 - 21:22

Сразу скажу, никаких китайских продуктов не устанавливалось, но вся байда началась после захода на пару китайских сайтов. Второй антивирь удалю, он просто висит, но не активен.  Обновлениями займусь. Сегодня антивирус чуть с ума не сошел, забрасывая сообщениями о найденных угрозах. Снова выключился ноут один раз, но по второму способу - и это выключение было очень очень очень долгим. На кнопку Питание не реагировал вообще. Архив с корзиной https://yadi.sk/d/OZqUBPqBoDvN8g. Спасибо за рекомендации.



#8 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 30 Сентябрь 2019 - 07:58

>Архив с корзиной https://yadi.sk/d/OZqUBPqBoDvN8g.

 

Пусто, видимо там только один сэмпл был.

 

>Сегодня антивирус чуть с ума не сошел, забрасывая сообщениями о найденных угрозах.

 

Это норма, по результатам разбора отчета с вашего ПК были добавлены несколько вредоносных сэмплов, которых АВ у вас и обезвредил.

 

Соберите свежий отчет утилитой http://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exe .

 

Сейчас какие-то симптомы заражения еще присутствуют?


Сообщение было изменено Ivan Korolev: 30 Сентябрь 2019 - 07:59


#9 myhailov

myhailov

    Newbie

  • Posters
  • 19 Сообщений:

Отправлено 01 Октябрь 2019 - 18:59

Пару дней антивирус активно ловил одну и  ту же заразу, вышло более 2 т. штук. За это время были подвисания при работе, но ни одного выключения. Дальше день ноут поработал даже шустро, ни одного отключения, причем грузился довольно прилично и работал без перерыва очень долго. Затем был прогнан дважды Доктором Веб - быстрая проверка и полная. Ни разу не отключился, угроз не найдено. Но после этого стал подвисать, особенно при работе в Опере. Затем Доктор Веб попросил перезагрузится, чтобы установить важные обновления. И, если ничего не путаю, после этого снова стали зависы, причем ноут почти не был ничего нагружен и в комнате довольно холодно. Причем это были не подвисы, а именно долгие такие зависы. А после вчера сам выключился, но странным образом - так еще ни разу не было. Вначале потух в пух экран, но сам ноутбук продолжил работать и выключился только через несколько минут. Так как время было позднее, около 12 ночи, было решено оставить все на следующий день. С утра после включения начал глючить. Ту же Оперу пришлось перезапускать несколько раз, на первый раз не грузилось ничего, кроме голубого фона, потом вообще не грузилось, ибо не было прав открывать ее. После перезагрузки Опера открылась, но не с первого раза. И сами сайты пришлось обновлять. На форум зайти не получилось. Только вот сейчас. Режим Сон по-прежнему не работает ни после закрытия крышки, хотя в настройка все стоит как надо и до этого всегда все работало, ни даже после включения через кнопку Пуск. И вот при включении вечером антивирус снова стал нейтрализовывать те же угрозы. Свежий отчет, отчет по угрозам и скрин с антивируса прилагаю, все здесь https://yadi.sk/d/OZqUBPqBoDvN8g



#10 Eugen Engelhardt

Eugen Engelhardt

    Advanced Member

  • Dr.Web Staff
  • 699 Сообщений:

Отправлено 01 Октябрь 2019 - 22:30

myhailov, систему обновите, иначе так и будете страдать.


With best regards, Eugen Engelhardt
Doctor Web, Ltd.

#11 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 02 Октябрь 2019 - 09:26

Пришлите еще файл "C:\windows\syswow64\ms77a09e38app.dll".


Сообщение было изменено Ivan Korolev: 02 Октябрь 2019 - 09:40


#12 myhailov

myhailov

    Newbie

  • Posters
  • 19 Сообщений:

Отправлено 03 Октябрь 2019 - 18:10

Файл "C:\windows\syswow64\ms77a09e38app.dll". не найден. Искался вручную, через поиск в проводнике, через Total Commander с включенной видимостью скрытых и системных файлов. 

 

Из нового - до обновления параметров антивируса все было тихо, с небольшими подвисаниями. Вчера после обновления и перезагрузки к вечеру снова произошло самовыключение, по типу 2. Но какое-то "вежливое" - было предложено в Ворде сохранить, в Опере открылось меню закрыть - которое, кстати, то есть, то нет, но тут я больше валю на саму Оперу, вначале закрылся Ворд так неспеша, подождав, потом сама Опера, потом папки, потом началось выключение. Ради интереса опробована кнопка Питания, что в прошлый раз не срабатывала - в этот раз все сработало. После включения антивирус можно сказать сошел с ума и не перестает. Уже почти 4к угроз, но все похоже однотипные.

 

Насчет обновления Windows, как раз хотелось спросить, ибо кто-то кричит обновляйте, все хорошо, кто-то говорит, что обновлять не нужно, все уязвимости закрыли сервис-паки, а новые обновления рушат систему. А кто-то говорит, что обновлять можно, но не все обновления нужно устанавливать, и на каждом форуме свои списки "плохих" обновлений. Не хотелось бы, не разобравшись с этой заразой вирусной, получить обвал ОС и все потерять. Интересно ваше мнение. Если есть списки вредных обновлений, только большая благодарность будет.



#13 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 623 Сообщений:

Отправлено 03 Октябрь 2019 - 20:54

все уязвимости закрыли сервис-паки
Агащаз... Особенно в Win7, сервис-пак к которому был выпущен уже очень давно, по меркам компьютерной безопасности. Так что ставить строго обязательно, тут даже никаких сомнений быть не может. Без заплаток как раз и получите "обвал ОС". Можно поставить широко известный оффлайн-апдейтпак от Simplix, там есть всё необходимое.

https://blog.simplix.info/update7/



#14 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 03 Октябрь 2019 - 21:01

Времена, когда юзеров Win7 добровольно-принудительно апдейтами пересаживали на Win10 с их помощником прошли, так что нет причин сейчас не обновляться через официальный штатный механизм апдейтов.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#15 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 04 Октябрь 2019 - 09:27

>Файл "C:\windows\syswow64\ms77a09e38app.dll". не найден. Искался вручную, через поиск в проводнике, через Total Commander с включенной видимостью скрытых и системных файлов. 

 

Через Livecd посмотрите, пожалуйста. Также можно посмотреть этот же файл в c:\windows\system32

 

>После включения антивирус можно сказать сошел с ума и не перестает. Уже почти 4к угроз, но все похоже однотипные.

 

Все правильно. Троян идет за своим компонентом, мы это детектируем. Чтобы это прекратилось, надо удалить основной троянский компонент - тот файл, что я у вас запросил.

 

ps: если и через livecd не найдется, тогда напишите, будем дампить процесс...


Сообщение было изменено Ivan Korolev: 04 Октябрь 2019 - 09:35


#16 *No name

*No name

    Member

  • Posters
  • 233 Сообщений:

Отправлено 04 Октябрь 2019 - 19:35

Времена, когда юзеров Win7 добровольно-принудительно апдейтами пересаживали на Win10 с их помощником прошли, так что нет причин сейчас не обновляться через официальный штатный механизм апдейтов.

Вообще-то, myhailov в чем-то прав. Далеко ходить за примером не нужно. Например, вчерашнее внеполосное обновление безопасности для Win 10 1809 KB4524148. Компания Майкрасофт опять что-то напортачила и если бы не своевременная реакция превентивной защиты Dr.Web на подозрительные процессы при установке обновления, даже не знаю чем бы всё закончилось. Может быть Dr.Web спас от "обвала ОС".



#17 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 04 Октябрь 2019 - 19:47

Времена, когда юзеров Win7 добровольно-принудительно апдейтами пересаживали на Win10 с их помощником прошли, так что нет причин сейчас не обновляться через официальный штатный механизм апдейтов.

Вообще-то, myhailov в чем-то прав. Далеко ходить за примером не нужно. Например, вчерашнее внеполосное обновление безопасности для Win 10 1809 KB4524148. Компания Майкрасофт опять что-то напортачила и если бы не своевременная реакция превентивной защиты Dr.Web на подозрительные процессы при установке обновления, даже не знаю чем бы всё закончилось. Может быть Dr.Web спас от "обвала ОС".

Речь про Win7.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#18 *No name

*No name

    Member

  • Posters
  • 233 Сообщений:

Отправлено 04 Октябрь 2019 - 19:53

 

Времена, когда юзеров Win7 добровольно-принудительно апдейтами пересаживали на Win10 с их помощником прошли, так что нет причин сейчас не обновляться через официальный штатный механизм апдейтов.

Вообще-то, myhailov в чем-то прав. Далеко ходить за примером не нужно. Например, вчерашнее внеполосное обновление безопасности для Win 10 1809 KB4524148. Компания Майкрасофт опять что-то напортачила и если бы не своевременная реакция превентивной защиты Dr.Web на подозрительные процессы при установке обновления, даже не знаю чем бы всё закончилось. Может быть Dr.Web спас от "обвала ОС".

Речь про Win7.

 

Ну тогда всё нормально.



#19 myhailov

myhailov

    Newbie

  • Posters
  • 19 Сообщений:

Отправлено 06 Октябрь 2019 - 18:45

Да этот файл  "C:\windows\syswow64\ms77a09e38app.dll" ,когда в syswow64 не нашелся, по всему диску С искался. И с тем же результатом. Сейчас запишу LiveCD и попробую из-под него. Так и думалось, что вирус зараза засел основной и это он антивирус штормит. Спасибо за инфу про обновления, как раз разберусь с этим моментом и займусь.



#20 myhailov

myhailov

    Newbie

  • Posters
  • 19 Сообщений:

Отправлено 06 Октябрь 2019 - 19:56

С LiveCD в system32 нашелся. Сюда так прикрепить не удалось, пишет, вам не разрешено прикреплять файлы такого типа, поэтому в архиве. Если так не пойдет, загрузить могу как всегда на Яндекс-диск, только он не заразится? Простите за глупый вопрос.


Сообщение было изменено maxic: 06 Октябрь 2019 - 20:22



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых