Точка входа в процедуру DwmGetUnmetTabRuquirement не найдена в библиотеке DLL C:\ProgramData\Windows\Profile\service.exe

@Entrosolet · Регистрация: 03.04.2019

Author24 — интернет-сервис помощи студентам

Добрый день!

Столкнулся с ошибкой "Точка входа в процедуру DwmGetUnmetTabRuquirement не найдена в библиотеке DLL C:\ProgramData\Windows\Profile\service.exe". Появляется примерно каждые 10 минут.

В теме Точка входа в процедуру DeviceEventWorker не найдена в библиотеке DLL C:\ProgramData\Windows\Profile\service.exe на данном форуме нашел, что это может быть вирус.

Логи во вложении, помогите, пожалуйста!

@Sandor · 05.12.2020, 15:55

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Entrosolet. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\windows\profile\service.exe');
 QuarantineFile('C:\ProgramData\Windows\Profile\1.vbs', '');
 QuarantineFile('c:\programdata\windows\profile\service.exe', '');
 QuarantineFileF('c:\programdata\windows', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinNAT');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT');
 DeleteSchedulerTask('Microsoft\Windows\RemoteApp and Desktop Connections Update\RemoteApp and Desktop Connections Update');
 DeleteFile('C:\ProgramData\Windows\Profile\1.vbs', '64');
 DeleteFile('c:\programdata\windows\profile\service.exe', '');
 DeleteFileMask('c:\programdata\windows', '*', true);
 DeleteDirectory('c:\programdata\windows');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению прикреплять файл quarantine.7z не нужно!
Подготовьте новый CollectionLog.

@Entrosolet · 05.12.2020, 16:58 **[ТС]**

quarantine.7z отправил на почту
новый CollectionLog во вложении

@Sandor · 07.12.2020, 09:00

Подготовьте и прикрепите лог сканирования AdwCleaner.

@Entrosolet · 07.12.2020, 19:11 **[ТС]**

лог во вложении

@Sandor · 08.12.2020, 10:29

1.

Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
- Сбросить политики IE
- Сбросить политики Chrome
В меню Информационная панель нажмите Запустить проверку.
По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.
(Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Entrosolet · 08.12.2020, 20:00 **[ТС]**

Логи во вложении

@Sandor · 09.12.2020, 10:25

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-4133215930-1917918569-2386128374-1003\...\MountPoints2: {1dd6c7fb-c08c-11ea-8129-3ca0679bda22} - "G:\setup.exe" 
Task: {AC330BB8-1BDF-44FA-BA81-4883E3FEFB29} - System32\Tasks\Driver Booster SkipUAC (Natasha) => D:\IObit Driver Booster Pro 8.1.0.252 (RePack & Portable) by TryRooM\DriverBoosterPortable\App\DriverBooster\DriverBooster.exe
Task: {F9F7A1F7-5787-40EC-BD26-4103DBBC4E0A} - System32\Tasks\Driver Booster Update => D:\IObit Driver Booster Pro 8.1.0.252 (RePack & Portable) by TryRooM\DriverBoosterPortable\App\DriverBooster\AutoUpdate.exe
CHR StartupUrls: Default -> "","hxxp://google.ru/","hxxp://mail.ru/cnt/10445?gp=822313"
C:\Users\Natasha\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
CHR HKU\S-1-5-21-4133215930-1917918569-2386128374-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
2020-11-22 22:01 - 2020-11-22 22:01 - 000000000 ____D C:\ProgramData\ProductData
2020-11-22 22:00 - 2020-11-22 22:00 - 000000000 ____D C:\Users\Natasha\Desktop\DriverBoosterPortable
2020-11-22 22:00 - 2020-11-22 22:00 - 000000000 ____D C:\Users\Natasha\AppData\Roaming\IObit
2020-11-22 22:00 - 2020-11-22 22:00 - 000000000 ____D C:\ProgramData\IObit
2020-11-22 21:59 - 2020-11-22 21:59 - 000003286 _____ C:\Windows\system32\Tasks\Driver Booster Update
2020-11-22 21:59 - 2020-11-22 21:59 - 000003064 _____ C:\Windows\system32\Tasks\Driver Booster SkipUAC (Natasha)
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
FirewallRules: [{AEA11515-8977-4E46-A4FC-C72E8E11307C}] => (Allow) LPort=1688
FirewallRules: [{9D07A3B0-498C-416E-978D-22DC138D0981}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => No File
FirewallRules: [{94A550FF-3AC2-4FBB-AE9D-581A51056766}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => No File
FirewallRules: [{4D85CE60-278A-4DE5-903D-D90A36E8FC36}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => No File
FirewallRules: [{3B90BB4F-E8D9-4697-93F3-B960A011D1C8}] => (Allow) C:\Users\Natasha\AppData\Local\Temp\DriverPack-20201122204447\tools\aria2c.exe => No File
FirewallRules: [{17473ACC-1C28-4B7C-92A2-50B8919C0652}] => (Allow) C:\Users\Natasha\Desktop\DriverBoosterPortable\App\DriverBooster\DriverBooster.exe (IObit Information Technology -> IObit)
FirewallRules: [{187F0389-4111-4C81-9708-2BCEE60242F3}] => (Allow) C:\Users\Natasha\Desktop\DriverBoosterPortable\App\DriverBooster\DriverBooster.exe (IObit Information Technology -> IObit)
FirewallRules: [{0747B6E6-622C-414A-917D-EF604F09CE71}] => (Allow) C:\Users\Natasha\Desktop\DriverBoosterPortable\App\DriverBooster\DBDownloader.exe (IObit Information Technology -> IObit)
FirewallRules: [{F054980B-067B-464A-B7E2-06323EE28796}] => (Allow) C:\Users\Natasha\Desktop\DriverBoosterPortable\App\DriverBooster\DBDownloader.exe (IObit Information Technology -> IObit)
FirewallRules: [{C2AD4306-1D91-4F23-9790-2DB193D4F81B}] => (Allow) C:\Users\Natasha\Desktop\DriverBoosterPortable\App\DriverBooster\AutoUpdate.exe (IObit Information Technology -> IObit)
FirewallRules: [{C21AECC6-773C-4F01-BFFC-9247A5832E2A}] => (Allow) C:\Users\Natasha\Desktop\DriverBoosterPortable\App\DriverBooster\AutoUpdate.exe (IObit Information Technology -> IObit)
FirewallRules: [{3B84FB0C-D6CC-4F33-A401-A756FC05FC22}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => No File
FirewallRules: [{04F0D938-2484-4F73-98F9-A30C53DC211C}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => No File
FirewallRules: [{4594618F-03B9-45D0-A1E2-AA60A3EC0A4E}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => No File
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@Entrosolet · 10.12.2020, 20:42 **[ТС]**

лог во вложении

@Sandor · 11.12.2020, 10:09

Проблема решена?

@Entrosolet · 12.12.2020, 13:45 **[ТС]**

Да, проблема решена, спасибо.

@Sandor · 12.12.2020, 14:09

Завершаем:
1.

Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Sandor 21868 / 15673 / 3021 Регистрация: 08.10.2012 Сообщений: 63,721
	05.12.2020, 15:55	2
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя Entrosolet. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\programdata\windows\profile\service.exe'); QuarantineFile('C:\ProgramData\Windows\Profile\1.vbs', ''); QuarantineFile('c:\programdata\windows\profile\service.exe', ''); QuarantineFileF('c:\programdata\windows', '.exe, .dll, .sys, .bat, .vbs, .ps1, .js, .tmp', true, '', 0 , 0); DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinNAT'); DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT'); DeleteSchedulerTask('Microsoft\Windows\RemoteApp and Desktop Connections Update\RemoteApp and Desktop Connections Update'); DeleteFile('C:\ProgramData\Windows\Profile\1.vbs', '64'); DeleteFile('c:\programdata\windows\profile\service.exe', ''); DeleteFileMask('c:\programdata\windows', '', true); DeleteDirectory('c:\programdata\windows'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: Код begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\', 1, 300000, false); end. Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. К сообщению прикреплять файл quarantine.7z не нужно! Подготовьте новый CollectionLog. 0

@Sandor 21868 / 15673 / 3021 Регистрация: 08.10.2012 Сообщений: 63,721
	07.12.2020, 09:00	4
	Подготовьте и прикрепите лог сканирования AdwCleaner. 0

@Sandor 21868 / 15673 / 3021 Регистрация: 08.10.2012 Сообщений: 63,721
	08.12.2020, 10:29	6
	Сообщение было отмечено Entrosolet как решение Решение 1. Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению: Сбросить политики IE Сбросить политики Chrome В меню Информационная панель нажмите Запустить проверку. По окончании нажмите кнопку Карантин и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. (Обратите внимание - C и S - это разные буквы). Внимание: Для успешного удаления нужна перезагрузка компьютера!!! 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 1

@Sandor 21868 / 15673 / 3021 Регистрация: 08.10.2012 Сообщений: 63,721
	11.12.2020, 10:09	10
	Проблема решена? 0

@Entrosolet 0 / 0 / 0 Регистрация: 03.04.2019 Сообщений: 12
	12.12.2020, 13:45 [ТС]	11
	Да, проблема решена, спасибо. 0

@Sandor 21868 / 15673 / 3021 Регистрация: 08.10.2012 Сообщений: 63,721
	12.12.2020, 14:09	12
	Завершаем: 1. Пожалуйста, запустите adwcleaner.exe В меню Параметры прокрутите вниз и выберите Удалить. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

Точка входа в процедуру DwmGetUnmetTabRuquirement не найдена в библиотеке DLL C:\ProgramData\Windows\Profile\service.exe

Решение