пожиратель памяти

[tankt76]

здравствуйте!!! обнаружил на жестком папку ethash которая создаёт файлы типа full-r23 и пожирает память. помогите пожалуйста!!!

[Info_bot]

Уважаемый(ая) tankt76, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('C:\Users\Капитан\AppData\Roaming\Adobe\Ctfhost\ctfhost.exe');
 QuarantineFile('C:\Users\Капитан\AppData\Roaming\Adobe\Ctfhost\ctfhost.exe', '');
 DeleteFile('C:\Users\Капитан\AppData\Roaming\Adobe\Ctfhost\ctfhost.exe', '32');
 DeleteFile('C:\Windows\Tasks\UpdaterEX.job', '32');
 DeleteService('WinRing0_1_2_0');
 ExecuteFile('schtasks.exe', '/delete /TN "CTF Host" /F', 0, 15000, true);
ExecuteSysClean;
 ExecuteRepair(4);
 ExecuteRepair(3);
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

[tankt76]

вот файлы

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKU\S-1-5-21-2631114674-669364849-1195457874-1000\...\Winlogon: [Shell] C:\Windows\explorer.exe [2871808 2015-01-02] (Microsoft Corporation) <==== ATTENTION
AppInit_DLLs: pbWH_IIIaJIyH.dll => No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-2631114674-669364849-1195457874-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-2631114674-669364849-1195457874-1000 -> ToolbarSearchProviderProgress {96bd48dd-741b-41ae-ac4a-aff96ba00f7e}
SearchScopes: HKU\S-1-5-21-2631114674-669364849-1195457874-1000 -> Yandex URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE
SearchScopes: HKU\S-1-5-21-2631114674-669364849-1195457874-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=a95cf5991dd430fa81927842b66efece&text={searchTerms}
SearchScopes: HKU\S-1-5-21-2631114674-669364849-1195457874-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=a95cf5991dd430fa81927842b66efece&text=
SearchScopes: HKU\S-1-5-21-2631114674-669364849-1195457874-1000 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=BAV5&o=101720&src=kw&q={searchTerms}&locale=ru_RU&apn_ptnrs=B5&apn_dtid=YYYYYYYYRU&apn_uid=56650378-18f1-4bba-89a5-b8c185565d91&apn_sauid=B6378D2D-6728-4620-99EB-45A04517FE94
SearchScopes: HKU\S-1-5-21-2631114674-669364849-1195457874-1000 -> {96bd48dd-741b-41ae-ac4a-aff96ba00f7e} URL = hxxp://www.bigseekpro.com/search/browser/burn4free/{463775C6-449F-444A-907D-6746A335E72C}?q={searchTerms}
FF HKLM\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\Капитан\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack => not found
FF HKLM-x32\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\Капитан\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack => not found
CHR HKLM-x32\...\Chrome\Extension: [aonedlchkbicmhepimiahfalheedjgbh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\Капитан\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found>
Task: {027AA9B2-E03E-487A-9B9F-CED5CE751C29} - \LaunchSignup -> No File <==== ATTENTION
Task: {1C6367FF-BEFF-4E04-8ECD-609686CA3B10} - System32\Tasks\{9EECE98D-370B-431B-9F76-2BED9A73D85C} => Chrome.exe 
Task: {4C4E9BF4-1EC9-42D2-85C8-4CCD28F6086D} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe
Task: {B9AA2166-0033-45BA-99B8-6E094BACB278} - \AdobeFlashPlayerUpdate 2 -> No File <==== ATTENTION
Task: {CEE64558-E1A7-4D9D-80A7-2001912BE5B5} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> No File <==== ATTENTION
Task: {D0B3E41A-CD38-484A-8733-7934383BF43D} - System32\Tasks\{45F9E05F-36AA-43C4-8BE5-03701DB3B0FC} => Chrome.exe 
Task: {F5A7A001-1263-401E-8043-FE80F4B70D23} - \AdobeFlashPlayerUpdate -> No File <==== ATTENTION
ShortcutWithArgument: C:\Users\Капитан\Desktop\причики\Logitech Webcam Software  .lnk -> C:\Program Files (x86)\Common Files\logishrd\LWSPlugins\LWS\Applets\HelpMain\launchershortcut.exe () -> "hxxp://itssearch.ru" 
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC
FirewallRules: [{C46C4BE5-300E-4487-AB63-29944D5ED2D5}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{ED5FC06C-65AE-444D-A1FE-D3CB4036FB8A}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{902C4C2F-3CB3-49D4-BBB3-26EC0CD42929}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{DD9A04F1-5FD3-4967-BA82-9B3CE20AC5A9}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{1D625267-3E3A-44D6-85A3-F76D7FA25694}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
2016-02-02 11:35 - 2016-02-03 12:11 - 00000000 ____D C:\Users\Капитан\AppData\Local\Ethash
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\45ab42bc335e" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MAgent" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Guard.Mail.ru.gui" /f
Reg: reg delete "HKU\S-1-5-21-2631114674-669364849-1195457874-1000\Software\Microsoft\Windows\CurrentVersion\Uninstall\UpdaterEX" /f
CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebSecurityAddon_is1" /f /reg:32
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Настоятельно рекомендую деинсталлировать продукты от Iobit:

Advanced SystemCare 9
Driver Booster 3.2
IObit Malware Fighter 3

Ничего, кроме пожирания ресурсов, эти программы не делают, а Driver Booster неоднократно отличался установкой драйверов, которые рушили систему.

[tankt76]

не понял

[Vvvyg]

fixlist.txt должен быть не в папке C:\FRST, а там, откуда запускаете утилиту. На рабочий стол нужно.

[tankt76]

вроде правильно

[Vvvyg]

Результаты трудов есть?

[tankt76]

вроде больше не жрёт-папку ehsaht удалил больше не появляется(по вашему совету продукты iobit тоже поудалял)

[Vvvyg]

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.