Подозрительный процесс engine.exe, который грузит диск. Не могу нормально играть в игры, тормозит видюху.
Подозрительный процесс engine.exe, который грузит диск. Не могу нормально играть в игры, тормозит видюху.
Уважаемый(ая) HoTTaBbl4, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\Vanek\appdata\roaming\cppredistx86.exe', ''); QuarantineFile('C:\Users\Vanek\appdata\roaming\daemon2.exe', ''); QuarantineFileF('C:\Users\Vanek\AppData\Roaming\DealPly\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('C:\Users\Vanek\appdata\roaming\cppredistx86.exe', '32'); DeleteFile('C:\Users\Vanek\appdata\roaming\daemon2.exe', '32'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "DealPly" /F', 0, 15000, true); DeleteFileMask('C:\Users\Vanek\AppData\Roaming\DealPly\', '*', true); DeleteDirectory('C:\Users\Vanek\AppData\Roaming\DealPly\'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\6529bb3c2a208e7ac5742aa23d7ba048', 'command'); ClearHostsFile; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(1); ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Скрипт выполнил, вот логи.
Проблема осталась, процесс грузит диск, сам ЦП не трогает, а вот диск грузит. Данное приложение(engine.exe) я нашёл в папке C:\Users\Vanek\AppData\Roaming\eth\a . Дня два назад я удалял папку с engine.exe, но видимо не помогло.
ссылка где?
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\users\vanek\appdata\roaming\eth\cp.exe'); QuarantineFile('C:\Windows\assembly\NativeImages_v2.0.50727_32\HD-LogRotatorService\809fb392bce279427c2d55407bbddec7\HD-LogRotatorService.ni.exe', ''); QuarantineFile('c:\users\vanek\appdata\roaming\eth\cp.exe', ''); QuarantineFileF('c:\users\vanek\appdata\roaming\eth\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('C:\Users\Vanek\AppData\Roaming\eth\cp.exe', '32'); DeleteFileMask('c:\users\vanek\appdata\roaming\eth\', '*', true); DeleteDirectory('c:\users\vanek\appdata\roaming\eth\'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ATT_Driver'); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Профиксите в HijackThis
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)Код:O2 - BHO: (no name) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - (no file) O2 - BHO: (no name) - {8E8F97CD-60B5-456F-A201-73065652D099} - (no file) O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O2 - BHO: (no name) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - (no file) O3 - Toolbar: (no name) - {8dcb7100-df86-4384-8842-8fa844297b3f} - (no file) O3 - Toolbar: (no name) - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - (no file) O4 - HKCU\..\Run: [ATT_Driver] C:\Users\Vanek\AppData\Roaming\eth\cp.exe O4 - MSConfig..HKLM: 2012/04/20 [6529bb3c2a208e7ac5742aa23d7ba048] iexplore.exe
Карантин закачал, вот логи.
Фикс в хиджак делали? От админа его запускали?
Профиксите в HijackThis
- Сделайте лог полного сканирования MBAM.Код:O2 - BHO: (no name) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - (no file) O2 - BHO: (no name) - {8E8F97CD-60B5-456F-A201-73065652D099} - (no file) O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O2 - BHO: (no name) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - (no file) O3 - Toolbar: (no name) - {8dcb7100-df86-4384-8842-8fa844297b3f} - (no file) O3 - Toolbar: (no name) - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - (no file) O4 - HKCU\..\Run: [ATT_Driver] C:\Users\Vanek\AppData\Roaming\eth\cp.exe O9 - Extra button: (no name) - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - (no file) O9 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file) O9 - Extra button: (no name) - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (no file) O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - (no file) O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - (no file) O9 - Extra button: (no name) - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - (no file) O9 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file) O9 - Extra button: (no name) - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (no file) O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - (no file) O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - (no file)
Не могу пофиксить эту строку, т.к. она отсутствует.
Код:O4 - HKCU\..\Run: [ATT_Driver] C:\Users\Vanek\AppData\Roaming\eth\cp.exe
Фиксьте остальные и затем свежий лог HijackThis.
Лог MBAM скоро будет.
- - - - -Добавлено - - - - -
Вот MBAM лог
Удалите в MBAM всё кроме
После этого сделайте свежий лог MBAM.Код:PUP.Optional.DownloadHelper, C:\Users\Vanek\Downloads\mathcad-15-rus-tfile.ru.exe.torrent (1).exe, , [c0ed99eef4a5cd69dc37777d20e13fc1], PUP.Optional.DownloadHelper, C:\Users\Vanek\Downloads\mathcad-15-rus-tfile.ru.exe.torrent.exe, , [9c1191f62f6a8aacec27c034d52c4db3], PUP.Optional.PCMechanic, C:\Users\Vanek\Downloads\pcmechanicpm.exe, , [5e4f1176aced56e07315fa388a77ec14], CrackTool.Agent.Keygen, C:\Windows\AutoKMS.exe, , [d1dc35524653979f730eebc1c839cc34], RiskWare.Tool.CK, C:\Windows\KMSEmulator.exe, , [6b426f184752ed49dd2a73c4bd45e719],
+
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
- Прикрепите отчет к своему следующему сообщению.
Удалил, сделал логи
Программы от Mail.ru используете?
нет, не использую)
MBAM деинсталируйте.
- Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
- В меню Настройки отметьте:
- Сброс политик IE
- Сброс политик Chrome
- Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
MBAM деинсталлировал, почистил комп с помощью AdwCleaner (by Xplode), вот лог после чистки.
Сделайте свежий лог AdwCleaner-а.
вот
Уважаемый(ая) HoTTaBbl4, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.