внезапно появилась медленная работа браузера, самопроизвольная перезагрузка компьютера
Printable View
внезапно появилась медленная работа браузера, самопроизвольная перезагрузка компьютера
Уважаемый(ая) [B]HORS[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\gmsd_ru_005010071\upgmsd_ru_005010071.exe', '32');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\gmsd_ru_025010071\upgmsd_ru_025010071.exe', '32');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Kometa\kometaup.exe', '32');
DeleteFile('C:\Program Files\baidu\pps.exe', '32');
DeleteFileMask('c:\documents and settings\администратор\local settings\application data\amigo', '*', true);
DeleteFileMask('c:\documents and settings\администратор\local settings\application data\gmsd_ru_005010071', '*', true);
DeleteFileMask('c:\documents and settings\администратор\local settings\application data\gmsd_ru_025010071', '*', true);
DeleteFileMask('c:\documents and settings\администратор\local settings\application data\kometa', '*', true);
DeleteFileMask('c:\program files\baidu', '*', true);
DeleteDirectory('c:\documents and settings\администратор\local settings\application data\amigo');
DeleteDirectory('c:\documents and settings\администратор\local settings\application data\gmsd_ru_005010071');
DeleteDirectory('c:\documents and settings\администратор\local settings\application data\gmsd_ru_025010071');
DeleteDirectory('c:\documents and settings\администратор\local settings\application data\kometa');
DeleteDirectory('c:\program files\baidu');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\apphide', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\upgmsd_ru_005010071.exe', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\upgmsd_ru_025010071.exe', 'command');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(10);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].
Приложите этот файл к своему следующему сообщению.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
рекомендации выполнил
Устанавливайте обновления:[QUOTE]HotFix KB3197835 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3197835]Скачать обновления[/url][/b][/color]
HotFix KB4012598 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598]Скачать обновления[/url][/b][/color]
HotFix KB4012583 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012583]Скачать обновления[/url][/b][/color]
HotFix KB4022747 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4022747]Скачать обновления[/url][/b][/color]
HotFix KB4024323 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4024323]Скачать обновления[/url][/b][/color]
HotFix KB4025218 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4025218]Скачать обновления[/url][/b][/color][/QUOTE]KB4012598 - в первую очередь, затыкает дыру, через которую использовали нашумевшие в прошлом году шифровальщики WannaCry и Petya/NotPetya (если пропустили - погуглите, увлекательно). А вашу систему валят просто при попытке подсадить майнер через эту дыру.
И это снесите/обновите, тоже критические уязвимости содержит:[QUOTE]QuickTime v.7.71.80.42 [color=red][b]Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности![/b][/color] Рекомендуется [b][url=https://support.apple.com/ru-ru/HT205771]деинсталлировать[/url][/b] данное ПО.
Adobe Acrobat 4.0 v.4.0 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее, скачать и установить [b][url=https://acrobat.adobe.com/ru/ru/free-trial-download.html]Adobe Acrobat DC[/url][/b].
Adobe Flash Player 27 PPAPI v.27.0.0.170 [color=red][b]Внимание! [url=http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ppapi.exe]Скачать обновления[/url][/b][/color][/QUOTE]
Удалите программу Setup.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
HKU\S-1-5-21-299502267-117609710-842925246-500\...\MountPoints2: {a141ab78-dd8b-11e3-850d-00112fe0312d} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-299502267-117609710-842925246-500\...\MountPoints2: {b8766e9e-b217-11e4-870a-00112fe0312d} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
HKU\S-1-5-21-299502267-117609710-842925246-500\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=802853
SearchScopes: HKLM -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.allsearches.info/?l=1&q={searchTerms}&pid=3540&r=2014/10/18&hid=4845812325324282718&lg=EN&cc=RU&unqvl=64
SearchScopes: HKU\S-1-5-21-299502267-117609710-842925246-500 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=802863
SearchScopes: HKU\S-1-5-21-299502267-117609710-842925246-500 -> {95F663C0-C370-4955-8B39-63069DB1F6C0} URL = hxxp://websearch.allsearches.info/?l=1&q={searchTerms}&pid=3540&r=2014/10/18&hid=4845812325324282718&lg=EN&cc=RU&unqvl=64
SearchScopes: HKU\S-1-5-21-299502267-117609710-842925246-500 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=802863
Toolbar: HKU\S-1-5-21-299502267-117609710-842925246-500 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1440606537&z=4e39ab39557a50d4e4c4d88g2z3z2e0qcecq1zao5o&from=cmi&uid=WDCXWD800JB-22JJA0_WD-WCAM92144597
CHR HomePage: ChromeDefaultData -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR Profile: C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\System Profile [2018-01-08]
CHR HKLM\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (SurfEasy Proxy, продукт компании Opera Software) - C:\Documents and Settings\Администратор\Application Data\Opera Software\Opera Stable\Extensions\ebpielhlnnpkiddeeacoephkilopgblc [2017-11-11]
S3 TSSK; C:\WINDOWS\System32\tssk.sys [67896 2016-03-05] (电脑管家)
C:\WINDOWS\System32\tssk.sys
MSCONFIG\startupreg: amigo =>
MSCONFIG\startupreg: apphide =>
MSCONFIG\startupreg: gmsd_ru_005010071 =>
MSCONFIG\startupreg: gmsd_ru_025010071 =>
MSCONFIG\startupreg: kometaup =>
MSCONFIG\startupreg: upgmsd_ru_005010071.exe =>
MSCONFIG\startupreg: upgmsd_ru_025010071.exe =>
DomainProfile\AuthorizedApplications: [C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\QMAccountProtection.exe] => Enabled:????-???
DomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe] => Enabled:腾讯产品下载组件
DomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\bugreport_xf.exe] => Enabled:腾讯产品下载组件Crash上报
StandardProfile\AuthorizedApplications: [C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\QMAccountProtection.exe] => Enabled:????-???
StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe] => Enabled:腾讯产品下载组件
StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\bugreport_xf.exe] => Enabled:腾讯产品下载组件Crash上报
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], в FRST нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
[QUOTE=Vvvyg;1477954]
Удалите программу Setup.
[/QUOTE]
какую из них? на диске нашлось штук 20
остальные рекомендации выполнил
Которая в списке установленных программ значится, как просто "Setup". Удалять именно через панель управления.
Обновления установили? Что с проблемой?
[QUOTE=Vvvyg;1478024]Которая в списке установленных программ значится, как просто "Setup". Удалять именно через панель управления.
[/QUOTE]
через панель управления в списке установленных она не видна, её видит только AIDA64, но на команду удаления никак не реагирует
обновления установлены, проблема пока не проявляется
Удалите папку C:\FRST со всем содержимым.
Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].