увеличился расход оперативной памяти. не могу найти причину. наблюдаются полные загрузки проца на 100%
Printable View
увеличился расход оперативной памяти. не могу найти причину. наблюдаются полные загрузки проца на 100%
Уважаемый(ая) [B]григорий44[/B], спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Тема [URL="https://virusinfo.info/showthread.php?t=226260"]увеличился расход оперативки[/URL] зачем создана, логи те же?
там с ошибкой
Хвосты от майнера есть, активного по логам не вижу. Что ломаное ставили?
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders, L_SID : TStringList;
i : integer;
procedure FillList;
begin
PD_folders := TStringList.Create;
PD_folders.Add('360TotalSecurity');
PD_folders.Add('360safe');
PD_folders.Add('AVAST Software');
PD_folders.Add('Avg');
PD_folders.Add('Avira');
PD_folders.Add('ESET');
PD_folders.Add('Indus');
PD_folders.Add('Kaspersky Lab Setup Files');
PD_folders.Add('Kaspersky Lab');
PD_folders.Add('MB3Install');
PD_folders.Add('Malwarebytes');
PD_folders.Add('McAfee');
PD_folders.Add('Norton');
PD_folders.Add('grizzly');
PD_folders.Add('RealtekHD');
PD_folders.Add('RunDLL');
PD_folders.Add('Setup');
PD_folders.Add('System32');
PD_folders.Add('Windows');
PD_folders.Add('WindowsTask');
PD_folders.Add('install');
PD_folders.Add('bebca3bc90');
PF_folders := TStringList.Create;
PF_folders.Add('360');
PF_folders.Add('AVAST Software');
PF_folders.Add('AVG');
PF_folders.Add('ByteFence');
PF_folders.Add('COMODO');
PF_folders.Add('Cezurity');
PF_folders.Add('Common Files\McAfee');
PF_folders.Add('ESET');
PF_folders.Add('Enigma Software Group');
PF_folders.Add('GRIZZLY Antivirus');
PF_folders.Add('Kaspersky Lab');
PF_folders.Add('Malwarebytes');
PF_folders.Add('Microsoft JDX');
PF_folders.Add('Panda Security');
PF_folders.Add('SpyHunter');
PF_folders.Add('RDP Wrapper');
O_folders := TStringList.Create;
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\RDP'));
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\Config.Msi'));
O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;
procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
for i := 0 to AFL.Count - 1 do
begin
fname := NormalDir(path + AFL[i]);
if DirectoryExists(fname) then
begin
AddToLog(fname + ' - Exists');
FSResetSecurity(fname);
QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
DeleteFileMask(fname, '*', true);
DeleteDirectory(fname);
end;
end;
end;
procedure Del_DisallowRun(SID_Name : string);
const
PolExplKey = '\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\';
DR = 'DisallowRun';
begin
if (RegKeyExists('HKEY_USERS', SID_Name + PolExplKey + DR)) then
begin
AddToLog('HKEY_USERS' + SID_Name + PolExplKey + DR + ' - Exists');
BackupRegKey('HKEY_USERS', SID_Name + PolExplKey, DR + SID_Name);
RegKeyDel('HKEY_USERS', SID_Name + PolExplKey + DR);
RegKeyParamDel('HKEY_USERS', PolExplKey, DR);
end;
end;
procedure swprv;
begin
ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;
procedure AV_block_remove;
begin
clearlog;
if GetAVZVersion < 5.18 then begin
ShowMessage('Пожалуйста, используйте актуальную версию AVZ, например, из папки AutoLogger-а.');
AddToLog('Текущая версия - '+FormatFloat('#0.00', GetAVZVersion));
exitAVZ;
end;
FillList;
ProgramData := GetEnvironmentVariable('ProgramData');
ProgramFiles := NormalDir('%PF%');
ProgramFiles86 := NormalDir('%PF% (x86)');
Del_folders(ProgramData +'\', PD_folders);
Del_folders(ProgramFiles, PF_folders);
Del_folders(ProgramFiles86, PF_folders);
Del_folders('', O_folders);
if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe');
if FileExists ('%windir%'+'\WrpYGF74DrEm.ini') then DeleteFile('%windir%'+'\WrpYGF74DrEm.ini');
L_SID := TStringList.Create;
RegKeyEnumKey('HKEY_USERS', '\', L_SID);
for i:= 0 to L_SID.Count-1 do
Del_DisallowRun('\'+ L_SID[i]);
L_SID.Free;
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
swprv;
ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
SaveLog(GetAVZDirectory +'AV_block_remove.log');
PD_folders.Free;
PF_folders.Free;
O_folders.Free;
ExecuteWizard('SCU', 2, 2, true);
ExecuteSysClean;
end;
begin
DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDControl');
DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDStartUP');
DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhost');
DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhostw');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
AV_block_remove;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке [COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR] над над первым сообщением в теме.
Файл [B]AV_block_remove.log[/B] из папки с AVZ прикрепите к своему сообщению.
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe (disabled)
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1[/code]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
вот все что нужно.? у меня без изменений.30 % загрузки оперативки вместо 12ти...
Зловредов не было уже активных, дочищаем их остатки и мусор. Смотрите в диспетчере процессов, кто память отжирает.
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
HKU\S-1-5-21-2581873905-1973924515-2303865915-1000\...\MountPoints2: {10f4e4a5-dfab-11ea-be3a-d8fee3a7f318} - "G:\AutoRun.exe"
HKU\S-1-5-21-2581873905-1973924515-2303865915-1000\...\MountPoints2: {10f4e553-dfab-11ea-be3a-d8fee3a7f318} - "G:\AutoRun.exe"
HKU\S-1-5-21-2581873905-1973924515-2303865915-1000\...\MountPoints2: {10f4ecd9-dfab-11ea-be3a-3297e8afda65} - "F:\AutoRun.exe"
HKU\S-1-5-21-2581873905-1973924515-2303865915-1000\...\MountPoints2: {1e9cdb2b-390b-11eb-bf06-b42e99d630a4} - "E:\AutoRun.exe"
HKU\S-1-5-21-2581873905-1973924515-2303865915-1000\...\MountPoints2: {1e9cdba7-390b-11eb-bf06-b42e99d630a4} - "E:\AutoRun.exe"
HKU\S-1-5-21-2581873905-1973924515-2303865915-1000\...\MountPoints2: {6c2f111f-1437-11eb-bebc-00a0c6000000} - "E:\AutoRun.exe"
HKU\S-1-5-21-2581873905-1973924515-2303865915-1000\...\MountPoints2: {a1e9019d-1f21-11eb-bed7-00a0c6000000} - "F:\AutoRun.exe"
HKU\S-1-5-21-2581873905-1973924515-2303865915-1000\...\MountPoints2: {a1e901c2-1f21-11eb-bed7-00a0c6000000} - "E:\AutoRun.exe"
HKU\S-1-5-21-2581873905-1973924515-2303865915-1000\...\MountPoints2: {beb394ec-1424-11eb-bebb-00a0c6000000} - "E:\AutoRun.exe"
HKU\S-1-5-21-2581873905-1973924515-2303865915-1000\...\MountPoints2: {beb395ef-1424-11eb-bebb-00a0c6000000} - "E:\AutoRun.exe"
2021-01-20 08:57 - 2020-09-02 12:06 - 000000000 __SHD C:\ProgramData\Doctor Web
2020-05-08 17:52 - 2017-12-27 20:20 - 001460224 _____ (Stas'M Corp.) C:\ProgramData\RDPWinst.exe
HKU\S-1-5-21-2581873905-1973924515-2303865915-1000\...\StartupApproved\Run: => "Advanced SystemCare"
FirewallRules: [{9984F546-1F6E-4A51-AC1B-324186911CF7}] => (Block) LPort=445
FirewallRules: [{142EC970-3C74-4436-BDEB-C2DC4412932F}] => (Block) LPort=445
FirewallRules: [{FB0DC2D0-1419-4764-BE36-99C438B7A678}] => (Block) LPort=139
FirewallRules: [{EBF3FB2C-7957-4D05-BF4D-F1ED74E52908}] => (Block) LPort=139
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
все так?проблема не ушла. и я не могу откатить систему. ошибка.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
все хорошо...глюк какой то...перезагрузил и все в порядке..
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].
Приложите этот файл к своему следующему сообщению.
прилагаю нужный файл
[QUOTE]IObit Driver Booster 8.0.1.166 v.8.0.1.166 [color=red][b]Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, [url=https://support.microsoft.com/ru-ru/help/2563254/microsoft-support-policy-for-the-use-of-registry-cleaning-utilities]программу-оптимизатор или программу очистки реестра[/url].[/b][/color] Рекомендуется деинсталляция и сканирование ПК с помощью [url=https://www.malwarebytes.org/mwb-download/]Malwarebytes Anti-Malware[/url]. Возможно Вы стали жертвой обмана или социальной инженерии.[/QUOTE]Не раз наблюдал, как такие "обновляторы" драйверов убивают систему, не рекомендую использовать.
А в остальном порядок.
огромное спасибо ребята за ваш бесценный труд. отблагодарю после выходных. а есть ли платная подписка и как это выглядит?