Printable View
Добрый день.
Позавчера утром началось странное - антивирус NOD32 стал очень сильно грузить систему. Весь день пыталась понять на что он так реагирует, но закономерностей так и не нашла. Закончилось все удалением NOD32, так как иначе работать было невозможно, и установкой DrWeb. Хотелось бы удостовериться, что это не вирус (вероятность мала, но все же...).
Уважаемый(ая) [B]Nacida[/B], спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O4 - MountPoints2: HKCU\..\{a6cf0654-b9d2-11e8-a558-806e6f6e6963}\shell\AutoRun\command: (default) = (no file)
O4 - MountPoints2: HKCU\..\G\shell\AutoRun\command: (default) = G:\AutoRun.exe (file missing)
O4 - MSConfig\startupfolder: C:^Users^User^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^rto-proxy.lnk [backup] => C:\Program Files (x86)\rto-proxy\rto-proxy.exe (2022/04/23) (file missing)
O4 - MSConfig\startupfolder: C:^Users^User^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^sPortable - Ярлык.lnk [backup] => D:\My documents\Мои документы\Downloads\sPortable\sPortable.exe (2019/01/14) (file missing)
O4 - MSConfig\startupreg: AdobeGCInvoker-1.0 [command] = C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGCInvokerUtility.exe (HKLM) (2021/06/22) (file missing)
O4 - MSConfig\startupreg: Jet Screenshot [command] = C:\Program Files (x86)\Jet Screenshot\jetScreenshot.exe (HKCU) (2019/12/13) (file missing)
O4 - MSConfig\startupreg: multifon.exe [command] = "C:\Program Files (x86)\MegaFon\MultiFon\multifon.exe" /autostart (HKCU) (2018/09/16) (file missing)
O22 - Tasks: \Microsoft\Windows Defender\MP Scheduled Scan - d:\program files\windows defender\MpCmdRun.exe Scan -ScheduleJob -WinTask -RestrictPrivilegesScan (file missing)[/code]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Сделано.
Обновите WinRar: [URL="https://www.anti-malware.ru/news/2023-10-16-111332/42116"][B]Российские хакеры используют недавнюю уязвимость в WinRAR[/B][/URL].
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
Task: {C4E8B14A-4159-4C58-BDAD-281DBBFC97E8} - System32\Tasks\Microsoft\Windows Defender\MpIdleTask => d:\program files\windows defender\MpCmdRun.exe
ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} => -> Нет файла
ContextMenuHandlers6: [Fast Explorer] -> {693BE9C0-BEC3-11D2-B4C1-C33BBD3AD64B} => -> Нет файла
ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} => -> Нет файла
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [145]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [141]
MSCONFIG\startupreg: TNOD UP => "C:\Program Files (x86)\TNod\TNODUP.exe" /i
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
del /s /q C:\Windows\Minidump\*.dmp
ipconfig /flushdns
sfc /scannow
endbatch:
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Упакуйте его в архив .RAR с максимальным сжатием и прикрепите к своему следующему сообщению.
Компьютер будет перезагружен.
Сделано. Только DrWeb возмутился попыткой доступа к системным файлам, поэтому выполнено, скорее всего, не до конца.
Да, кое что не почистили, но это мелочи, мусор чистили. Заражения не было.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.
Значит, это все же проблемы NOD32 были. Спасибо большое! :thank_you2: