Printable View
Доброго времени суток!
Наблюдается снижение работоспособности системы. "Тормозит" все ужасно. В интернет выходит только через стартовую страницу сотового оператора, хотя в доме вай-фай от мгтс. Установленный антивирус не может обновить базу данных. По-возможности, прошу помочь оживить комп.
Уважаемый(ая) [B]WannaChill[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте,
Сами устанавливали DriverAgentPlus ?
HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[B]Важно[/B]: необходимо отметить и профиксить [B]только[/B] то, что указано ниже.
[CODE]
R4 - SearchScopes: HKU\S-1-5-21-1668605211-3379961233-682190125-1002\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: [SuggestionsURLFallback] = http://clients5.google.com/complete/search?hl={language}&q={searchTerms}&client=ie8&inputencoding={inputEncoding}&outputencoding={outputEncoding} - (no name)
F2 - HKLM\..\WinLogon: [UserInit] = C:\Users\Дима\AppData\Local\Kometa\StartButton\kometastartvx64.exe,C:\Windows\system32\userinit.exe,
O1 - Hosts: 127.0.0.1 down.baidu2016.com
O1 - Hosts: 127.0.0.1 123.sogou.com
O1 - Hosts: 127.0.0.1 www.czzsyzgm.com
O1 - Hosts: 127.0.0.1 www.czzsyzxl.com
O4 - HKU\S-1-5-21-1668605211-3379961233-682190125-1002\..\Run: [StartButton] = C:\Users\Дима\AppData\Local\Kometa\StartButton\kometastartvx64.exe (User 'Дима')
O22 - Task (.job): (disabled) Kaspersky_Upgrade_Launcher_{278ADC42-419D-4547-A6CA-5B74BE0AD901}.job - (no file)
O22 - Task: (disabled) \Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor - {EA9155A3-8A39-40B4-8963-D3C761B18371} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)
O22 - Task: (disabled) \Microsoft\Windows\Shell\WindowsParentalControlsMigration - {343D770D-7788-47C2-B62A-B7C4CED925CB} - (no file)
O22 - Task: Soft installer - C:\Users\DimaKuznecov\AppData\Local\Hostinstaller\3804407011_monster.exe subid=0;scheduler=1 (file missing)
O22 - Task: SystemMonitor2016 - C:\Users\DimaKuznecov\AppData\Local\SystemMonitor2016\3804407011.exe cmdrun=scheduler (file missing)
O22 - Task: \Microsoft\Windows\MobilePC\HotStart - {06DA0625-9701-43DA-BFD7-FBEEA2180A1E} - (no file)
O22 - Task: \Microsoft\Windows\Shell\WindowsParentalControls - {DFA14C43-F385-4170-99CC-1B7765FA0E4A} - (no file)
[/CODE]
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFileF('c:\users\dimakuznecov\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\users\dimakuznecov\appdata\local\systemmonitor2016', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', false, '', 0 ,0);
QuarantineFile('C:\Users\DimaKuznecov\AppData\Local\Hostinstaller\3804407011_monster.exe', '');
QuarantineFile('C:\Users\DimaKuznecov\AppData\Local\SystemMonitor2016\3804407011.exe', '');
QuarantineFile('C:\Users\Дима\AppData\Local\Kometa\StartButton\kometastartvx64.exe','');
QuarantineFile('C:\Users\Дима\AppData\Local\wutphost\wutphost.exe','');
QuarantineFile('C:\Users\DimaKuznecov\AppData\Roaming\daemon2.exe','');
QuarantineFile('C:\ProgramData\DriverAgentPlus\DriverAgentPlusHelper\DriverAgentPlusHelper.exe','');
DeleteFile('C:\Users\DimaKuznecov\AppData\Local\Hostinstaller\3804407011_monster.exe', '');
DeleteFile('C:\Users\DimaKuznecov\AppData\Local\SystemMonitor2016\3804407011.exe', '');
DeleteFileMask('c:\users\dimakuznecov\appdata\local\hostinstaller', '*', true);
DeleteFileMask('c:\users\dimakuznecov\appdata\local\systemmonitor2016', '*', false);
ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SystemMonitor2016" /F', 0, 15000, true);
DeleteFile('C:\Users\Дима\AppData\Local\Kometa\StartButton\kometastartvx64.exe','32');
DeleteFile('C:\Users\DimaKuznecov\AppData\Roaming\daemon2.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Daemon','command');
DeleteFile('C:\WINDOWS\system32\Tasks\Driver Booster SkipUAC (Дима)','64');
DeleteFile('C:\Users\Дима\AppData\Local\wutphost\wutphost.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\wutphost','64'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1668605211-3379961233-682190125-1002\Software\Microsoft\Windows\CurrentVersion\Run','StartButton');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
- Подготовьте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]AdwCleaner[/URL] и приложите его в теме.
Сами устанавливали DriverAgentPlus ?
Нет, даже не представляю что это.
Профиксил и выполнил скрипт. Карантин отправил, согласно правилам.
Подготовить лог AdwCleaner не получается, после перезагрузки системы, в частности при заходе на вирусинфо.инфо, пишет - не удается получить доступ к сайту.
Все сообщения пишу с живого компьютера.
А если загрузиться в режиме [URL="https://support.microsoft.com/ru-ru/help/929135/how-to-perform-a-clean-boot-in-windows"]чистой загрузки[/URL]?
Лог прикрепляю.
Антивирус в диспетчере задач отключить не удалось.
[QUOTE=WannaChill;1502472]
Антивирус в диспетчере задач отключить не удалось.[/QUOTE]
Так и должно быть это защита.
[url=https://virusinfo.info/showthread.php?t=218752&p=1480599&viewfull=1#post1480599]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Удалил все элементы, так как не отображались наименования выбранных элементов, только ячейки.
После перезагрузки заходит и на ваш сайт и на другие.
Очень похоже на то, что клиент оживает )
Скажем так сайт не мой, я тут как доброволец, а так новости хорошие.
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.corovin.info/FRST_Icon.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"SigCheckExt"[/i].
[img]https://i.corovin.info/FRST.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
Промежуточный итог: все летало минут 15. Стоило почистить мусор ccleaner(ом) - начались проблемы с выходом в интернет. Причем, явных тормозов системы нет. Проблемы с выходом в интернет. Кроме как на стартовую страницу билайн никуда не заходит.
Готовлю отчет от Фарбар.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[QUOTE=SQ;1502484]Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.corovin.info/FRST_Icon.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list][/QUOTE]
Версию для 32-х битной системы Avast забраковал, сообщив следующее: [b]Угроза обезврежена. файл FRST.exe перемещен в Хранилище вирусов, так как он заражен Win32:Malware-gen.[/b]
прикрепляю логи из второй версии, которая запустилась.
Удалите остатки от антивируса Лаборатории Касперского, утилитой [URL="https://support.kaspersky.ru/common/uninstall/1464"]kavremover [/URL]
Сами настраивали ограничения в групповой политике (хотя для редакции home это не возможно)?
[CODE]GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
GroupPolicyUsers\S-1-5-21-1668605211-3379961233-682190125-1002\User: Restriction <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION[/CODE]
Удалите Driver Booster через установку программ в панели управления.
[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
Start::
CreateRestorePoint:
CloseProcesses:
Task: {35DBC2D8-F975-41B3-8322-DD95E1821545} - System32\Tasks\Driver Booster SkipUAC (Дима) => C:\Program Files (x86)\IObit\Driver Booster\4.1.0\DriverBooster.exe
Task: {66BC0BDF-8CBE-4ABB-8E08-054BD2DD90FF} - \Games\UpdateCheck_S-1-5-21-1668605211-3379961233-682190125-1001 -> No File <==== ATTENTION
Task: {72082221-EF48-4339-AF76-676F4388DFF8} - \Games\UpdateCheck_S-1-5-21-1668605211-3379961233-682190125-501 -> No File <==== ATTENTION
Task: {DDC86324-A7B3-4DED-A29C-93629940E7E0} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
Toolbar: HKU\S-1-5-21-1668605211-3379961233-682190125-1001 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} - No File
FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\FFExt\light_plugin_firefox\addon.xpi => not found
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Users\DimaKuznecov\AppData\Roaming\Mozilla\Firefox\Profiles\htynfa8p.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\FFExt\light_plugin_firefox\addon.xpi => not found
CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [icanjjkadceebmhanpekkofdhclnoijl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
File: C:\Program Files (x86)\D-Link\DWA-140\WPSHWPBC.exe
File: D:\Program Files\Microvirt\MEmuHyperv\MEmuDrv.sys
Folder: C:\ProgramData\Mozilla
2019-07-18 19:44 - 2017-12-16 19:57 - 000000000 ____D C:\Users\Дима\AppData\Roaming\IObit
2019-07-18 19:44 - 2016-01-26 20:38 - 000000000 ____D C:\Users\Все пользователи\IObit
2019-07-18 19:44 - 2016-01-26 20:38 - 000000000 ____D C:\ProgramData\IObit
File: C:\WINDOWS\mauninst.exe
File: C:\WINDOWS\SetDrive.exe
File: C:\WINDOWS\WinWait.exe
ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} => -> No File
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [476]
MSCONFIG\startupreg: swg =>
Reboot:
End::
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Битые ссылки на драйвера антивируса Avast, попробуйте его переустановить:
[CODE]U1 aswbdisk; no ImagePath
U0 aswblog; no ImagePath[/CODE]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[QUOTE=WannaChill;1502490]
Версию для 32-х битной системы Avast забраковал, сообщив следующее: [b]Угроза обезврежена. файл FRST.exe перемещен в Хранилище вирусов, так как он заражен Win32:Malware-gen.[/b]
[/QUOTE]
Похоже на ложное срабатывание, однако запросил у Вирлаба детали.
[QUOTE=SQ;1502491]Удалите остатки от антивируса Лаборатории Касперского, утилитой [URL="https://support.kaspersky.ru/common/uninstall/1464"]kavremover [/URL][/QUOTE]
Попробовал. Не уверен, что получилось.
[QUOTE=SQ;1502491]Сами настраивали ограничения в групповой политике (хотя для редакции home это не возможно)?[/QUOTE]
Нет, никаких ограничений сам не настраивал.
[QUOTE=SQ;1502491]Удалите Driver Booster через установку программ в панели управления.[/QUOTE]
Через установку, да и не только, данную утилиту (драйвер) найти не удалось.
[QUOTE=SQ;1502491]Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как... Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![/QUOTE]
Во вложении.
[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
Start::
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
GroupPolicyUsers\S-1-5-21-1668605211-3379961233-682190125-1002\User: Restriction <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Reboot:
End::
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Файл во вложении.
Что удивительно, в интернет получается выйти через раз. А когда не получается - открывается окно личного кабинета билайна с предложением ввода логин/пароля. (в доме провайдер мгтс). Причем, превентивная замена стартовой страницы, допустим, на Яндекс.ру, ничего не меняет.
А в режиме [URL="https://support.microsoft.com/ru-ru/help/929135/how-to-perform-a-clean-boot-in-windows"]чистой загрузке[/URL] также тормозит.
[QUOTE=SQ;1502662]А в режиме [URL="https://support.microsoft.com/ru-ru/help/929135/how-to-perform-a-clean-boot-in-windows"]чистой загрузке[/URL] также тормозит.[/QUOTE]
В таком случае все летает, как никогда...
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Но, после перезагрузки системы все возвращается к исходному. ЛК билайна и невозможно загрузить страницу.
приложите новый лог FRST (FRST.txt и Addition.txt).
Также уточните, если вы переустанавливали антивирус Avast?
[QUOTE=SQ;1502691]приложите новый лог FRST (FRST.txt и Addition.txt)[/QUOTE]\
Во вложении
[QUOTE=SQ;1502691]Также уточните, если вы переустанавливали антивирус Avast?[/QUOTE]
Антивирус удалил, не вызывает доверия)
Удалите остатки от антивируса Avast утилитой [URL="https://www.avast.ru/uninstall-utility"]Avast Remover.[/URL]
[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
Start::
CreateRestorePoint:
CloseProcesses:
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
U1 aswbdisk; no ImagePath
U0 aswblog; no ImagePath
2019-07-23 09:19 - 2019-07-23 09:19 - 000000008 __RSH C:\Users\DimaKuznecov.DMITRII-PC\ntuser.pol
File: C:\ProgramData\flashax10.exe
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
Reboot:
End::
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Добрый вечер! Файл во вложении.