Процессор постоянно в нагрузке, постоянная сетевая активность

Printable View

13.04.2018, 12:59
Lakmuss

Вложений: 1

Процессор постоянно в нагрузке, постоянная сетевая активность

Касперский и родной "антивирус" win 10, ничего не видят, отследил местоположения файла, запускающего процесс, пытался удалить разными способами, но тщетно
13.04.2018, 13:01
Info_bot

Уважаемый(ая) [B]Lakmuss[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
14.04.2018, 19:04
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\PROGRA~3\fa56b575\8d168751.dll','');
QuarantineFile('C:\Program Files\Jetmedia\NativeDesktopMediaService\checker.exe','');
QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\taskrun.vbs','');
DeleteService('ahsmydlj');
DeleteService('fumrofhs');
DeleteService('lagoivpg');
DeleteService('megimrio');
DeleteService('yegwbloy');
DeleteService('xfzhvgyt');
DeleteService('pfwexhjt');
DeleteService('qkoyhqyw');
DeleteService('qsdvthii');
DeleteService('unyioegw');
DeleteService('windowsmanagementservice');
TerminateProcessByName('C:\Users\User\AppData\Local\cghutns\cghutns.exe');
QuarantineFile('C:\Users\User\AppData\Local\cghutns\cghutns.exe','');
QuarantineFile('C:\Users\User\AppData\Local\wmcagent\wmcagent.exe','');
TerminateProcessByName('C:\Users\User\AppData\Local\cghutns\sndutxl.exe');
QuarantineFile('C:\Users\User\AppData\Local\cghutns\sndutxl.exe','');
DeleteFile('C:\Users\User\AppData\Local\cghutns\sndutxl.exe','32');
DeleteFile('C:\Users\User\AppData\Local\cghutns\cghutns.exe','32');
DeleteFile('windowsmanagementservice.exe','32');
DeleteFile('C:\WINDOWS\system32\drivers\pfwexhjt.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\qkoyhqyw.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\qsdvthii.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\unyioegw.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\xfzhvgyt.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\yegwbloy.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\ahsmydlj.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\fumrofhs.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\lagoivpg.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\megimrio.sys','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaGet2');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','WinResSync');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','WinResSync');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','WinResSync');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','WinResSync');
DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\taskrun.vbs','32');
DeleteFile('C:\WINDOWS\Tasks\Online Application V2G1.job','32');
DeleteFile('C:\WINDOWS\Tasks\Online Application V2G2.job','32');
DeleteFile('C:\WINDOWS\Tasks\Online Application V2G3.job','32');
DeleteFile('C:\WINDOWS\Tasks\Online Application V2G4.job','32');
DeleteFile('C:\WINDOWS\Tasks\Online Application V2G5.job','32');
DeleteFile('C:\WINDOWS\Tasks\Updater_Online_Application.job','32');
DeleteFile('C:\Program Files\Jetmedia\NativeDesktopMediaService\checker.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\Checker64','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Online Application V2G1','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Online Application V2G2','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Online Application V2G3','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Online Application V2G4','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Online Application V2G5','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Online Application V2G6','64');
DeleteFile('C:\WINDOWS\system32\Tasks\SoftUpgrade','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Updater_Online_Application','64');
DeleteFile('C:\PROGRA~3\fa56b575\8d168751.dll','32');
DeleteFile('C:\WINDOWS\system32\Tasks\{23D707E0-2DDA-0BA2-B1D6-46EB4210531F}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code][list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.

[b][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. [/color][/b]
15.04.2018, 19:28
Lakmuss

Вложений: 1

При попытке загрузить файл карантина, на сайте выдает сообщение о том, что файл уже загружен, вот логи:
17.04.2018, 12:50
thyrex

Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
17.04.2018, 13:38
Lakmuss

Вложений: 1

Эх...поскорее бы уже избавиться от вируса, у меня существует ограничение по трафику интернета, и приходится постоянно докупать пакеты, идут сильные расходы из-за этого вируса(
17.04.2018, 16:22
thyrex

C:\WINDOWS\system32\Drivers\dskfilos.sys проверьте на virustotal.com и пришлите ссылку на результат проверки.

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
2018-04-17 03:05 - 2018-04-17 03:05 - 000000000 ____D C:\Users\User\AppData\Local\dwegkbx
2018-04-15 21:31 - 2018-04-15 21:31 - 000000000 ____D C:\Users\User\AppData\Local\svmanzp
2018-04-15 21:16 - 2018-04-15 21:16 - 000000000 ____D C:\Users\User\AppData\Local\avrwkpe
2018-04-15 21:02 - 2018-04-15 21:02 - 000000000 ____D C:\Users\User\AppData\Local\exdzitk
2018-04-13 12:56 - 2018-04-17 15:33 - 000000000 ____D C:\Users\User\AppData\Local\cghutns
2018-04-13 12:53 - 2018-04-13 12:53 - 000000000 ____D C:\Users\User\AppData\Local\cwkzlpe
2018-04-13 12:24 - 2018-04-13 12:24 - 000000000 ____D C:\Users\User\AppData\Local\vdmgbie
2018-04-13 12:19 - 2018-04-13 12:19 - 000000000 ____D C:\Users\User\AppData\Local\wmopscb
2018-04-13 12:11 - 2018-04-13 12:11 - 000000000 ____D C:\Users\User\AppData\Local\mbahleg
2018-04-13 11:11 - 2018-04-13 11:11 - 000000000 ____D C:\Users\Все пользователи\Babylon
2018-04-13 11:11 - 2018-04-13 11:11 - 000000000 ____D C:\Users\User\AppData\Roaming\Babylon
2018-04-13 11:11 - 2018-04-13 11:11 - 000000000 ____D C:\ProgramData\Babylon
2018-04-08 22:11 - 2018-04-08 22:11 - 000000000 ____D C:\Users\User\AppData\Local\svscepu
2018-04-08 22:10 - 2018-04-13 10:22 - 000000000 ____D C:\Users\Все пользователи\fa56b575
2018-04-08 22:10 - 2018-04-13 10:22 - 000000000 ____D C:\ProgramData\fa56b575
2018-04-08 22:10 - 2018-04-09 20:02 - 000000000 ____D C:\Users\User\AppData\Local\4E6400F0-B7F6-4833-F1D0-9891F0E1BA2E
2018-04-08 22:10 - 2018-04-08 22:10 - 000000000 ____D C:\Users\Все пользователи\JetMedia
2018-04-08 22:10 - 2018-04-08 22:10 - 000000000 ____D C:\Users\Все пользователи\eb46d6b1-3ff7-1
2018-04-08 22:10 - 2018-04-08 22:10 - 000000000 ____D C:\Users\Все пользователи\eb46d6b1-0c03-0
2018-04-08 22:10 - 2018-04-08 22:10 - 000000000 ____D C:\Users\Все пользователи\{718a11c6-712c-1}
2018-04-08 22:10 - 2018-04-08 22:10 - 000000000 ____D C:\Users\Все пользователи\{01732e05-012c-0}
2018-04-08 22:10 - 2018-04-08 22:10 - 000000000 ____D C:\ProgramData\JetMedia
2018-04-08 22:10 - 2018-04-08 22:10 - 000000000 ____D C:\ProgramData\eb46d6b1-3ff7-1
2018-04-08 22:10 - 2018-04-08 22:10 - 000000000 ____D C:\ProgramData\eb46d6b1-0c03-0
2018-04-08 22:10 - 2018-04-08 22:10 - 000000000 ____D C:\ProgramData\{718a11c6-712c-1}
2018-04-08 22:10 - 2018-04-08 22:10 - 000000000 ____D C:\ProgramData\{01732e05-012c-0}
2018-04-08 22:10 - 2018-04-08 22:10 - 000000000 ____D C:\Program Files\Jetmedia
2018-04-04 22:06 - 2018-04-04 22:06 - 000689664 _____ C:\WINDOWS\11faa3e937903546ccf3e7dbcfc2619d.exe
2018-03-26 05:18 - 2018-03-28 17:02 - 000000000 ____D C:\Users\User\AppData\Local\tiobvxu
2018-03-26 05:18 - 2018-03-26 05:19 - 000000000 ____D C:\Users\User\AppData\Local\wmcagent
2018-03-26 05:14 - 2018-03-26 05:14 - 000000000 ____D C:\Users\User\AppData\Local\wmdgzep
2018-03-26 05:12 - 2018-04-08 22:11 - 000000000 ____D C:\Users\Все пользователи\a35ffab4-16c5-1
2018-03-26 05:12 - 2018-04-08 22:11 - 000000000 ____D C:\Users\Все пользователи\a35ffab4-13f5-0
2018-03-26 05:12 - 2018-04-08 22:11 - 000000000 ____D C:\ProgramData\a35ffab4-16c5-1
2018-03-26 05:12 - 2018-04-08 22:11 - 000000000 ____D C:\ProgramData\a35ffab4-13f5-0
2018-03-26 05:12 - 2018-03-26 05:12 - 000000000 ____D C:\WINDOWS\SysWOW64\csmugxk
2018-03-26 05:12 - 2018-03-26 05:12 - 000000000 ____D C:\WINDOWS\system32\csmugxk
2018-03-26 05:12 - 2018-03-26 05:12 - 000000000 ____D C:\Users\User\AppData\Roaming\SystemHealer
2018-03-26 05:11 - 2018-04-07 02:33 - 000000382 _____ C:\WINDOWS\Tasks\Online Application V2G6.job
Task: {0A008AF2-D3B7-4183-B361-4BD96DDC9456} - \{23D707E0-2DDA-0BA2-B1D6-46EB4210531F} -> No File <==== ATTENTION
Task: {324C95EA-F9F1-40F3-AC4C-E848D25A79E0} - \SoftUpgrade -> No File <==== ATTENTION
Task: {854F8102-E277-4727-A71A-5EDF539AB7BF} - \Online Application V2G6 -> No File <==== ATTENTION
Task: {A49469CE-2774-4EAF-9A51-153EF72C0AB2} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
Task: {BBB3BCAB-68C6-4300-BF1E-AE982380D868} - \Checker64 -> No File <==== ATTENTION
Task: C:\WINDOWS\Tasks\Online Application V2G6.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== ATTENTION
C:\Program Files (x86)\Microleaves
AlternateDataStreams: C:\WINDOWS\system32\Drivers\bieerepb.sys:changelist [2270]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\elfzlxeg.sys:changelist [850]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\qtadzvmz.sys:changelist [850]
HKU\S-1-5-21-4190757389-1729798317-3124134009-1000\...\StartupApproved\StartupFolder: => "iexplorer.exe"
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]
17.04.2018, 17:28
Lakmuss

Вложений: 1

Текстовый редактор почему то странно себя стал вести, создал документ, вписал код, сохранил на раб стол ( прога там же ), захожу в него, там пусто...а файл, который просили проверить на сайте, не слушается...просит права админа, хотя все разрешения включены
17.04.2018, 18:06
thyrex

Значит сохраните файл на другой диск и повторите выполнение фикса
18.04.2018, 12:03
Lakmuss

Вложений: 1

Неважно, где я сделаю фикслог, постоянно, после сохранения тхт файла, он весит 5 кб, но внутри пуст, при этом, если я введу другой любой текст, он будет виден, а ваш код почему то нет, сделал еще раз фикслог...от первого не отличается
19.04.2018, 19:50
thyrex

Вложений: 1

Скачайте файл из вложения
20.04.2018, 14:03
Lakmuss

Какая то мистика, впервые с таким сталкиваюсь, при скачке вашего файла, пишет: не удалось скачать файл, при смене папки или диска для сохранения файла пишет: Запросите права у администратора сети, хотя любой другой файл скачивает нормально, такое ощущение, что именно файл fixlist как то блокируется системой ( вирусом )
20.04.2018, 15:52
thyrex

Пробуйте в безопасном режиме
20.04.2018, 21:30
Lakmuss

Вложений: 1

Вот, сделал в безопасном режиме
23.04.2018, 18:52
Lakmuss

Вирус также активен, что делать дальше?
23.04.2018, 19:42
thyrex

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
25.04.2018, 20:49
Lakmuss

Вложений: 1

Вот, что дальше?
25.04.2018, 23:00
thyrex

Удалите в МВАМ все, [B]кроме[/B]
[CODE]Generic.Malware/Suspicious, C:\PROGRAM FILES (X86)\R-STUDIO\CRACK.EXE, Проигнорировано пользователем, [0], [392686],1.0.4874
CrackTool.Agent, J:\ASSASSIN'S CREED V UNITY\CRACK BY RELOADED.RAR, Проигнорировано пользователем, [6386], [324694],1.0.4874
PUP.Optional.APNToolBar, D:\366\ANDROID\WWW.XDRV.RU_LG_FLASHTOOL_UPTESTEX_1.1.7.0.ZIP, Проигнорировано пользователем, [7963], [76243],1.0.4874
RiskWare.Tool.HCK, D:\366\Установочные файлы\Программы\ADOBE.PHOTOSHOP.CC.2014.U3.X86-X64.RU-EN\ADOBE PHOTOSHOP\CRACK\ALTERNATIVE\ADOBE.SNR.PATCH-PAINTER.EXE, Проигнорировано пользователем, [8118], [69152],1.0.4874
RiskWare.Tool.HCK, D:\366\Установочные файлы\Программы\BANDICAM_V3.0.3.1025\CRACK.RAR, Проигнорировано пользователем, [8118], [64690],1.0.4874
RiskWare.Tool.HCK, D:\366\Установочные файлы\Программы\BANDICAM_V3.0.3.1025\KEYMAKER.EXE, Проигнорировано пользователем, [8118], [64690],1.0.4874
CrackTool.Agent, D:\ASSASSIN'S CREED - SYNDICATE\NODVD\RELOADED\UPLAY_R1_LOADER64R.DLL, Проигнорировано пользователем, [6386], [324694],1.0.4874
[/CODE]
03.05.2018, 15:44
Lakmuss

Мне кажется, или проще винду переустановить?...можете объяснить, зачем все эти безрезультатные проверки? я знаю где находится папка с вирусом, который жрет мой трафик интернета и цп, нужно просто ее удалить, неужели нет способа, удалить все что угодно на компьютере? так было бы проще -удалить просто эту папку, может и есть у меня другие вирусы, но жить спокойно не дает именно этот
03.05.2018, 18:30
thyrex

И что это за папка?
06.05.2018, 22:22
Lakmuss

C:\Users\User\AppData\Local\cghutns
Вот эта
07.05.2018, 00:21
thyrex

Сделайте новые логи FRST
08.05.2018, 11:51
Lakmuss

Вложений: 1

Вот
09.05.2018, 00:04
thyrex

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
2018-04-19 07:36 - 2018-04-19 07:36 - 000000000 ____D C:\Users\User\AppData\Local\avcgwzn
2018-04-18 13:56 - 2018-04-18 13:56 - 000000000 ____D C:\Users\User\AppData\Local\wehgtud
2018-04-13 10:49 - 2018-04-13 10:49 - 000000000 ____D C:\Users\User\AppData\Local\dthvaie
2018-04-13 10:39 - 2018-04-13 10:39 - 000000000 ____D C:\Users\User\AppData\Local\tirohld
2018-04-13 10:24 - 2018-04-13 10:24 - 000000000 ____D C:\Users\User\AppData\Local\dwnzabt
2018-04-21 12:22 - 2018-04-21 12:22 - 000000000 ____D C:\Users\User\AppData\Local\wmdxsnu
2018-04-21 00:00 - 2018-04-21 00:00 - 000000000 ____D C:\Users\User\AppData\Local\dsmbxvg
2018-04-24 04:15 - 2018-04-24 04:15 - 000000000 ____D C:\Users\User\AppData\Local\nvdtsbm
2018-04-23 15:53 - 2018-04-23 15:53 - 000000000 ____D C:\Users\User\AppData\Local\wiseklm
2018-04-27 18:01 - 2018-05-08 01:49 - 000000000 ____D C:\Users\User\AppData\Local\cghutns
2018-04-27 17:58 - 2018-04-27 17:58 - 000000000 ____D C:\Users\User\AppData\Local\sbnkveg
2018-04-30 03:18 - 2018-04-30 03:18 - 000000000 ____D C:\Users\User\AppData\Local\dsdthxm
2018-04-28 14:23 - 2018-04-28 14:23 - 000000000 ____D C:\Users\User\AppData\Local\niolexd
2018-05-07 21:37 - 2018-05-07 21:37 - 000142672 ____N C:\WINDOWS\system32\Drivers\dskbfilo.sys
2018-05-07 21:39 - 2018-05-07 21:39 - 000000000 ____D C:\Users\User\AppData\Local\pcczlhu
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]
28.05.2018, 15:35
Lakmuss

у меня не создается файл Фикслиста, можете создать у себя и мне готовый отправить, как до этого?