"Утилита поиска строк (GREP)" - грузит процессор

[Роман Богач]

1. Стал включаться этот процесс нагружает процессор
2. Браузеры периодически вылетают
3. Через браузер не возможно зайти на сайти с антивирусами Др.Веб, Малварбайт и т.д.

[Info_bot]

Уважаемый(ая) Роман Богач, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Роман Богач]

1. Стал включаться этот процесс нагружает процессор
2. Браузеры периодически вылетают
3. Через браузер не возможно зайти на сайти с антивирусами Др.Веб, Малварбайт и т.д.

Хочу дополнить ответ.
Задача ссылается на процесс исполнительный файл которого find.exe расположен в папке C:\Windows\System32\
Кроме того в папке ....\AppData\... есть папка Folk с одноимённым исполнительным файлом flock.exe
Пробовал с флешки установить Malwarebyte. Установочный файл запускается, но не устанавливается ПО т.к. проблема со скачиванием файлов, выдаёт ошибку при попытке скачать необходимые файлы антивируса.
Удалось установить GridinSoft Anti-Malware, программа много чего нашла и удалила, но проблему не решила.
Лог-файл сделан после вышеперечисленных действий.

[SQ]

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

O17 - DHCP DNS 1: 185.201.47.42
O17 - DHCP DNS 2: 142.4.214.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{4d4f9f25-205b-4eba-8915-1dabd5a564a8}: [NameServer] = 142.4.214.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{4d4f9f25-205b-4eba-8915-1dabd5a564a8}: [NameServer] = 185.201.47.42
O17 - HKLM\System\CCS\Services\Tcpip\..\{5293048e-1c1d-4c04-9b9f-eb6ee8766169}: [NameServer] = 142.4.214.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{5293048e-1c1d-4c04-9b9f-eb6ee8766169}: [NameServer] = 185.201.47.42
O17 - HKLM\System\CCS\Services\Tcpip\..\{69575e3e-3dc0-11e8-985e-806e6f6e6963}: [NameServer] = 142.4.214.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{69575e3e-3dc0-11e8-985e-806e6f6e6963}: [NameServer] = 185.201.47.42
O17 - HKLM\System\CCS\Services\Tcpip\..\{75254b46-24b2-4ff0-bdf7-de003fecfb29}: [NameServer] = 142.4.214.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{75254b46-24b2-4ff0-bdf7-de003fecfb29}: [NameServer] = 185.201.47.42
O17 - HKLM\System\CCS\Services\Tcpip\..\{7dc54a1c-0720-44a5-b98e-9c963a649c4d}: [NameServer] = 142.4.214.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{7dc54a1c-0720-44a5-b98e-9c963a649c4d}: [NameServer] = 185.201.47.42
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)

Если пропадет интернет пропишите на сетевом интерфейсе в качестве днс-серверов:

Код:

8.8.8.8
8.8.4.4

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

[Роман Богач]

Проблем с инетом не возникло

[SQ]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[Роман Богач]

Ссылка на образ созданный по скрипту:

https://disk.yandex.ru/d/IDKggDgTi7bJ2Q

- - - - -Добавлено - - - - -

Получил ЛС выполнил скрипт. Не был создан файл ZOO_* но есть лог, его прикрепил

- - - - -Добавлено - - - - -

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

Новый образ создал

https://disk.yandex.ru/d/OqURmX2JouTnLg


P.S. Не могу отвечать в ЛС, ограничение "За 1440 минут(ы) вы можете отправить не более 5 сообщений."

[SQ]

Похоже, что FLOCK.EXE - майнер.

Закройте и сохраните все открытые приложения.

Выполните скрипт в uVS:

Код:

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
;------------------------autoscript---------------------------
zoo %SystemDrive%\PROGRAMDATA\FLOCK\FLOCK.EXE
delall %SystemDrive%\PROGRAMDATA\FLOCK\FLOCK.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.301\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.301\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
czoo
apply
;-------------------------------------------------------------
restart

Обратите внимание, что после фикса компьютер перегрузиться.

[Роман Богач]

Спасибо за помощь и вашу работу, снова выручили.

[SQ]

Уточните пожалуйста, если я верно вас понял и проблема была решена?

[Роман Богач]

Уточните пожалуйста, если я верно вас понял и проблема была решена?

Да, проблема исчезла. Процесс больше не запускается.

[SQ]

Завершающие шаги:

1. Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

Остальные утилиты лечения и папки можно просто удалить.

2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

[Роман Богач]

Файл прикрепил

[Vvvyg]

Не нужно полностью цитировать сообщения хелпера, это ухудшает читаемость темы и может отправить сообщение на премодерацию. Просто пишите в окне "Быстрый ответ".

[Роман Богач]

Прошу прощения!

[SQ]

Ознакомьтесь с рекомендациями:

------------------------------- [ Imaging ] -------------------------------
FastStone Image Viewer 7.0 v.7.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.4.44846 Внимание! Клиент сети P2P с рекламным модулем!.
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

[Роман Богач]

ПО 1 -обновил
ПО 2 - удалил
ПО 3 - удалил
ПО 4 - удалил

[SQ]

На этом все! Удачи Вам!

[CyberHelper]

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

• =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
• =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 0
• =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
  =E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
  =E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB