Показано с 1 по 16 из 16.

Подвисает комп после удаления вирусов (заявка № 227986)

  1. #1
    Junior Member Репутация
    Регистрация
    09.01.2012
    Сообщений
    47
    Вес репутации
    51

    Thumbs up Подвисает комп после удаления вирусов

    Лечащая утилита DrWeb CureIt обезвредила множество троянов на компе. После этого утилита sfc обнаружила и исправила нарушение целостности системы. Вроде все норм, но комп время от времени подвисает при обращении к жесткому диску, еще настораживает очень продолжительный свап на жестский диск во время загрузки. Victoriya повреждений диска не обнаружила, здоровье диска хорошее, но уже есть один переназначеный сектор. Даже не знаю, у меня аппаратная или программная проблема. Помогите вычистить зловредов с компа, если они там еще остались. Архив с логами во вложении.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,290
    Вес репутации
    384
    Уважаемый(ая) ankosha, спасибо за обращение на наш форум!

    Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,579
    Вес репутации
    1086
    Отключите до перезагрузки все экраны Avast.

    Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.

    Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:
    Код:
    O22 - Tasks: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE (user missing)
    O22 - Tasks: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\bkuEDqiNwGRnsylXdWU" /ENABLE (user missing)
    O22 - Tasks: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\bkuwbUhgLXvJgoAVApl" /ENABLE (user missing)
    O22 - Tasks: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\bkuwGBfjeZqvJjSXKVS" /ENABLE (user missing)
    O22 - Tasks: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\GoogleUpdateTaskMachineCore" /ENABLE (user missing)
    O22 - Tasks: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\GoogleUpdateTaskMachineUA" /ENABLE (user missing)
    O22 - Tasks: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\My top apps" /ENABLE (user missing)
    O22 - Tasks: (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\bkuEDqiNwGRnsylXdWU" /ENABLE
    O22 - Tasks: (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\bkuwbUhgLXvJgoAVApl" /ENABLE
    O22 - Tasks: (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\bkuwGBfjeZqvJjSXKVS" /ENABLE
    O22 - Tasks: (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\GoogleUpdateTaskMachineCore" /ENABLE
    O22 - Tasks: (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\GoogleUpdateTaskMachineUA" /ENABLE
    O22 - Tasks: (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\My top apps" /ENABLE
    Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:
    Код:
    begin
     DeleteFile('C:\Users\admin\AppData\Local\Temp\20b06be6.sys', '64');
     DeleteFile('C:\Windows\System32\drivers\dwprot.sys', '64');
     DeleteFile('C:\Windows\TEMP\101B10CA.sys', '64');
     DeleteFile('C:\Windows\TEMP\107863AA.sys', '64');
     DeleteFile('C:\Windows\TEMP\BFmGefQDUHXpsWJF\ibBpwHzvnXWCIGEQ.exe', '32');
     DeleteFile('C:\Windows\TEMP\BFmGefQDUHXpsWJF\ibBpwHzvnXWCIGEQ.exe', '64');
     DeleteFile('C:\Windows\TEMP\fCKFBlGXvCUwjWIE\CDDAETaGCJZisyzt.exe', '32');
     DeleteFile('C:\Windows\TEMP\fCKFBlGXvCUwjWIE\CDDAETaGCJZisyzt.exe', '64');
     DeleteFile('C:\Windows\TEMP\uSFvreRjqIAScwlV\ttWRpIGdKUvaViZM.exe', '32');
     DeleteFile('C:\Windows\TEMP\uSFvreRjqIAScwlV\ttWRpIGdKUvaViZM.exe', '64');
     DeleteService('101B10CA');
     DeleteService('107863AA');
     DeleteService('2511f0233d95488a');
     RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\World of Tanks (1)', 'x64');
     RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\World of Tanks', 'x64');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     DeleteSchedulerTask('bkuEDqiNwGRnsylXdWU');
     DeleteSchedulerTask('bkuwbUhgLXvJgoAVApl');
     DeleteSchedulerTask('bkuwGBfjeZqvJjSXKVS');
     DeleteSchedulerTask('C:\Windows\Task\bkuEDqiNwGRnsylXdWU.job');
     DeleteSchedulerTask('C:\Windows\Task\bkuwbUhgLXvJgoAVApl.job');
     DeleteSchedulerTask('C:\Windows\Task\bkuwGBfjeZqvJjSXKVS.job');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Удалите программу Auslogics BoostSpeed.

    Сделайте лог Malwarebytes AdwCleaner.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    09.01.2012
    Сообщений
    47
    Вес репутации
    51
    Рекомендации выполнил, логи прикрепил.
    Про Auslogiсs BoostSpeed можно по-подробнее, это ПО приносит вред?
    Еще проблема с удалением QIPapp. Uninstall генерит множество EXE-шников в TEMP директории, которые Avast определяет, как вирусы.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,579
    Вес репутации
    1086
    Это не троян, а т. н. PUP, potentially unwanted program, потенциально ненужное/бесполезное ПО, почти весь их функционал уже присутствует в системе.
    Эффективность всяческих "оптимизаторов" под большим вопросом - ресурсы они сами кушают немалые, так что после их удаления становится, как правило, только лучше.
    Вы ведь не делали тестов, на сколько улучшается быстродействие системы с и без подобных программ, правильно? В чудодейственную силу подобных программ можно лишь верить.
    И Microsoft не рекомендует "чистильщики" реестра.

    Если Вы уже закрыли приложение, запустите повторное сканирование в Malwarebytes AdwCleaner, установите в пункте меню "Настройки" (Settings) дополнительно к отмеченным по умолчанию галочку "Сбросить политики Chrome (Reset Chrome Policies". В разделе "Предустановленные программы" ничего не отмечайте.
    Затем нажмите Карантин (Quarantine) под списком найденного. Программа может предложить перезагрузить систему, сделайте тогда это.

    После перезагрузки в меню Файлы журналов программы будет лог очистки, файл AdwCleaner[C00].txt, прикрепите к своему следующему сообщению.

    Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

    Нажмите кнопку Сканировать.

    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    09.01.2012
    Сообщений
    47
    Вес репутации
    51
    Логи прикрепил. Дополнительно еще удалил с Google Chrome расширение типа "Покупайте вместе с Avast"!
    Во время сканирования FRST снова было зависание.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,579
    Вес репутации
    1086
    Ещё в хроме нехорошее расширение Adblocker for Youtube, удалите, как и программу YoutubeAdBlock. И множество расширений без имени, тоже удалите.

    Error: (01/24/2023 11:35:01 PM) (Source: BugCheck) (EventID: 1001) (User: )
    Description: Компьютер был перезагружен после критической ошибки. Код ошибки: 0x00000124 (0x0000000000000000, 0xfffffa80026e4348, 0x0000000000000000, 0x0000000000000000). Дамп памяти сохранен в: C:\Windows\Minidump\012423-25281-01.dmp. Код отчета: 012423-25281-01.
    Похоже, аппаратные проблемы.

    + очень мало памяти для x64 системы:
    Процессор: Intel(R) Core(TM)2 Duo CPU E6550 @ 2.33GHz
    Процент используемой памяти: 86%
    Общий объём физической RAM: 2047.24 MB
    Доступно физической RAM: 282.66 MB
    Для комфортной работы нужно минимум 4 Гб.

    И биос стоковый, давно надо было обновить:
    BIOS: American Megatrends Inc. V1.0 07/27/2007
    Материнская плата: MICRO-STAR INTERNATIONAL CO.,LTD MS-738
    В общем, разбирайтесь с жежезом, а лучше меняйте.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    09.01.2012
    Сообщений
    47
    Вес репутации
    51
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Ещё в хроме нехорошее расширение Adblocker for Youtube, удалите, как и программу YoutubeAdBlock. И множество расширений без имени, тоже удалите.
    Подскажите, как это сделать, раздел Расширения Google Chrome пуст, а YoutubeAdBlock невозможно удалить штатно, так как необходимая dll уже была удалена ранее антивирусником.

    Претензии к железу, конечно же есть, ко мне комп попал с незаводящейся внешней видеокартой. Полечилось заменой батарейки и вздувшихся конденсаторов на материнке. Как результат, получил более менее стабильные напряжения, до этого по 5 и 12 вольтовой линии было проседание.
    Буду копать дальше.

    Хозяину комп нужен для доступа в интернет, так что вполне работая конфигурация. После "знакомства" с тем мусором, который "установили детки играя в игры", наверное, проще было переустановить систему, но решил воспользоваться Вашей помощью и побороться с вирусами.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,579
    Вес репутации
    1086
    Google Chrome проще тогда удалить полностью и установить заново.
    А YoutubeAdBlock удалите принудительно, с помощью Geek Uninstaller Free.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    09.01.2012
    Сообщений
    47
    Вес репутации
    51
    Google Chrome был под внешним управлением вирусом, который ранее был удален на одном из предидущих этапов лечения. Руками почистил политики безопасности Chrome в реестре, а затем его полностью удалил и переустановил, сделав импорт старых закладок. Вирус проявлял себя, подменой банковской web странички и требованием ввести реквизиты банковской карточки. YoutubeAdBlock удалил утилитой но так и не понял, это нежелательное ПО или вирус и связан ли он с действием в Chrome. Хозяин установил его не желая смотреть рекламу по Youtube.Тоже самое сделал с skak, даже не понял, что это такое. Проблем с зависанием пока не наблюдаю, но это все дело случая.
    Можно еще раз посмотреть логи? Дайте пожалуйста рекомендации.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,579
    Вес репутации
    1086
    Новые логи Farbar Recovery Scan Tool сделайте.
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    09.01.2012
    Сообщений
    47
    Вес репутации
    51
    После автоматического обновления FRST Avast ругается, что FRST64.exe заражен IDP.ALEXA.53.
    Заново скачал FRST по ссылке, Avast пропускает, дурдом какой то.
    Вложения Вложения
    • Тип файла: rar FRST.rar (22.6 Кб, 1 просмотров)

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,579
    Вес репутации
    1086
    Отключите до перезагрузки все экраны Avast.

    information

    Уведомление

    Внимание, куки браузеров будут очищены, при входе на сайты с авторизацией последует запрос пароля


    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    Start::
    CreateRestorePoint:
    CloseProcesses:
    GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\Users\admin\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gebaldoodbhacdkhomdflmjkhohclfcjAFCujAwtbs
    C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gebaldoodbhacdkhomdflmjkhohclfcjagnincyihc
    C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gebaldoodbhacdkhomdflmjkhohclfcjaleAgWlHCR
    C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gebaldoodbhacdkhomdflmjkhohclfcjbmdecIGpLj
    C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gebaldoodbhacdkhomdflmjkhohclfcjcfbdjsalls
    C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gebaldoodbhacdkhomdflmjkhohclfcjideginyeoq
    C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gebaldoodbhacdkhomdflmjkhohclfcjjlqqccgsvl
    C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gebaldoodbhacdkhomdflmjkhohclfcjkmvjivqsot
    C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gebaldoodbhacdkhomdflmjkhohclfcjkrjytumgvq
    C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gebaldoodbhacdkhomdflmjkhohclfcjmxnemktgfg
    C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gebaldoodbhacdkhomdflmjkhohclfcjovfNjyvSXb
    C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gebaldoodbhacdkhomdflmjkhohclfcjqeQNlOqLSl
    C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gebaldoodbhacdkhomdflmjkhohclfcjtagipujein
    C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gebaldoodbhacdkhomdflmjkhohclfcjvnoitkhsuc
    C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gebaldoodbhacdkhomdflmjkhohclfcjwkrkjumgrt
    C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gebaldoodbhacdkhomdflmjkhohclfcjyjbnybdlwr
    S3 PTUMLBUS; system32\DRIVERS\PTUMLBUS.sys [X]
    S3 PTUMLCVsp; system32\DRIVERS\PTUMLCVsp.sys [X]
    S3 PTUMLMBMP; system32\DRIVERS\PTUMLMBMP.sys [X]
    S3 PTUMLMdm; system32\DRIVERS\PTUMLMdm.sys [X]
    S3 PTUMLNVsp; system32\DRIVERS\PTUMLNVsp.sys [X]
    S3 PTUMLRMNET; system32\DRIVERS\PTUMLRMNET.sys [X]
    S3 PTUMLVsp; system32\DRIVERS\PTUMLVsp.sys [X]
    2023-01-24 23:34 - 2023-01-24 23:34 - 000262144 ____N C:\Windows\Minidump\012423-25281-01.dmp
    StartBatch:
    del /s /q C:\Windows\SoftwareDistribution\download\*.*
    del /s /q C:\Windows\Temp\*.*
    del /s /q "%userprofile%\AppData\Local\temp\*.*"
    sfc /scannow
    endbatch:
    EmptyTemp:
    Reboot:
    End::
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей.
    Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите текущий билд Java 8.
    WBR,
    Vadim

  15. #14
    Junior Member Репутация
    Регистрация
    09.01.2012
    Сообщений
    47
    Вес репутации
    51
    Рекомендации выполнил, лог прикрепил.
    Чрезмерный свап при загрузке создают AvastSvc.exe и instup.exe. Непонятно зачем при загрузке каждый раз запускается установщик Avast и можно его отключить?
    Вложения Вложения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,579
    Вес репутации
    1086
    Не скажу, лет 10 авастом не пользуюсь.

    Запустите AdwCleaner, меню Параметры - Удалить AdwCleaner (в самом низу) - выберите Удалить.

    Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
    Компьютер перезагрузится.
    WBR,
    Vadim

  17. #16
    Junior Member Репутация
    Регистрация
    09.01.2012
    Сообщений
    47
    Вес репутации
    51
    Спасибо за помощь!

  • Уважаемый(ая) ankosha, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 12.03.2015, 13:22
    2. Ответов: 5
      Последнее сообщение: 29.03.2013, 20:06
    3. Ответов: 5
      Последнее сообщение: 02.07.2010, 10:19
    4. Ответов: 6
      Последнее сообщение: 29.03.2010, 00:00
    5. Ответов: 4
      Последнее сообщение: 07.12.2008, 16:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00887 seconds with 19 queries