-
Junior Member
- Вес репутации
- 52
Большие тормоза при работе в интернет. Стремительное уменьшение свободного места на жестком диске. Загрузка почти всей памяти. [not-a-virus:RiskTool.Python.Miner.b
]
Доброго времени суток, господа.
В последние пару недель комп начал себя вести просто ужасно. Появились следующие глюки:
- Стремительное уменьшение свободного места на системном диске. Осталось мало места. Отключил режим гибернации и удалил файл спящего режима на 7 гигабайт. Через пару часов от этого места осталось всего около 2 гигабайт. Так и держится +- 500 мегабайт.
- Резкие скачки занятости оперативной памяти. На компе 8 гигабайт. Раньше загрузка была максимум 60-70%. Теперь постоянно почти под 100%.
- Тормоза при работе в интернет. Этому глюку больше месяца. Раньше свободно работали firefox (около 50 открытых вкладок) + опера + торент + танки. Теперь приходится лису отрубать и торент. Тогда танки нормально идут. Все вместе = постоянные замирания на несколько секунд компьютера и плохая управляемость танком в игре (такое ощущение, что некоторые пакеты не отправляются).
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Bahus, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте!
Закройте все программы
Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
Код:
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Windows\proxy.exe','');
QuarantineFile('C:\Windows\core.exe','');
QuarantineFile('C:\Program Files (x86)\Saezuri\Saezuri.exe','');
DeleteFile('C:\Windows\core.exe','32');
DeleteFile('C:\Windows\proxy.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Код:
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O20 - AppInit_DLLs:
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Сделайте лог полного сканирования MBAM (http://virusinfo.info/showthread.php?t=53070)
-
-
Junior Member
- Вес репутации
- 52
Ссылка сверху сказала, что файл загружен. Имя 140311_155137_quarantine_531f310991a86.zip. Куда загружен я не в курсе.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
-
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
Код:
Обнаруженные ключи в реестре: 8
HKCR\CLSID\{A6FEED89-3BCD-4D19-9DC2-3E613A80A2A4} (PUP.Optional.Amonetize.A) -> Действие не было предпринято.
HKCR\TypeLib\{1C1356DA-1E98-4810-A9F6-18D89BD1C0C0} (PUP.Optional.Amonetize.A) -> Действие не было предпринято.
HKCR\Interface\{D54C859C-6066-4F31-8FE0-2AAEDCAE67D7} (PUP.Optional.Amonetize.A) -> Действие не было предпринято.
HKCR\AmiBs.Installer.1 (PUP.Optional.Amonetize.A) -> Действие не было предпринято.
HKCR\AmiBs.Installer (PUP.Optional.Amonetize.A) -> Действие не было предпринято.
HKCR\Typelib\{DCABB943-792E-44C4-9029-ECBEE6265AF9} (PUP.Optional.OutBrowse) -> Действие не было предпринято.
HKCR\Interface\{3408AC0D-510E-4808-8F7B-6B70B1F88534} (PUP.Optional.OutBrowse) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DMUninstaller (PUP.Optional.DomaIQ) -> Действие не было предпринято.
Обнаруженные папки: 2
C:\Users\Bahus\AppData\Roaming\newnext.me (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\Users\Bahus\AppData\Roaming\newnext.me\cache (PUP.Optional.NextLive.A) -> Действие не было предпринято.
Обнаруженные файлы:
C:\Windows\libcurl-4.dll (Trojan.Miner) -> Действие не было предпринято.
C:\Windows222.old\Program Files (x86)\DefaultTab\DefaultTabSearch.exe (PUP.Optional.DefaultTab) -> Действие не было предпринято.
C:\Windows222.old\Program Files (x86)\RelevantKnowledge\rlls.dll (PUP.Optional.RelevantKnowledge) -> Действие не было предпринято.
C:\Windows222.old\Program Files (x86)\RelevantKnowledge\rlls64.dll (PUP.Optional.RelevantKnowledge) -> Действие не было предпринято.
C:\Windows222.old\Program Files (x86)\RelevantKnowledge\rlservice.exe (PUP.Optional.RelevantKnowledge) -> Действие не было предпринято.
C:\Windows222.old\Program Files (x86)\RelevantKnowledge\rlvknlg.exe (PUP.Optional.RelevantKnowledge) -> Действие не было предпринято.
C:\Windows222.old\Program Files (x86)\RelevantKnowledge\rlvknlg32.exe (PUP.Optional.RelevantKnowledge) -> Действие не было предпринято.
C:\Windows222.old\Program Files (x86)\RelevantKnowledge\rlvknlg64.exe (PUP.Optional.RelevantKnowledge) -> Действие не было предпринято.
C:\Windows222.old\Users\Bahus\AppData\Roaming\defaulttab\defaulttab\DefaultTabBHO.dll (PUP.Optional.DefaultTab) -> Действие не было предпринято.
C:\Windows222.old\Users\Bahus\AppData\Roaming\defaulttab\defaulttab\DefaultTabStart.exe (PUP.Optional.DefaultTab) -> Действие не было предпринято.
C:\Windows222.old\Users\Bahus\AppData\Roaming\defaulttab\defaulttab\DefaultTabStart64.exe (PUP.Optional.DefaultTab) -> Действие не было предпринято.
C:\Windows222.old\Users\Bahus\AppData\Roaming\defaulttab\defaulttab\DefaultTabWrap.dll (PUP.Optional.DefaultTab) -> Действие не было предпринято.
C:\Windows222.old\Users\Bahus\AppData\Roaming\defaulttab\defaulttab\DefaultTabWrap64.dll (PUP.Optional.DefaultTab) -> Действие не было предпринято.
C:\Windows222.old\Users\Bahus\AppData\Roaming\defaulttab\defaulttab\dtupdate.exe (PUP.Optional.DefaultTab.A) -> Действие не было предпринято.
E:\Users\Bahus\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\A96NJJMZ\Mixed_Bundle_4636[1].exe (Adware.InstallMonetizer) -> Действие не было предпринято.
E:\Users\Bahus\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AFINUCP0\rcpsetup17970[1].exe (PUP.Optional.RegCleanerPro) -> Действие не было предпринято.
C:\Users\Bahus\AppData\Roaming\newnext.me\nengine.cookie (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\Users\Bahus\AppData\Roaming\newnext.me\cache\spark.bin (PUP.Optional.NextLive.A) -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
-
-
Junior Member
- Вес репутации
- 52
-
Не все из перечисленного удалили.
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
mike 1
Не все из перечисленного удалили.
Точно. Пропустил одну строчку. Удалил. Новый лог.
-
эту папку удалите вручную
Удалите в MBAM только
Код:
C:\Users\Bahus\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\H8GNJ25K\BiTool[1].dll (PUP.Optional.Somoto) -> Действие не было предпринято.
C:\Users\Bahus\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WTA308GN\setup[1].exe (PUP.Optional.Somoto) -> Действие не было предпринято.
C:\Users\Bahus\AppData\Local\Temp\bitool.dll (PUP.Optional.Somoto) -> Действие не было предпринято.
C:\Users\Bahus\AppData\Local\Temp\nsy94CF.tmp (PUP.Optional.Somoto) -> Действие не было предпринято.
что с проблемой?
-
-
Junior Member
- Вес репутации
- 52
C местом на диске норма. Появилось порядка 8 гигабайт свободного. Похоже на правду.
Память тоже терпимо. Иногда загрузка по полной, но без значительных тормозов.
Интернет работает стабильно.
-
- Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
- Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
- Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
-
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\proxy.exe - not-a-virus:RiskTool.Python.Miner.b
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
mike 1
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Просканировал. Обновил что нашла утилита. Кроме явы 7-й. При попытке удалить ссылается на файл которого нет. Как удалить? Восьмую поставил.
Сообщение от
regist
+ MBAM деинсталируйте.
Удалил.
