Файл fc.exe сильно грузит систему
Здравствуйте!
1. Несколько дней назад компьютер стал сильно тормозить.
2. Зашел в "Диспетчер задач" и нашел там процесс "Утилита сравнения фалов DOS 5", который сильно грузит память.
3. Нажал по этому процессу правой кнопкой мышки и затем выбрал пункт "Открыть расположения файла" и перешел в C:\Windows\System32
4. Там находится файл fc.exe
Помогите, пожалуйста, исправить ситуацию, чтобы компьютер так сильно не грузился от этого файла fc.exe
Прикладываю логи.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) IvanIvanIvan, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\Windows\System32\fc.exe'); StopService('CsaMspSvc_a54e06'); QuarantineFile('C:\Users\User\AppData\Local\Programs\3913a0\429f3f5dae.msi', ''); QuarantineFile('c:\windows\System32\csamsp.dll', ''); QuarantineFile('C:\WINDOWS\SysWOW64\csamsp.dll', ''); DeleteFile('C:\Users\User\AppData\Local\Programs\3913a0\429f3f5dae.msi', '64'); DeleteFile('c:\windows\System32\csamsp.dll', ''); DeleteFile('C:\WINDOWS\SysWOW64\csamsp.dll', '64'); DeleteService('CsaMspSvc_a54e06'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\CsaMspSvc_a54e06\Parameters', 'ServiceDll', '64'); DeleteSchedulerTask('Microsoft\Windows\81718F48-C0EF-4FFD-9AE6-A945FBD9D809'); DeleteSchedulerTask('Microsoft\Windows\A81718F48-C0EF-4FFD-9AE6-A945FBD9D809'); DeleteSchedulerTask('note-now-S-1-5-21-3961235036-891549821-2203823265-1002'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, упакуйте его в архив с паролем, выложите на файлообменник или в облако и дайте ссылку с паролем в личном сообщении.
Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".Отчёт о работе прикрепите.Код:>>> "C:\Users\User\Desktop\My\3. Программы\Ipod Переброс файлов с компьютера на Ipod 3uTools\3uTools.lnk" -> ["C:\Program Files (x86)\3uTools\3uTools.exe"] >>> "C:\Users\User\Desktop\Заставки\PUSH Video Wallpaper.lnk" -> ["C:\Users\User\AppData\Local\Programs\PUSH Entertainment\Video Wallpaper\pushvideowallpaper.exe"] >>> "C:\Users\User\AppData\Local\ChemTable Software\Shared\StartupItems\TFolderFactory\PUS9EA.lnk" -> ["C:\Users\User\AppData\Local\Programs\PUSH Entertainment\Video Wallpaper\pushvideowallpaper.exe" =>> l] >>> "C:\Users\User\Desktop\My\3. Программы\µTorrent.lnk" -> ["C:\Users\User\AppData\Roaming\uTorrent\uTorrent.exe"] >>> "C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk" -> ["C:\Users\User\AppData\Roaming\uTorrent\uTorrent.exe"] >>> "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\Narrator.lnk" -> ["C:\WINDOWS\system32\narrator.exe"] >>> "C:\Users\User\Desktop\My\3. Программы\Icecream Screen Recorder.lnk" -> ["C:\Program Files (x86)\Icecream Screen Recorder\recorder.exe"] >>> "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\On-Screen Keyboard.lnk" -> ["C:\WINDOWS\system32\osk.exe"] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\RecoveryDrive.lnk" -> ["C:\WINDOWS\system32\RecoveryDrive.exe"] >>> "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk" -> ["C:\Users\User\AppData\Local\Microsoft\OneDrive\OneDrive.exe"] >>> "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\On-Screen Keyboard.lnk" -> ["C:\WINDOWS\system32\osk.exe"] >>> "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\Narrator.lnk" -> ["C:\WINDOWS\system32\narrator.exe"] >>> "C:\Users\User\AppData\Roaming\Microsoft\Windows\SendTo\Fax Recipient.lnk" -> ["C:\WINDOWS\system32\WFS.exe" =>> /SendTo] >>> "C:\Users\User\AppData\Local\Microsoft\Windows\WinX\Group3\09 - Mobility Center.lnk" -> ["C:\WINDOWS\system32\mblctr.exe"] >>> "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FormatFactory\FormatFactory.lnk" -> ["C:\Program Files (x86)\FormatFactory\FormatFactory.exe"] >>> "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FormatFactory\Screen Record.lnk" -> ["C:\Program Files (x86)\FormatFactory\QRecord.exe"] >>> "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FormatFactory\Format Player.lnk" -> ["C:\Program Files (x86)\FormatFactory\FormatPlayer.exe"] >>> "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FormatFactory\Uninstall.lnk" -> ["C:\Program Files (x86)\FormatFactory\uninst.exe"] >>> "C:\Users\User\AppData\Roaming\Microsoft\Windows\SendTo\Format Factory.lnk" -> ["C:\Program Files (x86)\FormatFactory\FormatFactory.exe"] >>> "C:\Users\User\AppData\Roaming\Microsoft\Windows\SendTo\Format Player.lnk" -> ["C:\Program Files (x86)\FormatFactory\FormatPlayer.exe"]
Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.Код:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local F2 - HKLM\..\WinLogon: [UserInit] = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\SysWOW64\userinit.exe, O7 - Policy: *\..\Policies\Explorer\DisallowRun: Fix all O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1 O15 - Trusted Zone: hxxp://hola.org O22 - Task: (damaged) C:\WINDOWS\System32\Tasks\OfficeSoftwareProtectionPlatform (empty) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0AF56D9D-5669-4231-A142-AEF7103E5392} - (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0AF56D9D-5669-4231-A142-AEF7103E5392} - (no key) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{305A1D2B-46F6-4917-B375-CDC1C157BBEE} - (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{305A1D2B-46F6-4917-B375-CDC1C157BBEE} - (no key) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5926B35C-5166-4E7B-BF19-BB9C891F79AA} - \Microsoft\Windows\extsetuponce (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{70B4078C-D3BE-4B59-A94B-FD88A5887312} - (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{70B4078C-D3BE-4B59-A94B-FD88A5887312} - (no key) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A38478B5-2698-4FE4-9DA3-BC43E77D3F72} - (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A38478B5-2698-4FE4-9DA3-BC43E77D3F72} - (no key) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E9B1D8A5-71C1-4097-A691-F093EF1740D5} - (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E9B1D8A5-71C1-4097-A691-F093EF1740D5} - (no key) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F646B2CD-2E8B-48F9-84C1-9B4F86E4EEAD} - (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F646B2CD-2E8B-48F9-84C1-9B4F86E4EEAD} - (no key) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVG (empty) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo\LSC (empty) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\NCH Software (empty)
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Здравствуйте!
Сделал всё, как Вы сказали.
1. Архив карантина quarantine.zip запаролил и отправил Вам в личное сообщение ссылку на архив.
2. Отчёт о работе утилиты ClearLNK и отчёты FRST.txt, Addition.txt в одном архиве прикрепил в этом своём сообщение.
Удалите расширение AdBlock – блокировка рекламы в Интернете. в Хроме, вероятно, подменено.
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt), прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: BootExecute: autocheck autochk * bootdelete GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ GroupPolicyScripts: Ограничение <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\User\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ CHR HKU\S-1-5-21-3961235036-891549821-2203823265-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] CHR HKU\S-1-5-21-3961235036-891549821-2203823265-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lhcdbhckegmjmgjhlbdcpiebmkldgchm] CHR HKLM-x32\...\Chrome\Extension: [aeembeejekghkopiabadonpmfpigojok] CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb] CHR HKLM-x32\...\Chrome\Extension: [ahnphcmhmhcjjcjhmnnjjlbmaeljecga] CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] CHR HKLM-x32\...\Chrome\Extension: [icanjjkadceebmhanpekkofdhclnoijl] CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] CHR HKLM-x32\...\Chrome\Extension: [jedpddonjeogeldhkkbpdachllhdfknk] CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] CHR HKLM-x32\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] U3 aswbdisk; отсутствует ImagePath Folder: C:\ProgramData\GameBlueprint4D-1f7c8b87-466e-4224-8a9d-84433c320330 2024-10-04 09:00 - 2024-10-04 09:00 - 001197471 _____ C:\WINDOWS\SysWOW64\perfh824.dat 2024-10-04 09:00 - 2024-10-04 09:00 - 000000000 __SHD C:\ProgramData\GameBlueprint4D-1f7c8b87-466e-4224-8a9d-84433c320330 2016-10-28 00:09 C:\AdwCleaner 2024-10-03 09:01 C:\Program Files\RDP Wrapper 2024-10-03 09:01 C:\Program Files (x86)\360 2024-10-03 09:01 C:\ProgramData\RDP Wrapper 2024-10-03 09:01 C:\ProgramData\ReaItekHD 2023-07-23 18:01 C:\ProgramData\RunDLL 2024-10-03 09:01 C:\ProgramData\Setup 2024-10-03 09:01 C:\ProgramData\Windows Tasks Service 2023-07-25 16:27 C:\ProgramData\WindowsTask ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Нет файла ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Нет файла ContextMenuHandlers1: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => -> Нет файла ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => -> Нет файла AlternateDataStreams: C:\ProgramData\Temp:41ADDB8A [282] AlternateDataStreams: C:\ProgramData\Temp:D8999815 [430] ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions StartBatch: ipconfig /flushdns sfc /scannow endbatch: Reboot: End::
Компьютер будет перезагружен.
WBR,
Vadim
Скажите, пожалуйста, где находится буфер обмена и как в него скопировать?
Выделить текст, нажать Ctrl-C или Ctrl-Insert, или по выделенному тексту правой кнопкой мыши - копировать.
WBR,
Vadim
Сделал всё, как Вы сказали и прикрепил с этим сообщением лог-файл (Fixlog.txt).
Папку C:\FRST\Quarantine упакуйте с максимальным сжатием и словарём 128 Mb в непрерывный архив, выложите в облако или на файлообменник и дайте ссылку в личном сообщении.
Winrar.jpg
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
Написал Вам в личное сообщение, указав ссылку на заархивированную в облочном хранилище папку C:\FRST\Quarantine.
И прикрепляю к этому сообщению лог-файл SecurityCheck.txt
Эти программы настоятельно рекомендуется обновить или удалить.Java 8 Update 333 v.8.0.3330.2 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u421-windows-i586.exe - Windows Offline)^
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
Adobe AIR v.15.0.0.356 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Flash Player 32 NPAPI v.32.0.0.293 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Flash Player 32 PPAPI v.32.0.0.293 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Acrobat Reader DC - Russian v.19.021.20056 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Mozilla Firefox 61.0.1 (x64 ru) v.61.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera Stable 51.0.2830.40 v.51.0.2830.40 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Yandex v.24.7.4.1316 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Mozilla Thunderbird 52.8.0 (x86 ru) v.52.8.0 Внимание! Скачать обновления
А эти - удалить:Если нет возможности удалить стандартным способом - сделайте принудительно, с помощью Geek Uninstaller Free.Autorun Organizer, версия 5.20 v.5.20 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
CCleaner Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
DriverHub v.1.1.2.1563 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Ashampoo WinOptimizer 12 v.12.00.41 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
UmmyVideoDownloader 1.5.0.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, [color=blue][b]рекомендуется ее деинсталляция. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.
На этом всё.
WBR,
Vadim
Большое спасибо за рекомендации!
Но у меня возник небольшой вопрос: Вы рекомендовали удалить такие программы, как CCleaner и Ashampoo. Но эти программы обще известны и ими пользуется и им доверяют очень много людей. Это выходит, что они заблуждаются и эти программы являются потенциально опасным и вредоносным ПО?
Вы ведь не делали тестов, на сколько улучшается быстродействие системы с и без подобных программ, правильно? В чудодейственную силу подобных программ можно лишь верить.
Я не один десяток раз боролся с последствием применения разных "чистильщиков реестра", причём, в некоторых случаях последствия были для системы фатальными.
Политика поддержки Майкрософт для использования утилит очистки реестра
WBR,
Vadim
Спасибо Вам за помощь!
Тему можно закрывать.
Уважаемый(ая) IvanIvanIvan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
