Junior Member
Вес репутации
30
пожиратель памяти
здравствуйте!!! обнаружил на жестком папку ethash которая создаёт файлы типа full-r23 и пожирает память. помогите пожалуйста!!!
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) tankt76 , спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Выполните скрипт в AVZ :
Код:
begin
TerminateProcessByName('C:\Users\Капитан\AppData\Roaming\Adobe\Ctfhost\ctfhost.exe');
QuarantineFile('C:\Users\Капитан\AppData\Roaming\Adobe\Ctfhost\ctfhost.exe', '');
DeleteFile('C:\Users\Капитан\AppData\Roaming\Adobe\Ctfhost\ctfhost.exe', '32');
DeleteFile('C:\Windows\Tasks\UpdaterEX.job', '32');
DeleteService('WinRing0_1_2_0');
ExecuteFile('schtasks.exe', '/delete /TN "CTF Host" /F', 0, 15000, true);
ExecuteSysClean;
ExecuteRepair(4);
ExecuteRepair(3);
RebootWindows(true);
end.
Компьютер перезагрузится.
Выполните в AVZ скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
Junior Member
Вес репутации
30
Вложения
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
CreateRestorePoint:
HKU\S-1-5-21-2631114674-669364849-1195457874-1000\...\Winlogon: [Shell] C:\Windows\explorer.exe [2871808 2015-01-02] (Microsoft Corporation) <==== ATTENTION
AppInit_DLLs: pbWH_IIIaJIyH.dll => No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-2631114674-669364849-1195457874-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-2631114674-669364849-1195457874-1000 -> ToolbarSearchProviderProgress {96bd48dd-741b-41ae-ac4a-aff96ba00f7e}
SearchScopes: HKU\S-1-5-21-2631114674-669364849-1195457874-1000 -> Yandex URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE
SearchScopes: HKU\S-1-5-21-2631114674-669364849-1195457874-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=a95cf5991dd430fa81927842b66efece&text={searchTerms}
SearchScopes: HKU\S-1-5-21-2631114674-669364849-1195457874-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=a95cf5991dd430fa81927842b66efece&text=
SearchScopes: HKU\S-1-5-21-2631114674-669364849-1195457874-1000 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=BAV5&o=101720&src=kw&q={searchTerms}&locale=ru_RU&apn_ptnrs=B5&apn_dtid=YYYYYYYYRU&apn_uid=56650378-18f1-4bba-89a5-b8c185565d91&apn_sauid=B6378D2D-6728-4620-99EB-45A04517FE94
SearchScopes: HKU\S-1-5-21-2631114674-669364849-1195457874-1000 -> {96bd48dd-741b-41ae-ac4a-aff96ba00f7e} URL = hxxp://www.bigseekpro.com/search/browser/burn4free/{463775C6-449F-444A-907D-6746A335E72C}?q={searchTerms}
FF HKLM\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\Капитан\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack => not found
FF HKLM-x32\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\Капитан\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack => not found
CHR HKLM-x32\...\Chrome\Extension: [aonedlchkbicmhepimiahfalheedjgbh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\Капитан\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found>
Task: {027AA9B2-E03E-487A-9B9F-CED5CE751C29} - \LaunchSignup -> No File <==== ATTENTION
Task: {1C6367FF-BEFF-4E04-8ECD-609686CA3B10} - System32\Tasks\{9EECE98D-370B-431B-9F76-2BED9A73D85C} => Chrome.exe
Task: {4C4E9BF4-1EC9-42D2-85C8-4CCD28F6086D} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe
Task: {B9AA2166-0033-45BA-99B8-6E094BACB278} - \AdobeFlashPlayerUpdate 2 -> No File <==== ATTENTION
Task: {CEE64558-E1A7-4D9D-80A7-2001912BE5B5} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> No File <==== ATTENTION
Task: {D0B3E41A-CD38-484A-8733-7934383BF43D} - System32\Tasks\{45F9E05F-36AA-43C4-8BE5-03701DB3B0FC} => Chrome.exe
Task: {F5A7A001-1263-401E-8043-FE80F4B70D23} - \AdobeFlashPlayerUpdate -> No File <==== ATTENTION
ShortcutWithArgument: C:\Users\Капитан\Desktop\причики\Logitech Webcam Software .lnk -> C:\Program Files (x86)\Common Files\logishrd\LWSPlugins\LWS\Applets\HelpMain\launchershortcut.exe () -> "hxxp://itssearch.ru"
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC
FirewallRules: [{C46C4BE5-300E-4487-AB63-29944D5ED2D5}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{ED5FC06C-65AE-444D-A1FE-D3CB4036FB8A}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{902C4C2F-3CB3-49D4-BBB3-26EC0CD42929}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{DD9A04F1-5FD3-4967-BA82-9B3CE20AC5A9}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{1D625267-3E3A-44D6-85A3-F76D7FA25694}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
2016-02-02 11:35 - 2016-02-03 12:11 - 00000000 ____D C:\Users\Капитан\AppData\Local\Ethash
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\45ab42bc335e" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MAgent" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Guard.Mail.ru.gui" /f
Reg: reg delete "HKU\S-1-5-21-2631114674-669364849-1195457874-1000\Software\Microsoft\Windows\CurrentVersion\Uninstall\UpdaterEX" /f
CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebSecurityAddon_is1" /f /reg:32
EmptyTemp:
Reboot:
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры , запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt ). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Настоятельно рекомендую деинсталлировать продукты от Iobit:
Advanced SystemCare 9
Driver Booster 3.2
IObit Malware Fighter 3
Ничего, кроме пожирания ресурсов, эти программы не делают, а Driver Booster неоднократно отличался установкой драйверов, которые рушили систему.
Junior Member
Вес репутации
30
Изображения
fixlist.txt должен быть не в папке C:\FRST, а там, откуда запускаете утилиту. На рабочий стол нужно.
Junior Member
Вес репутации
30
Вложения
Junior Member
Вес репутации
30
вроде больше не жрёт-папку ehsaht удалил больше не появляется(по вашему совету продукты iobit тоже поудалял)
Удалите папку C:\FRST со всем содержимым.
Выполните рекомендации после лечения .