лагает пк после BSoD(синий экран смерти) [not-a-virus:HEUR:AdWare.Win32.Generic, Trojan-Ransom.Win32.Blocker.kqop]

[elevat0r]

Началось все с лагов интернета, я подключил провод интернета напрямую, чтобы узнать в чем проблема(роутер или само интернет соединение) и после часа пользования у меня появился синий экран. Я перезагрузил пк и ровно через час все повторилось, но при этом комп 2 раза сам перезагрузился и после этого уже загрузился виндовс. После всего этого я отключил провод и подключил его к роутеру, синий экран больше не появлялся, но комп начал лагать, особенно в играх(фризы, проседает фпс, скачет var в cs:go). логи и дампы синего экрана прикрепил

[Info_bot]

Уважаемый(ая) elevat0r, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\gs_svc.exe');
 TerminateProcessByName('c:\programdata\microsoft\windows\rundll\rundll.exe');
 TerminateProcessByName('c:\programdata\svhost.exe');
 TerminateProcessByName('C:\Windows\Installer\PatchCach\SystemNT.exe');
 TerminateProcessByName('c:\windows\parameters\hostdll.exe');
 TerminateProcessByName('C:\Windows\SysWOW64\SMSvHost.exe');
 StopService('AdobeFlashPlayerControlSvc');
 StopService('AdobeFlashPlayerHash');
 QuarantineFile('c:\programdata\gs_svc.exe', '');
 QuarantineFile('c:\programdata\microsoft\windows\rundll\rundll.exe', '');
 QuarantineFile('c:\programdata\svhost.exe', '');
 QuarantineFile('C:\Windows\Installer\PatchCach\SystemNT.exe', '');
 QuarantineFile('c:\windows\parameters\hostdll.exe', '');
 QuarantineFile('C:\Windows\SysWOW64\SMSvHost.exe', '');
 DeleteFile('C:\Program Files (x86)\Lyrmix\LyricsmixUpdate.exe', '32');
 DeleteFile('C:\Program Files (x86)\VuuPC\VuuPCUpdater.exe', '32');
 DeleteFile('c:\programdata\gs_svc.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Rundll\PYTHON27.DLL', '32');
 DeleteFile('c:\programdata\microsoft\windows\rundll\rundll.exe', '32');
 DeleteFile('c:\programdata\svhost.exe', '32');
 DeleteFile('C:\Users\Brekeke\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe', '32');
 DeleteFile('C:\Users\Евгений\AppData\Local\Mail.Ru\GameCenter\[email protected]', '32');
 DeleteFile('C:\Windows\Installer\PatchCach\SystemNT.exe', '32');
 DeleteFile('c:\windows\parameters\hostdll.exe', '32');
 DeleteFile('C:\Windows\SysWOW64\SMSvHost.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Lyrmix Update" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "RunAsStdUser_GameCenterMailRu" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "VuuPCUpdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "VuuPCUpdateLogin" /F', 0, 15000, true);
 DeleteService('AdobeFlashPlayerControlSvc');
 DeleteService('AdobeFlashPlayerHash');
 DeleteService('clr_optimization_v4.0.18957_x64');
 DeleteFileMask('c:\program files (x86)\lyrmix', '*', true);
 DeleteFileMask('c:\program files (x86)\vuupc', '*', true);
 DeleteFileMask('c:\programdata\microsoft\windows\rundll', '*', true);
 DeleteFileMask('c:\users\brekeke\appdata\local\mail.ru', '*', true);
 DeleteFileMask('c:\users\евгений\appdata\local\mail.ru', '*', true);
 DeleteFileMask('c:\windows\installer\patchcach', '*', true);
 DeleteFileMask('c:\windows\parameters', '*', true);
 DeleteDirectory('c:\program files (x86)\lyrmix');
 DeleteDirectory('c:\program files (x86)\vuupc');
 DeleteDirectory('c:\programdata\microsoft\windows\rundll');
 DeleteDirectory('c:\users\brekeke\appdata\local\mail.ru');
 DeleteDirectory('c:\users\евгений\appdata\local\mail.ru');
 DeleteDirectory('c:\windows\installer\patchcach');
 DeleteDirectory('c:\windows\parameters');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GameCenterMailRu', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mailruhomesearch', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', 'EventMessageFile');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог такой версией Autologger.

Сделайте лог Malwarebytes AdwCleaner.

[elevat0r]

сначала не заметил кнопку "прислать запрошенный карантин", щас отправил еще через нее

[Vvvyg]

Нельзя загружать карантин куда-либо, кроме как по назначению. Вы же вирусы распространяете, через наш сайт притом...

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\Евгений\AppData\Roaming\Microsoft\Windows\SendTo\МойМир@Mail.ru.lnk"        -> ["C:\Users\Евгений\AppData\Local\Mail.Ru\GameCenter\[email protected]"  =>> /upload]
>>>  "C:\Users\Евгений\Программы\Программирование(читы,Редакторы)\Игровой центр@Mail.Ru.lnk"         -> ["C:\Users\Евгений\AppData\Local\Mail.Ru\GameCenter\[email protected]"]
>>>  "C:\Users\Евгений\Программы\Войти в Интернет.lnk"       -> ["C:\Users\Евгений\AppData\Local\Xpom\Application\chrome.exe"]

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O4 - MSConfig\startupreg: Codec Settings UAC Manager [command] = C:\Windows\system32\Codecs\CodecUACManager.exe  (file missing) (HKLM) (2017/06/30)
O4 - MSConfig\startupreg: Corel File Shell Monitor [command] = c:\Program Files (x86)\Corel\Corel PaintShop Photo Pro\X3\PSPClassic\CorelIOMonitor.exe (file missing) (HKLM) (2013/07/13)
O4 - MSConfig\startupreg: DicterRu [command] = C:\Program Files (x86)\Dicter\Dicter.exe (file missing) (HKLM) (2013/07/21)
O4 - MSConfig\startupreg: Discord [command] = C:\Users\Brekeke\AppData\Local\Discord\app-0.0.297\Discord.exe  (file missing) (HKCU) (2017/05/27)
O4 - MSConfig\startupreg: GameCenterMailRu [command] = C:\Users\Евгений\AppData\Local\Mail.Ru\GameCenter\[email protected] -autostart (file missing) (HKCU) (2014/04/29)
O4 - MSConfig\startupreg: Java(TM) ME Platform SDK 3.2 [command] = C:\Java_ME_platform_SDK_3.2\bin\device-manager.exe  (file missing) (HKLM) (2013/04/13)
O4 - MSConfig\startupreg: Java(TM) ME Platform SDK 3.3 Preview [command] = C:\Java_ME_platform_SDK_3.3\bin\device-manager.exe  (file missing) (HKLM) (2013/04/14)
O4 - MSConfig\startupreg: LogMeIn Hamachi Ui [command] = C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe --auto-start (file missing) (HKLM) (2013/06/04)
O4 - MSConfig\startupreg: MailRuUpdater [command] = C:\Users\Евгений\AppData\Local\Mail.Ru\MailRuUpdater.exe (HKCU) (2013/06/04)
O4 - MSConfig\startupreg: NvBackend [command] = C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe  (file missing) (HKLM) (2016/01/25)
O4 - MSConfig\startupreg: Nvtmru [command] = C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe  (file missing) (HKLM) (2016/01/25)
O4 - MSConfig\startupreg: Praetorian [command] = C:\Users\Евгений\AppData\Local\Yandex\Updater\praetorian.exe  (file missing) (HKCU) (2013/06/04)
O4 - MSConfig\startupreg: QuickTime Task [command] = C:\Program Files (x86)\QuickTime\QTTask.exe -atboottime (file missing) (HKLM) (2016/01/25)
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: avast! Emergency Update - C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe (file missing)

Запустите повторно Malwarebytes AdwCleaner (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan), по окончании сканирования уберите галочки на вкладках Папки (Folders) и Реестр (Registry) со всех пунктов, где упоминается Zona если используете эту программу.

Установите в пункте меню по окончании сканирования установите в пункте меню "Инструменты -> Настройки" (Tools -> Settings) дополнительно к установленным по умолчанию галочку "Сброс политик Chrome (Reset Chrome Policies".
Затем нажмите Очистить (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.

После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.

Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

[elevat0r]

кэш очистил, проверю позже т.к. уже 2 ночи а мне еще в шарагу идти.

[elevat0r]

проблема вроде бы исчезла. Игры не лагают, комп загружается быстрее и к тому же исчез громкий гудок в начале загрузки, я думал что он ничего не значит, оказывается я ошибался.
Ну что можете сказать?

[Vvvyg]

Проверим уязвимости ещё.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[elevat0r]

гудок при загрузке опять вернулся.

[Vvvyg]

Это в биосе, видимо. Если не выдаёт ошибок, предупреждений - ничего страшного.

HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
HotFix KB4056894 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления
HotFix KB4074587 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------
Java 8 Update 73 (64-bit) v.8.0.730.2 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u162-windows-x64.exe)^
Java SE Development Kit 7 Update 17 (64-bit) v.1.7.0.170 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SDK 8 (jdk-8u162-windows-x64.exe).
Java 8 Update 73 v.8.0.730.2 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u162-windows-i586.exe)^

--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.3.8.0.1280 Внимание! Скачать обновления
Adobe Flash Player 28 ActiveX v.28.0.0.161 Внимание! Скачать обновления
Adobe Flash Player 28 NPAPI v.28.0.0.161 Внимание! Скачать обновления
Adobe Flash Player 16 PPAPI v.16.0.0.235 Внимание! Скачать обновления
Adobe Shockwave Player 11.6 v.11.6.7.637 Внимание! Скачать обновления
Adobe Reader X (10.1.9) - Russian v.10.1.9 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.

Это устанавливать и обновлять обязательно, в системе огромное количество уязвимостей, через которые распространяются вирусы.

[elevat0r]

Это в биосе, видимо. Если не выдаёт ошибок, предупреждений - ничего страшного.

Это устанавливать и обновлять обязательно, в системе огромное количество уязвимостей, через которые распространяются вирусы.

вот этот список HotFix там все по порядку качать или можно самое последнее только скачать и все?

[Vvvyg]

По хорошему, нужно устанавливать все обновления в автоматическом режиме. Это список только самых критических. Все ставить, в любом порядке.

[elevat0r]

установил

[Vvvyg]

Тогда всё на этом.

[elevat0r]

а в чем проблема была можете сказать?

[Vvvyg]

Отчасти - в троянах.

Запустите AdwCleaner и нажмите Файл -> Деинсталлировать (Uninstall).

Выполните рекомендации после лечения.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\programdata\gs_svc.exe - not-a-virus:HEUR:AdWare.Win32.Generic ( BitDefender: Gen:Trojan.Heur.hU0@riDO6Jci )
  2. c:\programdata\svhost.exe - Trojan-Ransom.Win32.Blocker.kqop ( BitDefender: Generic.Application.BM.Sorpaz.81470E11 )
  3. c:\windows\installer\patchcach\systemnt.exe - not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.gen
  4. c:\windows\parameters\hostdll.exe - HEUR:Trojan.Win32.Generic