ЦП загружена на 80% (http://prntscr.com/lu64wx)
Авастом проверил - чисто.
Спасибо!
ЦП загружена на 80% (http://prntscr.com/lu64wx)
Авастом проверил - чисто.
Спасибо!
Уважаемый(ая) FenX, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.
Код:R4 - SearchScopes: HKLM\Software\Policies\Microsoft\Internet Explorer\SearchScopes\1E35BAB2-2EA9-428D-8E26-705304D76739: [URL] = http://searchtrack.ru/?ref=d5fc0&q={searchTerms} - Searchmonster O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\xskin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook Gameroom.lnk -> C:\Users\xskin\AppData\Local\Facebook\Games\FacebookGameroom.exe fbgames://windows_startup/ (2018/03/18) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file) O22 - Task: Driverupdater - C:\ProgramData\AppSource\data\dvu.exe
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; TerminateProcessByName('c:\programdata\appsource\data\dvu.exe'); QuarantineFile('C:\ProgramData\AppSource\data\dvu.exe',''); QuarantineFile('C:\ProgramData\AudioDriver\AudioDriver.vbs',''); QuarantineFileF('c:\programdata\appsource\data', '*.exe,*.dll,*.sys', false,'', 0, 0); QuarantineFileF('C:\ProgramData\AudioDriver', '*.exe,*.dll,*.sys', false,'', 0, 0); DeleteFile('c:\programdata\appsource\data\dvu.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\Driverupdater','64'); DeleteFile('C:\ProgramData\AppSource\data\dvu.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Карантин отправли. Логи приложил.
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Прикрепил.
- Закройте и сохраните все открытые приложения.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:Start:: CreateRestorePoint: CloseProcesses: IFEO\AcroRd32.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe" IFEO\g2minstaller.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe" IFEO\g2mtranscoder.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe" IFEO\nicehandomaha.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe" IFEO\photoshop.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe" IFEO\teamviewer.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe" IFEO\unins000.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe" ShortcutTarget: AudioDriver.lnk -> C:\ProgramData\AudioDriver\AudioDriver.vbs () URLSearchHook: [S-1-5-21-1940853077-1236522364-1817562760-1001] ATTENTION => Default URLSearchHook is missing CHR StartupUrls: Default -> "hxxps://www.google.com/","hxxp://www.sweet-page.com/?type=hp&ts=1396386469&from=cor&uid=HGSTXHTS541075A9E680_J811007605X4HA05X4HAX","hxxp://www.sweet-page.com/?type=hppp&ts=1396387013&from=cor&uid=HGSTXHTS541075A9E680_J811007605X4HA05X4HAX","hxxp://www.sweet-page.com/?type=hppp&ts=1396466442&from=cor&uid=HGSTXHTS541075A9E680_J811007605X4HA05X4HAX","hxxp://www.sweet-page.com/?type=hppp&ts=1396635618&from=cor&uid=HGSTXHTS541075A9E680_J811007605X4HA05X4HAX","hxxp://www.sweet-page.com/?type=hppp&ts=1397563450&from=cor&uid=HGSTXHTS541075A9E680_J811007605X4HA05X4HAX","hxxp://www.sweet-page.com/?type=hppp&ts=1397998005&from=cor&uid=HGSTXHTS541075A9E680_J811007605X4HA05X4HAX","hxxp://www.sweet-page.com/?type=hppp&ts=1398942812&from=cor&uid=HGSTXHTS541075A9E680_J811007605X4HA05X4HAX","hxxp://www.sweet-page.com/?type=hppp&ts=1399160225&from=cor&uid=HGSTXHTS541075A9E680_J811007605X4HA05X4HAX","hxxp://www.sweet-page.com/?type=hppp&ts=1399293866&from=cor&uid=HGSTXHTS541075A9E680_J811007605X4HA05X4HAX","hxxp://www.sweet-page.com/?type=hppp&ts=1401070345&from=cor&uid=HGSTXHTS541075A9E680_J811007605X4HA05X4HAX","hxxp://www.sweet-page.com/?type=hppp&ts=1401456609&from=cor&uid=HGSTXHTS541075A9E680_J811007605X4HA05X4HAX","hxxp://www.sweet-page.com/?type=hppp&ts=1402251506&from=cor&uid=HGSTXHTS541075A9E680_J811007605X4HA05X4HAX","hxxp://www.sweet-page.com/?type=hppp&ts=1402415959&from=cor&uid=HGSTXHTS541075A9E680_J811007605X4HA05X4HAX","hxxps://www.google.com/","hxxp://mail.ru/cnt/10445?gp=818408" CHR HKU\S-1-5-21-1940853077-1236522364-1817562760-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx 2017-12-30 13:52 - 2013-11-23 19:33 - 000000006 _____ () C:\Users\xskin\AppData\Roaming\smw_inst File: C:\Users\xskin\AppData\Roaming\my_intel.sys File: C:\Users\xskin\AppData\Roaming\sp_data.sys ContextMenuHandlers1: [cm_64bit] -> {69E19770-EA24-49e2-B997-405EDBEF4C05} => -> No File ContextMenuHandlers2: [cm_64bit] -> {69E19770-EA24-49e2-B997-405EDBEF4C05} => -> No File ContextMenuHandlers4: [cm_64bit] -> {69E19770-EA24-49e2-B997-405EDBEF4C05} => -> No File File: C:\Users\xskin\AppData\Local\GoToMeeting\11282\g2mupdate.exe Folder: c:\programdata\appsource\data Reboot: End::- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
+++
Вам знаком каталог:
P.S. еще ожидаю результат от Вир. лаба по нему.Код:c:\programdata\appsource\data
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Хз что это, не вспомнил.
По результатам сейчас ЦП грузит на 4-5%. У меня уже улыбка до ушей =)
ожидайте, я отвечу, как прийдет результат по карантину.
- - - - -Добавлено - - - - -
Пришел ответ от Вир. лаба:
- - - - -Добавлено - - - - -Код:AudioDriver.vbs - Trojan.VBS.BitMin.av config1.dll - Trojan.Win32.BitCoinMiner.edg config2.dll - Trojan.Win32.BitCoinMiner.edh
- Закройте и сохраните все открытые приложения.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:Start:: CreateRestorePoint: CloseProcesses: c:\programdata\appsource\data C:\ProgramData\AudioDriver\AudioDriver.vbs Folder: C:\ProgramData\AudioDriver Reboot: End::- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
http://prntscr.com/lv7dy7 появляться стало после каждой перезагрузке ноута. Началось после первого фикса.
Фикслог приложил.
Спасибо огромное! Вы красавчики =)
- Закройте и сохраните все открытые приложения.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:Start:: CreateRestorePoint: CloseProcesses: Startup: C:\Users\xskin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AudioDriver.lnk [2017-09-10] ShortcutTarget: AudioDriver.lnk -> C:\ProgramData\AudioDriver\AudioDriver.vbs () C:\ProgramData\AudioDriver Reboot: End::- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Сделал
Сообщите, что с проблемой?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Спасибл, все хорошо. Пару фиксов назад уже норм было
В завершение:
1.
- Пожалуйста, запустите adwcleaner.exe
- В меню Настройки - Удалить AdwCleaner - выберите Удалить.
- Подтвердите удаление, нажав кнопку: Да.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Сделал, когда переименовал и запустил, пк вот что выдал
Проверьте пожалуйста память утилитой memtest86+, возможно имеются битые планки.
Также посмотрите пожалуйста не образовался ли дамп (C:\Windows\Memory.dmp) или мини-дамп (C:\Windows\Minidupm\*.dmp)?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
С memtest86+ что то как то сложно, видимо эту утилиту надо ставить на СД диск.
Memory.dmp - нет
C:\Windows\Minidupm\*.dmp - есть http://prntscr.com/lz0epn
Уважаемый(ая) FenX, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.