Начала тормозить 1с и при простое зависает windows 2008 r2

[Илнур]

Начала тормозить 1с и при простое зависает windows 2008 r2. Лечил антивирусом eset нашел 63 вируса, после этого начала тормозить 1с. Помогите

[Info_bot]

Уважаемый(ая) Илнур, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Илнур]

В меню почему то нет вложений

[Vvvyg]

Расширенный режим.

[Илнур]

Логи проверка

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('C:\ProgramData\Microsoft\WmiAppSvr\csrss.exe');
 TerminateProcessByName('c:\programdata\wmiappsvr\svchost.exe');
 QuarantineFile('C:\ProgramData\Microsoft\WmiAppSvr\csrss.exe', '');
 QuarantineFile('c:\programdata\wmiappsvr\svchost.exe', '');
 QuarantineFile('C:\Windows\Fonts\Mysql\nei.bat', '');
 QuarantineFile('C:\Windows\Fonts\Mysql\svchost.exe', '');
 QuarantineFile('C:\Windows\Fonts\Mysql\wai.bat', '');
 QuarantineFile('C:\Windows\svchost.exe', '');
 QuarantineFileF('c:\programdata\microsoft\wmiappsvr', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\programdata\wmiappsvr', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\ProgramData\Microsoft\WmiAppSvr\csrss.exe', '');
 DeleteFile('c:\programdata\wmiappsvr\svchost.exe', '');
 DeleteFile('C:\Users\Администратор\WINDOWS\Tasks\At1.job', '64');
 DeleteFile('C:\Users\Администратор\WINDOWS\Tasks\At2.job', '64');
 DeleteFile('C:\Windows\Fonts\Mysql\nei.bat', '');
 DeleteFile('C:\Windows\Fonts\Mysql\svchost.exe', '');
 DeleteFile('C:\Windows\Fonts\Mysql\svchost.exe', '32');
 DeleteFile('C:\Windows\Fonts\Mysql\wai.bat', '');
 DeleteFile('C:\Windows\svchost.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "At1" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "At2" /F', 0, 15000, true);
 DeleteService('apkjhybz');
 DeleteService('bjupcjiv');
 DeleteService('bmiuuurl');
 DeleteService('bmjqenxv');
 DeleteService('chpmgouo');
 DeleteService('ckcxrofq');
 DeleteService('clyeygia');
 DeleteService('ekjprjsc');
 DeleteService('eqymptfr');
 DeleteService('hrbbyvtj');
 DeleteService('jzavhgpr');
 DeleteService('MicrosoftMssql');
 DeleteService('RpcEpt');
 DeleteFileMask('c:\programdata\microsoft\wmiappsvr', '*', true);
 DeleteFileMask('c:\programdata\wmiappsvr', '*', true);
 DeleteDirectory('c:\programdata\microsoft\wmiappsvr');
 DeleteDirectory('c:\programdata\wmiappsvr');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 3, 3, true);
end.

Перезагрузите сервер!

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\serv\Desktop\Google Chrome.lnk"     -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]
>>>  "C:\Users\serv\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk"      -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]
>>>  "C:\Users\serv\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk"      -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]
>>>  "C:\Users\Sklad - копия\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk"       -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]
>>>  "C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk"   -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]
>>>  "C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk"   -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]
>>>  "C:\Users\Default\Desktop\Google Chrome.lnk"  -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]
>>>  "C:\Users\Yumina\Desktop\Google Chrome.lnk"   -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]
>>>  "C:\Users\Yumina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk"    -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]
>>>  "C:\Users\Svetlana\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk"  -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]
>>>  "C:\Users\Sklad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk"     -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]
>>>  "C:\Users\Disp1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk"     -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]
>>>  "C:\Users\Disp3\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk"     -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]
>>>  "C:\Users\KassaVP\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk"   -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]
>>>  "C:\Users\Disp3\Desktop\Google Chrome.lnk"    -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]
>>>  "C:\Users\Glbuh.SERVERNEW\Desktop\Google Chrome.lnk"    -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]
>>>  "C:\Users\Glbuh.SERVERNEW\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk"     -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]
>>>  "C:\Users\Glbuh.SERVERNEW\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk"     -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]
>>>  "C:\Users\Glbuh.SERVERNEW.000\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk"           -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]
>>>  "C:\Users\Disp2.SERVERNEW\Desktop\Google Chrome.lnk"    -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]
>>>  "C:\Users\Disp2.SERVERNEW\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk"     -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]
>>>  "C:\Users\Admin.SERVERNEW\Desktop\Google Chrome.lnk"    -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]
>>>  "C:\Users\Admin.SERVERNEW\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk"     -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O4 - MSConfig\startupreg: Adobe ARM [command] = (HKLM) (2017/01/31) (no file)
O4 - MSConfig\startupreg: EOGPONPAAPOOPMM [command] = (HKLM) (2018/02/14) (no file)
O4 - MSConfig\startupreg: MinerGateGui [command] = (HKCU) (2018/01/10) (no file)
O4 - MSConfig\startupreg: Update [command] = (HKLM) (2018/05/22) (no file)
O4 - MSConfig\startupreg: service [command] = (HKLM) (2018/05/22) (no file)
O7 - IPSec: Name: qianye (2018/11/21) - {769bdbf6-33ea-4ad7-87f4-8df9a49038b1} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2018/11/21) - {769bdbf6-33ea-4ad7-87f4-8df9a49038b1} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2018/11/21) - {769bdbf6-33ea-4ad7-87f4-8df9a49038b1} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2018/11/21) - {769bdbf6-33ea-4ad7-87f4-8df9a49038b1} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2018/11/21) - {769bdbf6-33ea-4ad7-87f4-8df9a49038b1} - Source: Any IP - Destination: my IP (Port 1443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2018/11/21) - {769bdbf6-33ea-4ad7-87f4-8df9a49038b1} - Source: Any IP - Destination: my IP (Port 1443 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2018/11/21) - {769bdbf6-33ea-4ad7-87f4-8df9a49038b1} - Source: Any IP - Destination: my IP (Port 1444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2018/11/21) - {769bdbf6-33ea-4ad7-87f4-8df9a49038b1} - Source: Any IP - Destination: my IP (Port 1444 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2018/11/21) - {769bdbf6-33ea-4ad7-87f4-8df9a49038b1} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2018/11/21) - {769bdbf6-33ea-4ad7-87f4-8df9a49038b1} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

[Илнур]

Логи проверки ClearLNK

- - - - -Добавлено - - - - -

Полный образ автозапуска

[Vvvyg]

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
deltmp
delref %Sys32%\DRIVERS\GQMDMDSQ.SYS
delref %Sys32%\DRIVERS\GSWWXCFL.SYS
delref %Sys32%\DRIVERS\KLFJRPEX.SYS
delref %Sys32%\DRIVERS\NUKONPDC.SYS
delref %Sys32%\DRIVERS\RNPBOZHW.SYS
delref %SystemDrive%\PROGRA~2\AUSLOGICS\BOOSTSPEED\DISKDOCTORCHECKER.X64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\60.0.3112.113\INSTALLER\CHRMSTP.EXE
delref %SystemDrive%\PROGRA~2\AUSLOGICS\BOOSTSPEED\TASKMANAGERHELPER.AGENT.X64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER XP\TOTALCMD.EXE
regt 27
apply

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. Прикрепите этот файл к своему сообщению.

[Илнур]

Лог файл

[Vvvyg]

avz_log.txt прикрепите, наверняка полно критических уязвимостей не закрыто. Трояны и майнеры могли через них пролезть.

[Илнур]

Vadim подскажите почему не формируется avz_log.txt

- - - - -Добавлено - - - - -

Спасибо большое за помощь. Куда можно перечислить деньги?

[Vvvyg]

В сообщении Info_bot ссылка на варианты поддержки проекта.

[CyberHelper]

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

• =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
• =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 3
• =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
  =E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
  =E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB