Начала тормозить 1с и при простое зависает windows 2008 r2. Лечил антивирусом eset нашел 63 вируса, после этого начала тормозить 1с. Помогите
Начала тормозить 1с и при простое зависает windows 2008 r2. Лечил антивирусом eset нашел 63 вируса, после этого начала тормозить 1с. Помогите
Уважаемый(ая) Илнур, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
В меню почему то нет вложений
Расширенный режим.
WBR,
Vadim
Логи проверка
Выполните скрипт в AVZ:Перезагрузите сервер!Код:begin TerminateProcessByName('C:\ProgramData\Microsoft\WmiAppSvr\csrss.exe'); TerminateProcessByName('c:\programdata\wmiappsvr\svchost.exe'); QuarantineFile('C:\ProgramData\Microsoft\WmiAppSvr\csrss.exe', ''); QuarantineFile('c:\programdata\wmiappsvr\svchost.exe', ''); QuarantineFile('C:\Windows\Fonts\Mysql\nei.bat', ''); QuarantineFile('C:\Windows\Fonts\Mysql\svchost.exe', ''); QuarantineFile('C:\Windows\Fonts\Mysql\wai.bat', ''); QuarantineFile('C:\Windows\svchost.exe', ''); QuarantineFileF('c:\programdata\microsoft\wmiappsvr', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0); QuarantineFileF('c:\programdata\wmiappsvr', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0); DeleteFile('C:\ProgramData\Microsoft\WmiAppSvr\csrss.exe', ''); DeleteFile('c:\programdata\wmiappsvr\svchost.exe', ''); DeleteFile('C:\Users\Администратор\WINDOWS\Tasks\At1.job', '64'); DeleteFile('C:\Users\Администратор\WINDOWS\Tasks\At2.job', '64'); DeleteFile('C:\Windows\Fonts\Mysql\nei.bat', ''); DeleteFile('C:\Windows\Fonts\Mysql\svchost.exe', ''); DeleteFile('C:\Windows\Fonts\Mysql\svchost.exe', '32'); DeleteFile('C:\Windows\Fonts\Mysql\wai.bat', ''); DeleteFile('C:\Windows\svchost.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "At1" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "At2" /F', 0, 15000, true); DeleteService('apkjhybz'); DeleteService('bjupcjiv'); DeleteService('bmiuuurl'); DeleteService('bmjqenxv'); DeleteService('chpmgouo'); DeleteService('ckcxrofq'); DeleteService('clyeygia'); DeleteService('ekjprjsc'); DeleteService('eqymptfr'); DeleteService('hrbbyvtj'); DeleteService('jzavhgpr'); DeleteService('MicrosoftMssql'); DeleteService('RpcEpt'); DeleteFileMask('c:\programdata\microsoft\wmiappsvr', '*', true); DeleteFileMask('c:\programdata\wmiappsvr', '*', true); DeleteDirectory('c:\programdata\microsoft\wmiappsvr'); DeleteDirectory('c:\programdata\wmiappsvr'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 3, 3, true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".Отчёт о работе прикрепите.Код:>>> "C:\Users\serv\Desktop\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"] >>> "C:\Users\serv\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"] >>> "C:\Users\serv\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"] >>> "C:\Users\Sklad - копия\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"] >>> "C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"] >>> "C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"] >>> "C:\Users\Default\Desktop\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"] >>> "C:\Users\Yumina\Desktop\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"] >>> "C:\Users\Yumina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"] >>> "C:\Users\Svetlana\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"] >>> "C:\Users\Sklad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"] >>> "C:\Users\Disp1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"] >>> "C:\Users\Disp3\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"] >>> "C:\Users\KassaVP\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"] >>> "C:\Users\Disp3\Desktop\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"] >>> "C:\Users\Glbuh.SERVERNEW\Desktop\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"] >>> "C:\Users\Glbuh.SERVERNEW\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"] >>> "C:\Users\Glbuh.SERVERNEW\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"] >>> "C:\Users\Glbuh.SERVERNEW.000\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"] >>> "C:\Users\Disp2.SERVERNEW\Desktop\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"] >>> "C:\Users\Disp2.SERVERNEW\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"] >>> "C:\Users\Admin.SERVERNEW\Desktop\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"] >>> "C:\Users\Admin.SERVERNEW\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]
Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.Код:O4 - MSConfig\startupreg: Adobe ARM [command] = (HKLM) (2017/01/31) (no file) O4 - MSConfig\startupreg: EOGPONPAAPOOPMM [command] = (HKLM) (2018/02/14) (no file) O4 - MSConfig\startupreg: MinerGateGui [command] = (HKCU) (2018/01/10) (no file) O4 - MSConfig\startupreg: Update [command] = (HKLM) (2018/05/22) (no file) O4 - MSConfig\startupreg: service [command] = (HKLM) (2018/05/22) (no file) O7 - IPSec: Name: qianye (2018/11/21) - {769bdbf6-33ea-4ad7-87f4-8df9a49038b1} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2018/11/21) - {769bdbf6-33ea-4ad7-87f4-8df9a49038b1} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2018/11/21) - {769bdbf6-33ea-4ad7-87f4-8df9a49038b1} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2018/11/21) - {769bdbf6-33ea-4ad7-87f4-8df9a49038b1} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2018/11/21) - {769bdbf6-33ea-4ad7-87f4-8df9a49038b1} - Source: Any IP - Destination: my IP (Port 1443 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2018/11/21) - {769bdbf6-33ea-4ad7-87f4-8df9a49038b1} - Source: Any IP - Destination: my IP (Port 1443 UDP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2018/11/21) - {769bdbf6-33ea-4ad7-87f4-8df9a49038b1} - Source: Any IP - Destination: my IP (Port 1444 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2018/11/21) - {769bdbf6-33ea-4ad7-87f4-8df9a49038b1} - Source: Any IP - Destination: my IP (Port 1444 UDP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2018/11/21) - {769bdbf6-33ea-4ad7-87f4-8df9a49038b1} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2018/11/21) - {769bdbf6-33ea-4ad7-87f4-8df9a49038b1} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block
WBR,
Vadim
Логи проверки ClearLNK
- - - - -Добавлено - - - - -
Полный образ автозапуска
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.Код:;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c deltmp delref %Sys32%\DRIVERS\GQMDMDSQ.SYS delref %Sys32%\DRIVERS\GSWWXCFL.SYS delref %Sys32%\DRIVERS\KLFJRPEX.SYS delref %Sys32%\DRIVERS\NUKONPDC.SYS delref %Sys32%\DRIVERS\RNPBOZHW.SYS delref %SystemDrive%\PROGRA~2\AUSLOGICS\BOOSTSPEED\DISKDOCTORCHECKER.X64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\60.0.3112.113\INSTALLER\CHRMSTP.EXE delref %SystemDrive%\PROGRA~2\AUSLOGICS\BOOSTSPEED\TASKMANAGERHELPER.AGENT.X64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER XP\TOTALCMD.EXE regt 27 apply
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. Прикрепите этот файл к своему сообщению.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
WBR,
Vadim
Лог файл
avz_log.txt прикрепите, наверняка полно критических уязвимостей не закрыто. Трояны и майнеры могли через них пролезть.
WBR,
Vadim
Vadim подскажите почему не формируется avz_log.txt
- - - - -Добавлено - - - - -
Спасибо большое за помощь. Куда можно перечислить деньги?
В сообщении Info_bot ссылка на варианты поддержки проекта.
WBR,
Vadim
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 3
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
=E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB
Уважаемый(ая) Илнур, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.