Ноутбук отключается сам по себе, спецы Доктора Веб нашли вирус, но после обновления антивируса все стало плохо.
Ноутбук выключается сам по себе вне зависимости от нагрузки и сложно подловить, в какое время. Два типа отключения: 1.внезапное - как у обычного ПК, у которого розетку выдернули; 2. - вначале отключается вай-фай, потом завис, потом плавно закрываются все открытые программы, начиная с браузеров, затем как обычное выключение. Бывало один раз в день, потом чаще. Когда стало чуть ли не каждые полчаса - была переустановлена ОС, выключения снова стали реже - одно раз в пару дней. Иногда все ограничивается отключением вай-фая и зависом или просто зависом до перезагрузки. Перезагружать модуль вай-фая или роутер не помогает. Одинаково как с родным адаптером, так и с новокупленным внешним. Смена роутера и настроек ничего не дали. При проверки любым антивирусом - или же ничего, или же резкое отключение в процессе сканирования или лечения. При проверке CureIt - почти всегда резкое выключение по типу 1. Даже в безопасном режиме. Температура была не критической при любом отключении - в рамках нормы - 53-71 С. Железо проверялось программно и визуально, в том числе в двух сервис-центрах - в норме. Термопаста свежая, кулер чистый, есть охлаждающая подставка, перегрева нет. При запуске дисков - видятся белыми, в окне возникает неизвестно откуда файл с расширением .ini готовый для записи. Браузеры подвисают. Новооткрытые сайты не открываются, а требуют обновления страницы. Только после этого начинают работать. Часто даже при одной открытой вкладке идет бешеная загрузка процессора и памяти. Постоянно начали взламывать почту и соцсети. ОС и ПО переустанавливались как дома, так и в сервисах (было подозрение, что вирус сел на носителях) - не помогло. Содержимое пары флэшек также "поело" - вместо файлов каша, форматнули в сервисе от греха подальше.
После обращения на форум Доктора Веб был найден вирус. И потом попросили найти и прислать вот этот файл: "C:\windows\syswow64\ms77a09e38app.dll". Файл не был найден на все диске С, сказали поискать через LiveCD, через него все нашлось, скопировалось и было отправлено к ним в лабораторию. Только файл был в system32. После обновления антивируса, он стал ловить активность вируса до 5к случаев - скрины прилагаю. Зато отключения стали один раз в пару-тройку дней, ноут почти перестал виснуть. Потом на форуме спросили, после удаления этого файла изменилась ли ситуацию. На вопрос - а надо было вручную удалить файл или же программно должен антивирус был - молчание. При попытке прогнать ноут антивирусом - его гасит. После очередного обновления антивируса начался ахтунг - все не просто подвисает, а намертво виснет, постоянно самовольно отключается вай-фай-модуль, ноут стал жутко греться, а отключения самовольные чуть ли не каждые 15 минут. На форуме вместо ответа, что делать с файлом вируса, сплошные отсылки обновить ОС - а как, если отваливается Интернет постоянно и все отключается? - и заявления, что проблемы только в железе, хотя вот он - вирус. Мол по логам идет критическая температура. Сложно судить, но ради интереса был включен SpeedFan, и потухания были при температуре 64-67 градусов. Ну и вообще вся ситуация эта странная - раньше даже с вирусом все так не висло, что даже две вкладки в Опере открыть нельзя, а если еще что - например, документ Ворда на 10 стр открываешь - так все резко гаснет. Раньше без проблем в Опере открывалось до 8 вкладок и не один довольно объемный документ разного формата можно было открыть плюс видео запустить. А вот это началось буквально два дня назад после очередного обновления Доктора Веба, и он как раз ту вирусную активность ловить перестал. А на форуме ничего толком не говорят, в чем дело. Мол, это исключительно ваша проблема.
Может подскажите хотя бы, что делать с вирусом - может его просто руками удалить и потом систему прогнать, или не трогать, а еще как поступить.
Ниже привожу ответ с форума.
ОК, смотрим журналы событий из логов.
Имяжурнала:Application
Источник:MsiInstaller
Дата:23.09.201910:38:46
НачалотранзакцииустановщикаWindows: http://Sc.Vuajk.Me/HP2.XXX (расширение изменено преднамеренно). ИД клиентского процесса: 6168.После чего был успешно установлен некий китайский продукт.
Имяжурнала:Application
Источник:MsiInstaller
Дата:23.09.201910:38:59
Кодсобытия:1033
Категориязадачи:Отсутствует
Описание:
УстановщикWindowsвыполнилустановкупродукта.Продукт:ZqWJtv3vVRA46m52Z7o691eJp3N3RTFGOefp.Версия:1.0.0.0.Язык:2052.Изготовитель:ZqWJtv3vVRA46m52Z7o691eJp3N3RT
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) myhailov, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Еще один момент с форума, вчера забылся - специалисты там писали "Файл детектится как Trojan.Packed.42046" и вот это
">После включения антивирус можно сказать сошел с ума и не перестает. Уже почти 4к угроз, но все похоже однотипные.
Все правильно. Троян идет за своим компонентом, мы это детектируем. Чтобы это прекратилось, надо удалить основной троянский компонент - тот файл, что я у вас запросил."
Вдруг тоже важно.
И в общем на этом с форума больше ничего делать не стали, файл вируса как висел, так и висит, вот эту активность от антивирус отслеживает, и тогда ноут начинает плюс-минус нормально работать, то нет, и тогда все становится очень-очень плохо.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.