Здравствуйте, ноутбук заразился вирусом zrliker. Практически всегда диск нагружен до 99-100%. При нагрузке ноутбука - запуске нескольких вкладок браузера, игр или приложений ноутбук самостоятельно выключается через определенное время(от 10 минут до нескольких часов). Ноут сильно греется. Раз в полчаса открывается командная строка, также Аваст раз в полчаса напоминает об угрозе(прикреплю скриншоты). На Аваст была куплена подписка, но с удалением вируса он не справился. После окончания подписки начались выше описанные проблемы.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) aleksrom, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Выделите и скопируйте в буфер обмена следующий код:
Код:
Start::
CreateRestorePoint:
CloseProcesses:
CMD: type C:\Users\Дмитрий\AppData\Local\cTMeBFRuGmR.bat
CMD: type C:\Users\Дмитрий\AppData\Local\CnjjdXkRN.bat
CHR Profile: C:\Users\Дмитрий\AppData\Local\Google\Chrome\User Data\System Profile [2019-09-19]
CHR HKU\S-1-5-21-4028101612-2335414042-2522512033-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [djgdgdcfmdkficbifbnaacknblbkhhoc] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-4028101612-2335414042-2522512033-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo]
OPR Notifications: hxxps://victoria4.ru; hxxps://vyboroved.ru; hxxps://www.reddit.com
S2 wbiosrvp; C:\Windows\System32\svchost.exe [33088 2014-10-29] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
2016-12-12 04:30 - 2016-12-12 04:30 - 000000233 _____ () C:\Users\Дмитрий\AppData\Roaming\del.bat
2015-08-02 09:42 - 2015-08-25 07:36 - 000000000 _____ () C:\Users\Дмитрий\AppData\Roaming\smw_inst
2017-11-24 09:15 - 2014-10-29 04:40 - 000000072 _____ () C:\Users\Дмитрий\AppData\Local\AzJsmFCkL
2017-11-24 09:15 - 2014-10-29 04:40 - 000001196 _____ () C:\Users\Дмитрий\AppData\Local\CnjjdXkRN
2014-10-29 04:40 - 2014-10-29 04:40 - 000001196 _____ () C:\Users\Дмитрий\AppData\Local\CnjjdXkRN.bat
2017-11-24 09:15 - 2014-10-29 04:40 - 000001058 _____ () C:\Users\Дмитрий\AppData\Local\cTMeBFRuGmR
2017-11-26 12:41 - 2014-10-29 04:40 - 000001058 _____ () C:\Users\Дмитрий\AppData\Local\cTMeBFRuGmR.bat
2017-11-24 09:15 - 2014-10-29 04:40 - 000000070 _____ () C:\Users\Дмитрий\AppData\Local\MmckJBpB
2018-06-14 00:05 - 2018-06-14 00:05 - 000000172 _____ () C:\Users\Дмитрий\AppData\Local\uts.ini
2017-11-24 09:15 - 2017-11-24 09:15 - 000000001 _____ () C:\Users\Дмитрий\AppData\Local\WMI.ini
HKU\S-1-5-21-4028101612-2335414042-2522512033-1001\...\StartupApproved\Run: => "Zaxar"
HKU\S-1-5-21-4028101612-2335414042-2522512033-1001\...\StartupApproved\Run: => "Windscribe"
FirewallRules: [TCP Query User{3355ED97-981D-49DD-9D41-B00FC34854B1}C:\program files\ivideon\ivideonserver\ivideonserver.exe] => (Allow) C:\program files\ivideon\ivideonserver\ivideonserver.exe No File
FirewallRules: [UDP Query User{CDAE0470-22A6-40E5-9541-D716CF9AB2E5}C:\program files\ivideon\ivideonserver\ivideonserver.exe] => (Allow) C:\program files\ivideon\ivideonserver\ivideonserver.exe No File
FirewallRules: [TCP Query User{0FDE36F9-3410-44B7-93B5-4292A0D6BD5D}E:\games\the witcher 2.assassins of kings.enhanced edition.v 3.4.4.1 + 12 dlc\bin\witcher2.exe] => (Allow) E:\games\the witcher 2.assassins of kings.enhanced edition.v 3.4.4.1 + 12 dlc\bin\witcher2.exe No File
FirewallRules: [UDP Query User{804BF8C6-1741-4A18-91BB-860CADDC2CB2}E:\games\the witcher 2.assassins of kings.enhanced edition.v 3.4.4.1 + 12 dlc\bin\witcher2.exe] => (Allow) E:\games\the witcher 2.assassins of kings.enhanced edition.v 3.4.4.1 + 12 dlc\bin\witcher2.exe No File
FirewallRules: [TCP Query User{55AC2C0C-80B7-4B87-B09C-4E08193E164F}E:\games\call of duty - world at war\codwawlanfixed.exe] => (Allow) E:\games\call of duty - world at war\codwawlanfixed.exe No File
FirewallRules: [UDP Query User{FD51B3D4-639E-42E0-B501-B7C271DF94EB}E:\games\call of duty - world at war\codwawlanfixed.exe] => (Allow) E:\games\call of duty - world at war\codwawlanfixed.exe No File
FirewallRules: [TCP Query User{D4E8C0AF-E62D-426F-9CF7-BF71A7511B6F}E:\games\dragon age origins\bin_ship\daorigins.exe] => (Block) E:\games\dragon age origins\bin_ship\daorigins.exe No File
FirewallRules: [UDP Query User{E896FDAC-1E03-4286-98DA-14A155F999B2}E:\games\dragon age origins\bin_ship\daorigins.exe] => (Block) E:\games\dragon age origins\bin_ship\daorigins.exe No File
FirewallRules: [TCP Query User{B825AF0A-E329-455F-8E4C-7D7B69C83508}E:\games\dragon age origins\bin_ship\daorigins.exe] => (Block) E:\games\dragon age origins\bin_ship\daorigins.exe No File
FirewallRules: [UDP Query User{6401EA46-230B-476A-ABD9-EF1F82B4A797}E:\games\dragon age origins\bin_ship\daorigins.exe] => (Block) E:\games\dragon age origins\bin_ship\daorigins.exe No File
FirewallRules: [TCP Query User{DB0437B1-0002-45FA-81A2-B721E475C6DA}E:\games\destiny\destiny\launcher\launcher.exe] => (Allow) E:\games\destiny\destiny\launcher\launcher.exe No File
FirewallRules: [UDP Query User{002251E5-78E9-446E-8C28-FE2E410A87D9}E:\games\destiny\destiny\launcher\launcher.exe] => (Allow) E:\games\destiny\destiny\launcher\launcher.exe No File
FirewallRules: [TCP Query User{5980BC82-1013-472F-A372-FFD5191D465D}C:\games\destiny\launcher\launcher.exe] => (Allow) C:\games\destiny\launcher\launcher.exe No File
FirewallRules: [UDP Query User{266430B9-5808-4AA0-969C-9F5F5A1FEF5E}C:\games\destiny\launcher\launcher.exe] => (Allow) C:\games\destiny\launcher\launcher.exe No File
FirewallRules: [{0B9862D1-8B2F-44B6-BAB4-79776BF3FA5A}] => (Allow) C:\Program Files\Opera\49.0.2725.39\opera.exe No File
FirewallRules: [{C65F6E80-B12C-4A20-88E9-3DC3B33F4304}] => (Allow) C:\Program Files\Opera\49.0.2725.47\opera.exe No File
FirewallRules: [{5A715C86-F195-43B0-8E71-7860156C180B}] => (Allow) C:\Program Files\Google\Chrome\Application\chrome.exe No File
FirewallRules: [{E8B4F6C6-4ADB-41E7-B9FD-8DD5DCDD5284}] => (Allow) C:\Program Files\DrWeb\dwservice.exe No File
FirewallRules: [{156E7DBF-A362-4B44-AAC7-44BE71CEE8D6}] => (Allow) C:\Program Files\DrWeb\spideragent.exe No File
FirewallRules: [{3816D3A6-5EC6-4BBF-BEAF-1630BB4742BE}] => (Allow) C:\Program Files\DrWeb\dwnetfilter.exe No File
FirewallRules: [TCP Query User{EF89FF88-E4F3-4EB7-951E-6910CDD784D7}C:\program files\windscribe\wsappcontrol.exe] => (Allow) C:\program files\windscribe\wsappcontrol.exe No File
FirewallRules: [UDP Query User{B8580E6E-1CF1-47B2-9E2E-C0CF0BAE0C40}C:\program files\windscribe\wsappcontrol.exe] => (Allow) C:\program files\windscribe\wsappcontrol.exe No File
Reboot:
End::
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
При удалении McAfee вижу такое сообщение(на скриншоте)
Программа создаст лог-файл (Fixlog.txt)
Прикрепил файл.
Сообщите, что с проблемой.
После выполнения инструкций и перезагрузки произошло восстановление системы, но перед загрузкой ОС было сообщение, что восстановление произошло некорректно, предложил перезагрузиться - перезагрузил его еще раз, во второй раз без каких-либо проблем. Аваст перестал оповещать о заражении, командная строка также перестала произвольно открываться. Но через минут 30 компьютер самопроизвольно перезагрузился в третий раз, никаких сообщений не было.
При удалении McAfee вижу такое сообщение(на скриншоте)
Нажимайте "Да" в следующий раз.
Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас. Если его нет- продолжайте без него.
Откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
Введите sfc /scannow и нажмите Enter.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
Делал без диска. После сканирования в командной строке было сообщение, что программа защиты ресурсов Windows обнаружила поврежденные файлы, но не может восстановить некоторые из них.
Запустите в командной строке от имени администратора:
Код:
DISM /Online /Cleanup-Image /ScanHealth
Выполняться будет до получаса.
Покажите вывод результатов.
Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите текущий билд Java 8.
Учтите, что 64-bit версия Java нужна только для очень ограниченного круга приложений.
Обновите:
Opera Stable 55.0.2994.44 v.55.0.2994.44 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^
Adobe AIR v.27.0.0.124 Внимание! Скачать обновления
Всё это лучше удалить:
IObit Uninstaller v.6.2.0.933 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
VKMusic 4 v.4.65 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
WinThruster v.1.3.5.138 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
Avast Cleanup Premium v.19.1.7734 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
KMSpico Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.
ArchiveLeader v.1.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleanerПеред деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Кнопка "Яндекс" на панели задач v.2.2.0.53 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Удалил Java, обновил Opera и Adobe. Удалил все остальные указанные программы. Кроме "Skype Click to Call v.8.5.0.9167" - не нашёл в списке установленных программ.
Уточните, пожалуйста, что именно с компьютером произошло? Какие либо последствия для системы есть?
Последний раз редактировалось aleksrom; 14.12.2019 в 07:52.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: