Ноутбук перед уходом в спящий режим по долгу тупит [HEUR:Trojan.Win32.Generic, Trojan.Win32.Agentb.bvhd]

**Jobar** · 06.01.2020, 18:03

В целом проблема выглядит так: на ноуте выставлены настройки - спящий режим через 2 мин. В нормальном режиме (раньше) после 2-х мин неиспользования, ноут мгновенно отрубался и "засыпал". Сейчас - гаснет экран, а процессор шумит еще до 5 мин. Т.е. нет былого мгновенного засыпания.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 06.01.2020, 18:04

Уважаемый(ая) Jobar, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Info_bot** · 06.01.2020, 18:04

Уважаемый(ая) Jobar, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Sandor** · 08.01.2020, 11:24

Здравствуйте!

Антизапрет ставили самостоятельно?

Временно отключите защитное ПО.
Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\system32\ihctrl32.dll', '');
 QuarantineFile('C:\Windows\system32\wsaudio.dll', '');
 QuarantineFile('C:\Windows\TEMP\clearcache.dll', '');
 DeleteFile('C:\Windows\system32\ihctrl32.dll', '');
 DeleteFile('C:\Windows\system32\wsaudio.dll', '');
 DeleteFile('C:\Windows\TEMP\clearcache.dll', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(13);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Сделайте повторные логи по правилам. (CollectionLog)

Kaspersky CRYSTAL - очень устаревшая версия.

**Jobar** · 08.01.2020, 14:11

Здравствуйте!

1. Не понял, о каком антизапрете, установленном самостоятельно, речь?
2. После выполнения скрипта в AVZ показалось, что проблема решена, но вот сейчас опять перед сном ноут слегка "подтупливал".
3. И первый раз, и сейчас после выполнения логов, для получения файла CollectionLog в момент нажатия кнопки "Открыть в проводнике эту папку?" Винду выкинуло в синий экран.

**Sandor** · 08.01.2020, 14:19

Сообщение от Jobar

о каком антизапрете, установленном самостоятельно, речь?

Об этом:

Internet Settings: [AutoConfigURL] = hxxp://antizapret.prostovpn.org/proxy.pac

Сообщение от Jobar

Винду выкинуло в синий экран

Если есть дамп (или мини дамп), упакуйте в архив и прикрепите к следующему сообщению.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

**Jobar** · 08.01.2020, 15:00

К этому: Internet Settings: [AutoConfigURL] = hxxp://antizapret.prostovpn.org/proxy.pac - отношение не имею, без моего ведома.

**Sandor** · 08.01.2020, 15:15

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-4117087038-885644921-205836585-1000\...\MountPoints2: {03ae1254-6597-11e1-be7c-9439e5cbcab6} - G:\Autorun.exe
HKU\S-1-5-21-4117087038-885644921-205836585-1000\...\MountPoints2: {9a4f551f-e0f6-11e6-8e64-441ea1e562c4} - J:\Install.bat
HKU\S-1-5-21-4117087038-885644921-205836585-1000\...\MountPoints2: {bcf45688-6561-11e1-8011-9439e5cbcab6} - I:\Launch.exe
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Task: {0219D16B-D997-4F85-AE8C-DAA795BA42E2} - \SPDriver -> No File <==== ATTENTION
Task: {1C18A895-94FC-40E9-99BB-E7C4D876EF90} - \APSnotifierPP2 -> No File <==== ATTENTION
Task: {366192A3-AECF-40FC-941C-6CA3114FCF3F} - \globalUpdateUpdateTaskMachineCore -> No File <==== ATTENTION
Task: {52A755F7-0FEA-4637-A20D-DFEA45F16BE2} - \ShopperPro -> No File <==== ATTENTION
Task: {90B8B33E-0835-4C03-AA5A-BF54FA70019B} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION
Task: {D3B2D271-BE62-4D89-B872-FD9AEE95C501} - \globalUpdateUpdateTaskMachineUA -> No File <==== ATTENTION
Task: {DC85F996-FAF2-434D-9B67-4952069ACB34} - \ShopperProJSUpd -> No File <==== ATTENTION
Task: {F481E88A-D088-4223-ACE7-89D5AABB82F9} - \APSnotifierPP1 -> No File <==== ATTENTION
Task: {F7EF9975-087C-4CFF-93F3-2A50BA3A167D} - \APSnotifierPP3 -> No File <==== ATTENTION
Task: C:\Windows\Tasks\CYms5lgDcGeH1vWww0gcF.job => C:\Users\\AppData\Roaming\CYms5lgDcGeH1vWww0gcF.exe <==== ATTENTION
Task: C:\Windows\Tasks\Nk25sVvYLN1yZ34bKvd9kG.job => C:\Users\\AppData\Roaming\Nk25sVvYLN1yZ34bKvd9kG.exe <==== ATTENTION
Task: C:\Windows\Tasks\u2Qd90dy5KUa.job => C:\Users\\AppData\Roaming\u2Qd90dy5KUa.exe <==== ATTENTION
Task: C:\Windows\Tasks\ZHo6mHnH.job => C:\Users\\AppData\Roaming\ZHo6mHnH.exe <==== ATTENTION
AutoConfigURL: [S-1-5-21-4117087038-885644921-205836585-1000] => hxxp://antizapret.prostovpn.org/proxy.pac
ManualProxies: 0hxxp://antizapret.prostovpn.org/proxy.pac
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-4117087038-885644921-205836585-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
Toolbar: HKU\S-1-5-21-4117087038-885644921-205836585-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF NewTab: Mozilla\Firefox\Profiles\25pjwyws.default -> yafd:tabs
CHR StartupUrls: Default -> "hxxp://go.mail.ru/?chverfix=1&fr=chverfix_sg"
C:\Users\Мвидео\AppData\Local\Google\Chrome\User Data\Default\Extensions\ablpcikjmhamjanpibkccdmpoekjigja
C:\Users\Мвидео\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkekdlkmdpipihonapoleopfekmapadh
CHR HKU\S-1-5-21-4117087038-885644921-205836585-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kkfnfemdemphdadfolkmoimpeibeiadc]
CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjcgomkanpkpblokebecknhahgkcmoo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek]
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec]
CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji]
C:\Users\Мвидео\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke
S3 hitmanpro37; C:\Windows\system32\drivers\hitmanpro37.sys [41080 2017-12-03] (SurfRight B.V. -> )
AlternateDataStreams: C:\ProgramData\Temp:41ADDB8A [276]
AlternateDataStreams: C:\ProgramData\Temp:A064CECC [144]
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

**Jobar** · 08.01.2020, 15:43

Выполнил

**Sandor** · 08.01.2020, 16:19

Далее:

Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.

**Jobar** · 08.01.2020, 18:08

Когда завершилось сканирование, тут же было предложено поместить найденные объекты в карантин. Не смог удержаться от соблазна и согласился. В результате высылаю два файла логов.

**Sandor** · 08.01.2020, 21:44

Предустановленное ПО можно было не удалять через AdwCleaner.

Что сейчас с проблемой?

**Jobar** · 09.01.2020, 07:15

Сообщение от Sandor

Что сейчас с проблемой?

Без изменений. По прежнему по пять минут тупит перед окончательным засыпанием. Может дело в "железе"?

**Sandor** · 09.01.2020, 10:29

Загрузите систему в Режиме "чистой" загрузки:
WIN + R - выполнить - msconfig
На вкладке Общие выберите параметр Выборочный запуск.
В разделе Выборочный запуск снимите флажок Загружать элементы автозагрузки.
На вкладке Службы установите флажок Не отображать службы Майкрософт и нажмите кнопку Отключить все.
Нажмите Применить - OK и - Перезапустить.

Проверьте как будет себя вести в таком режиме и сообщите.

**Jobar** · 10.01.2020, 01:28

Не помогло

**Sandor** · 10.01.2020, 11:09

Проблема системная, за рамками тематики этого форума.
Здесь в завершение:
1.

Пожалуйста, запустите adwcleaner.exe
В меню Настройки - Удалить AdwCleaner - выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

**CyberHelper** · 10.01.2020, 11:19

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 3
=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
1. c:\windows\system32\ihctrl32.dll - HEUR:Trojan.Win32.Generic=
  ( AVAST4: Win32:Malware-gen )
2. c:\windows\system32\wsaudio.dll - [B]Trojan.Win32.Agentb.bvhd[/=
  B]
3. c:\windows\temp\clearcache.dll - [B]HEUR:Trojan.Win32.Generic[/=
  B] ( AVAST4: Win32:Malware-gen )

Ноутбук перед уходом в спящий режим по долгу тупит [HEUR:Trojan.Win32.Generic, Trojan.Win32.Agentb.bvhd] (заявка № 224303)

Опции темы