Подозрение на вирус

[Alex_kaa]

Прогнал CureIt, нашел пару вирусов, но компьютер работает с тормозами, посмотрите плз, может что осталось...

[Info_bot]

Уважаемый(ая) Alex_kaa, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Alex_kaa]

Прогнал CureIt, нашел пару вирусов, но компьютер работает с тормозами, посмотрите плз, может что осталось...

Добавлю, что процесс help.exe грузит процессор и оперативку

[Sandor]

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

NetShield Kit 1.3.26.0
NetShield Kit 1.3.28.1
Кнопка "Яндекс" на панели задач
Менеджер браузеров

Что не сможете удалить стандартно, удаляйте принудительно через Geek Uninstaller

"Пофиксите" в HijackThis:

Код:

O17 - DHCP DNS 1: 185.192.111.210
O17 - DHCP DNS 2: 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{113bb45a-2081-4f56-81a4-954e4c19be0c}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{113bb45a-2081-4f56-81a4-954e4c19be0c}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{6959e68e-cb22-4881-8311-ce09e80591a6}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{6959e68e-cb22-4881-8311-ce09e80591a6}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{7605d955-9fb9-4064-aff5-79c4b22f3f0f}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{7605d955-9fb9-4064-aff5-79c4b22f3f0f}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{88f39935-65b6-49a0-a1f2-7f958fcad024}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{88f39935-65b6-49a0-a1f2-7f958fcad024}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9f705d30-c03a-4dbd-9dec-2b75a3e2d0ca}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{9f705d30-c03a-4dbd-9dec-2b75a3e2d0ca}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{eadeb91c-3b91-11ea-b1f6-806e6f6e6963}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{eadeb91c-3b91-11ea-b1f6-806e6f6e6963}: [NameServer] = 37.59.58.122
O22 - Task: NetShield Kit Self Repair - C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe -repair
O22 - Task: NetShield Kit scheduled Autoupdate - C:\Program Files (x86)\NetShield Kit\cli.exe -self-upgrade

Перезагрузите компьютер.

Затем:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

[Alex_kaa]

Все сделал, отчет прикрепляю

[Sandor]

1.

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[Alex_kaa]

Готово!

[Sandor]

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-89889579-3644189048-1565262629-1001\...\MountPoints2: {279af3aa-8744-11ea-b208-708bcd1c8e17} - "F:\Lenovo_Suite.exe" 
  GroupPolicy: Restriction - Windows Defender <==== ATTENTION
  Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
  C:\Users\Полина\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
  CHR HKU\S-1-5-21-89889579-3644189048-1565262629-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
  AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
  FirewallRules: [{3C33CEF3-8391-4955-A99B-81580B9DB223}] => (Allow) LPort=8320
  FirewallRules: [{B2488FDC-C678-4F1C-A12F-AECAB90EBFE0}] => (Allow) C:\Program Files (x86)\NetShield Kit\cli.exe => No File
  FirewallRules: [{421EB403-DEBF-4755-A921-9C6B156EA226}] => (Allow) C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe => No File
  FirewallRules: [{D44F490C-10E0-42EA-8937-321F8536A04D}] => (Allow) C:\Program Files (x86)\NetShield Kit\cli.exe => No File
  FirewallRules: [{CC4AA4C9-D0E2-45DF-B35B-EA233C6CFC8F}] => (Allow) C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe => No File
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

[Alex_kaa]

сделал, страницы грузятся гораздо быстрее... файл во вложении
"справка по командам командной строки" кушает память меньше, но все же, сейчас около 500+Мб, было 1гб+

[Sandor]

В исключениях Защитника уберите папку C:\Program Files (x86)\NetShield Kit

В завершение:
1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Alex_kaa]

"В исключениях Защитника уберите папку C:\Program Files (x86)\NetShield Kit" - не активна кнопка "удалить"

[Sandor]

Пробуйте в безопасном режиме.

[Alex_kaa]

отчет

[Sandor]

Прошу прощения, не заметил.
Скачайте ещё раз FRST и проделайте:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  Start::
  NetShield Kit 1.3.26.0 (HKLM-x32\...\{97a420dd-a56d-455f-92ee-1a4f506337ef}) (Version: 1.3.26.0 - Sigma Software) Hidden
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

В перечне установленных программ появится NetShield Kit 1.3.26.0 - удалите его.

[Alex_kaa]

Все сделал, еще нужно что-то проделать? Подскажите, почему в диспетчере задач "справка по командам командной строки" берет так много оперативной памяти?

[Sandor]

еще нужно что-то проделать?

--------------------------- [ OtherUtilities ] ----------------------------
Foxit Reader 7.3.6.321 v.v 7.3.6.321 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
Microsoft OneDrive v.20.169.0823.0008 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Creative Cloud v.4.3.0.256 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.86.0.4240.198 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

"справка по командам командной строки" берет так много оперативной памяти?

При отключенной сети так же?