Здравствуйте, компьютер сильно заражен вирусами, которые в обычном режиме дают работать около 5 минут, после чего безнадежно грузят систему практически на 100%, из-за чего комп становится невозможно использовать далее. Сканирование, необходимое для заявки делал в безопасном режиме. Спасибо!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Michael Underdal, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Выполните скрипт в AVZ из папки Autologger
Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\notebook\шаблоны\brengkolang.com',''); QuarantineFile('C:\Users\notebook\documents\documents.exe',''); QuarantineFile('C:\Users\notebook\appdata\local\services.exe',''); QuarantineFile('C:\Users\notebook\appdata\local\lsass.exe',''); QuarantineFile('C:\Windows\ShellNew\sempalong.exe',''); DeleteFile('C:\Windows\ShellNew\sempalong.exe','64'); DeleteFile('C:\Users\notebook\AppData\Local\smss.exe','64'); RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bron-Spizaetus','x64'); RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tok-Cirrhatus','x64'); DeleteSchedulerTask('{1C706606-8486-42EA-9790-D5086A9128DD}'); DeleteFile('C:\Users\notebook\appdata\local\lsass.exe','32'); DeleteFile('C:\Users\notebook\appdata\local\services.exe','32'); DeleteFile('C:\Users\notebook\documents\documents.exe','32'); DeleteFile('C:\Users\notebook\шаблоны\brengkolang.com','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(8); ExecuteRepair(17); RebootWindows(false); end.
- Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Здравствуйте, пишет что выполнение скрипта невозможно, "too many actual parameters"
AVZ следует использовать эту, из папки Автологера:
C:\Users\notebook\Desktop\autologger\AutoLogger\AV \av_z.exe
Еще раз доброго дня, лог выполнил, карантин прислал, еще один скан системы выполнил. Однако судя по всему это не помогло, так как в диспетчере задач есть те же рабочие процессы червя и комп продолжает зависать через 5 минут. Спасибо!
В логах процессов от Brontok уже нет. Написанное ниже нужно выполнить в обычном режиме.
Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Все сделано.
1. Выделите следующий код:
2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).Код:Start:: CreateRestorePoint: HKU\S-1-5-21-740383582-2458428990-1521929455-1000\...\Policies\system: [DisableCMD] 0 GroupPolicy: Restriction ? <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION HKU\S-1-5-21-740383582-2458428990-1521929455-1000\...\MountPoints2: F - F:\Lenovo_Suite.exe HKU\S-1-5-21-740383582-2458428990-1521929455-1000\...\MountPoints2: G - G:\Lenovo_Suite.exe HKU\S-1-5-21-740383582-2458428990-1521929455-1000\...\MountPoints2: {43c404ec-8d4e-11e6-8da4-802ce4369ffa} - F:\Lenovo_Suite.exe HKU\S-1-5-21-740383582-2458428990-1521929455-1000\...\MountPoints2: {5fb10933-2f32-11e8-a03e-86da60da24f8} - F:\Lenovo_Suite.exe HKU\S-1-5-21-740383582-2458428990-1521929455-1000\...\MountPoints2: {d94ca9ab-32ff-11e6-9cfb-8ca9a36d20f8} - F:\Setup.exe 2020-12-16 18:03 - 2020-12-16 18:03 - 000000247 _____ C:\Users\notebook\AppData\Local\Update.12.Bron.Tok.bin 2020-10-13 20:23 - 2020-10-13 20:23 - 000000000 __SHD C:\found.009 2018-01-04 14:19 - 2018-01-04 14:19 - 000046209 _____ () C:\Users\notebook\AppData\Local\Bron.tok.A12.em.bin 2018-01-04 14:19 - 2018-01-04 14:19 - 000000051 _____ () C:\Users\notebook\AppData\Local\Kosong.Bron.Tok.txt FirewallRules: [TCP Query User{DDD91FD8-4C4C-470C-A1D1-357B2C0BC296}C:\users\notebook\appdata\local\mediaget2\mediaget.exe] => (Allow) C:\users\notebook\appdata\local\mediaget2\mediaget.exe => No File FirewallRules: [UDP Query User{BB1F2163-CA65-48C7-948E-0EED46D49DE1}C:\users\notebook\appdata\local\mediaget2\mediaget.exe] => (Allow) C:\users\notebook\appdata\local\mediaget2\mediaget.exe => No File FirewallRules: [{3E2783E1-B74B-431B-A7F8-4600C7D7536E}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => No File FirewallRules: [{93C2051F-13CB-46E0-A5FC-624D65A67583}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => No File FirewallRules: [{917DFD22-8C2B-406A-86AC-9469881C6C24}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => No File FirewallRules: [{FD7451BA-FC2A-4BCB-832E-4945F029DF3A}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => No File FirewallRules: [{2B497A1B-F7B4-4B3C-97EC-784D46A8E946}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Blockade3d\main.exe => No File FirewallRules: [{0C12E7C3-76F9-4654-9BC6-F6899F532944}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Blockade3d\main.exe => No File FirewallRules: [{E2FB5D18-EEF3-45C5-85F3-9B8393DACBA3}] => (Allow) C:\Users\notebook\AppData\Roaming\Zoom\bin\airhost.exe => No File Folder: C:\Users\notebook\AppData\Roaming\Winset Reboot: End::
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание: будет выполнена перезагрузка компьютера.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот лог, спасибо.
Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Возможно. Вирусов больше нет так как раньше, хотя именно их отсутствие на ПК я не могу доказать, но проблема с производительностью осталась. Комп очень сильно тормозит при работе в обычном режиме. Может с вирусами это конечно не связано, но в безопасном режиме все работает хорошо.
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 5
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
- c:\users\notebook\appdata\local\lsass.exe - Email-Worm.Win=
32.Brontok.q ( DrWEB: Win32.Virut.5, BitDefender: Win32.Generic.44=
2807, NOD32: Win32/Brontok.S worm, AVAST4: Win32:Brontok-BH [Wrm] )- c:\users\notebook\appdata\local\services.exe - Email-Worm.=
Win32.Brontok.q ( DrWEB: Win32.Virut.5, BitDefender: Win32.Generic=
=2E442807, NOD32: Win32/Brontok.S worm, AVAST4: Win32:Brontok-BH [Wrm]=
)- c:\users\notebook\documents\documents.exe - Email-Worm.Win3=
2.Brontok.q ( DrWEB: Win32.Virut.5, BitDefender: Win32.Generic.442=
807, NOD32: Win32/Brontok.S worm, AVAST4: Win32:Brontok-BH [Wrm] )- c:\users\notebook\=F8=E0=E1=EB=EE=ED=FB\brengkolan g.com - E=
mail-Worm.Win32.Brontok.q ( DrWEB: Win32.Virut.5, BitDefender: Win=
32.Generic.442807, NOD32: Win32/Brontok.S worm, AVAST4: Win32:Brontok-=
BH [Wrm] )- c:\windows\shellnew\sempalong.exe - Email-Worm.Win32.Brontok=
=2Eq ( DrWEB: Win32.Virut.5, BitDefender: Win32.Generic.442807, NO=
D32: Win32/Brontok.S worm, AVAST4: Win32:Brontok-BH [Wrm] )
Уважаемый(ая) Michael Underdal, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
