увеличился расход оперативной памяти. не могу найти причину. наблюдаются полные загрузки проца на 100%
увеличился расход оперативной памяти. не могу найти причину. наблюдаются полные загрузки проца на 100%
Уважаемый(ая) григорий44, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Тема увеличился расход оперативки зачем создана, логи те же?
WBR,
Vadim
там с ошибкой
Хвосты от майнера есть, активного по логам не вижу. Что ломаное ставили?
Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:Компьютер перезагрузится.Код:{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist} var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string; PD_folders, PF_folders, O_folders, L_SID : TStringList; i : integer; procedure FillList; begin PD_folders := TStringList.Create; PD_folders.Add('360TotalSecurity'); PD_folders.Add('360safe'); PD_folders.Add('AVAST Software'); PD_folders.Add('Avg'); PD_folders.Add('Avira'); PD_folders.Add('ESET'); PD_folders.Add('Indus'); PD_folders.Add('Kaspersky Lab Setup Files'); PD_folders.Add('Kaspersky Lab'); PD_folders.Add('MB3Install'); PD_folders.Add('Malwarebytes'); PD_folders.Add('McAfee'); PD_folders.Add('Norton'); PD_folders.Add('grizzly'); PD_folders.Add('RealtekHD'); PD_folders.Add('RunDLL'); PD_folders.Add('Setup'); PD_folders.Add('System32'); PD_folders.Add('Windows'); PD_folders.Add('WindowsTask'); PD_folders.Add('install'); PD_folders.Add('bebca3bc90'); PF_folders := TStringList.Create; PF_folders.Add('360'); PF_folders.Add('AVAST Software'); PF_folders.Add('AVG'); PF_folders.Add('ByteFence'); PF_folders.Add('COMODO'); PF_folders.Add('Cezurity'); PF_folders.Add('Common Files\McAfee'); PF_folders.Add('ESET'); PF_folders.Add('Enigma Software Group'); PF_folders.Add('GRIZZLY Antivirus'); PF_folders.Add('Kaspersky Lab'); PF_folders.Add('Malwarebytes'); PF_folders.Add('Microsoft JDX'); PF_folders.Add('Panda Security'); PF_folders.Add('SpyHunter'); PF_folders.Add('RDP Wrapper'); O_folders := TStringList.Create; O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\RDP')); O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner')); O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data')); O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\Config.Msi')); O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution')); O_folders.Add(NormalDir('%windir%'+'\speechstracing')); O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql')); end; procedure Del_folders(path:string; AFL : TStringList); var i : integer; begin for i := 0 to AFL.Count - 1 do begin fname := NormalDir(path + AFL[i]); if DirectoryExists(fname) then begin AddToLog(fname + ' - Exists'); FSResetSecurity(fname); QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFileMask(fname, '*', true); DeleteDirectory(fname); end; end; end; procedure Del_DisallowRun(SID_Name : string); const PolExplKey = '\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\'; DR = 'DisallowRun'; begin if (RegKeyExists('HKEY_USERS', SID_Name + PolExplKey + DR)) then begin AddToLog('HKEY_USERS' + SID_Name + PolExplKey + DR + ' - Exists'); BackupRegKey('HKEY_USERS', SID_Name + PolExplKey, DR + SID_Name); RegKeyDel('HKEY_USERS', SID_Name + PolExplKey + DR); RegKeyParamDel('HKEY_USERS', PolExplKey, DR); end; end; procedure swprv; begin ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true); RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103'); RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll'); OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion'); if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');; ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true); ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true); end; procedure AV_block_remove; begin clearlog; if GetAVZVersion < 5.18 then begin ShowMessage('Пожалуйста, используйте актуальную версию AVZ, например, из папки AutoLogger-а.'); AddToLog('Текущая версия - '+FormatFloat('#0.00', GetAVZVersion)); exitAVZ; end; FillList; ProgramData := GetEnvironmentVariable('ProgramData'); ProgramFiles := NormalDir('%PF%'); ProgramFiles86 := NormalDir('%PF% (x86)'); Del_folders(ProgramData +'\', PD_folders); Del_folders(ProgramFiles, PF_folders); Del_folders(ProgramFiles86, PF_folders); Del_folders('', O_folders); if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe'); if FileExists ('%windir%'+'\WrpYGF74DrEm.ini') then DeleteFile('%windir%'+'\WrpYGF74DrEm.ini'); L_SID := TStringList.Create; RegKeyEnumKey('HKEY_USERS', '\', L_SID); for i:= 0 to L_SID.Count-1 do Del_DisallowRun('\'+ L_SID[i]); L_SID.Free; RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll'); swprv; ExecuteFile('net.exe', 'user john /delete', 0, 15000, true); SaveLog(GetAVZDirectory +'AV_block_remove.log'); PD_folders.Free; PF_folders.Free; O_folders.Free; ExecuteWizard('SCU', 2, 2, true); ExecuteSysClean; end; begin DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDControl'); DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDStartUP'); DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhost'); DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhostw'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); AV_block_remove; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(false); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.
Файл AV_block_remove.log из папки с AVZ прикрепите к своему сообщению.
Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Код:O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled) O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled) O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe (disabled) O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe (disabled) O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe (disabled) O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe (disabled) O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe (disabled) O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe (disabled) O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe (disabled) O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe (disabled) O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe (disabled) O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
вот все что нужно.? у меня без изменений.30 % загрузки оперативки вместо 12ти...
Зловредов не было уже активных, дочищаем их остатки и мусор. Смотрите в диспетчере процессов, кто память отжирает.
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: HKU\S-1-5-21-2581873905-1973924515-2303865915-1000\...\MountPoints2: {10f4e4a5-dfab-11ea-be3a-d8fee3a7f318} - "G:\AutoRun.exe" HKU\S-1-5-21-2581873905-1973924515-2303865915-1000\...\MountPoints2: {10f4e553-dfab-11ea-be3a-d8fee3a7f318} - "G:\AutoRun.exe" HKU\S-1-5-21-2581873905-1973924515-2303865915-1000\...\MountPoints2: {10f4ecd9-dfab-11ea-be3a-3297e8afda65} - "F:\AutoRun.exe" HKU\S-1-5-21-2581873905-1973924515-2303865915-1000\...\MountPoints2: {1e9cdb2b-390b-11eb-bf06-b42e99d630a4} - "E:\AutoRun.exe" HKU\S-1-5-21-2581873905-1973924515-2303865915-1000\...\MountPoints2: {1e9cdba7-390b-11eb-bf06-b42e99d630a4} - "E:\AutoRun.exe" HKU\S-1-5-21-2581873905-1973924515-2303865915-1000\...\MountPoints2: {6c2f111f-1437-11eb-bebc-00a0c6000000} - "E:\AutoRun.exe" HKU\S-1-5-21-2581873905-1973924515-2303865915-1000\...\MountPoints2: {a1e9019d-1f21-11eb-bed7-00a0c6000000} - "F:\AutoRun.exe" HKU\S-1-5-21-2581873905-1973924515-2303865915-1000\...\MountPoints2: {a1e901c2-1f21-11eb-bed7-00a0c6000000} - "E:\AutoRun.exe" HKU\S-1-5-21-2581873905-1973924515-2303865915-1000\...\MountPoints2: {beb394ec-1424-11eb-bebb-00a0c6000000} - "E:\AutoRun.exe" HKU\S-1-5-21-2581873905-1973924515-2303865915-1000\...\MountPoints2: {beb395ef-1424-11eb-bebb-00a0c6000000} - "E:\AutoRun.exe" 2021-01-20 08:57 - 2020-09-02 12:06 - 000000000 __SHD C:\ProgramData\Doctor Web 2020-05-08 17:52 - 2017-12-27 20:20 - 001460224 _____ (Stas'M Corp.) C:\ProgramData\RDPWinst.exe HKU\S-1-5-21-2581873905-1973924515-2303865915-1000\...\StartupApproved\Run: => "Advanced SystemCare" FirewallRules: [{9984F546-1F6E-4A51-AC1B-324186911CF7}] => (Block) LPort=445 FirewallRules: [{142EC970-3C74-4436-BDEB-C2DC4412932F}] => (Block) LPort=445 FirewallRules: [{FB0DC2D0-1419-4764-BE36-99C438B7A678}] => (Block) LPort=139 FirewallRules: [{EBF3FB2C-7957-4D05-BF4D-F1ED74E52908}] => (Block) LPort=139 Reboot: End::
Компьютер будет перезагружен автоматически.
WBR,
Vadim
все так?проблема не ушла. и я не могу откатить систему. ошибка.
- - - - -Добавлено - - - - -
все хорошо...глюк какой то...перезагрузил и все в порядке..
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
прилагаю нужный файл
Не раз наблюдал, как такие "обновляторы" драйверов убивают систему, не рекомендую использовать.IObit Driver Booster 8.0.1.166 v.8.0.1.166 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
А в остальном порядок.
WBR,
Vadim
огромное спасибо ребята за ваш бесценный труд. отблагодарю после выходных. а есть ли платная подписка и как это выглядит?