Падает ФПС в играх, постоянный вход в систему в службе событий
Постоянно вылетают разные события по типу : Новому сеансу входа назначены специальные привилегии.
Перечислено участие пользователя в локальных группах.
Задан неправильный размер формы. HHCTRL
Уже с этим сталкивался и удалось случайно побороть каким то чистильщиком, но сейчас тоже самое, фпс проседает каждые 5 минут (
Прогнал AVZ и Search Spy Bot - пока не помогает... с чего начать капать
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) JNY, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Spybot - Search & Destroy деинсталлируйте как бесполезный (если не вредный).
Windows Driver Package - Silicon Laboratories (silabenm) Ports - если не самостоятельно ставили, тоже удалите.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
То что троян я уже понял на 100%, некоторые exe файлы пропали с раб стола, постоянная активность explorer и svhost, постоянный вход в систtму, постоянно читает данные профиля Windows
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:
Код:
Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-537805922-762440798-1252638814-1001\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
CHR HomePage: Default -> hxxps://yandex.ru/search/?text=%D0%BA%D0%B0%D0%BA%20%D0%BE%D0%BF%D1%83%D1%81%D1%82%D0%B8%D1%82%D1%8C%20%D0%BA%D0%BB%D0%B8%D1%80%D0%B5%D0%BD%D1%81%20%D0%BD%D0%B0%20%D0%BF%D0%BD%D0%B5%D0%B2%D0%BC%D0%BE%20taureg%202005&lr=193
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.630.19041.0 Внимание! Скачать обновления Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 16.1.2 Basic v.16.1.2 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 88.0.1 (x64 ru) v.88.0.1 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Firefox!^
Сообщение от JNY
Активность все равно какая то каждую минуту
Это уже не связано с "вирусами". По нашей части в системе порядок.
K-lte и Firefox сейчас удалю и проверим в играх, о результатах сообщу, заранее спасибо!
- - - - -Добавлено - - - - -
Сообщение от JNY
K-lte и Firefox сейчас удалю и проверим в играх, о результатах сообщу, заранее спасибо!
Проблема осталась((( куда еще можно копать, когда проседает фпс в событиях
Безопасность:
Новому сеансу входа назначены специальные привилегии.
Субъект:
ИД безопасности: СИСТЕМА
Имя учетной записи: СИСТЕМА
Домен учетной записи: NT AUTHORITY
Код входа: 0x3E7
Привилегии: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege
и
Вход в учетную запись выполнен успешно.
Субъект:
ИД безопасности: СИСТЕМА
Имя учетной записи: HOME-PC$
Домен учетной записи: WORKGROUP
ИД входа: 0x3E7
Сведения о входе:
Тип входа: 5
Ограниченный режим администрирования: -
Виртуальная учетная запись: Нет
Расширенный маркер: Да
Уровень олицетворения: Олицетворение
Новый вход:
ИД безопасности: СИСТЕМА
Имя учетной записи: СИСТЕМА
Домен учетной записи: NT AUTHORITY
ИД входа: 0x3E7
Связанный ИД входа: 0x0
Сетевое имя учетной записи: -
Сетевой домен учетной записи: -
GUID входа: {00000000-0000-0000-0000-000000000000}
Сведения о процессе:
ИД процесса: 0x33c
Имя процесса: C:\Windows\System32\services.exe
Сведения о сети:
Имя рабочей станции: -
Сетевой адрес источника: -
Порт источника: -
Подробные сведения о проверке подлинности:
Процесс входа: Advapi
Пакет проверки подлинности: Negotiate
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Это я так понимаю в службах уже какие то косяки, либо заражение
Интересная программка, есть кнопки убить вирусы руткиты и тд, ничего не нажимал , сделал только образ автозапуска
Образ сюда уже не кинуть( пишет макс размер файла) кидаю на Я.Диск
Каждые 3-5 минут 2 события , ничего не запущено- все что только с автозапуска - даже когда я отхожу от компа на час два:
Лог прикрепилhttps://disk.yandex.ru/d/Dwp2gOe0Z68_kw.
- - - - -Добавлено - - - - -
Вход в учетную запись выполнен успешно.
Субъект:
ИД безопасности: СИСТЕМА
Имя учетной записи: HOME-PC$
Домен учетной записи: WORKGROUP
ИД входа: 0x3E7
Сведения о входе:
Тип входа: 5
Ограниченный режим администрирования: -
Виртуальная учетная запись: Нет
Расширенный маркер: Да
Уровень олицетворения: Олицетворение
Новый вход:
ИД безопасности: СИСТЕМА
Имя учетной записи: СИСТЕМА
Домен учетной записи: NT AUTHORITY
ИД входа: 0x3E7
Связанный ИД входа: 0x0
Сетевое имя учетной записи: -
Сетевой домен учетной записи: -
GUID входа: {00000000-0000-0000-0000-000000000000}
- - - - -Добавлено - - - - -
Новому сеансу входа назначены специальные привилегии.
Субъект:
ИД безопасности: СИСТЕМА
Имя учетной записи: СИСТЕМА
Домен учетной записи: NT AUTHORITY
Код входа: 0x3E7
Учетной записи не удалось выполнить вход в систему.
Субъект:
ИД безопасности: S-1-5-21-537805922-762440798-1252638814-1001
Имя учетной записи: Gracesko
Домен учетной записи: HOME-PC
Код входа: 0x53E07
Тип входа: 2
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: Gracesko
Домен учетной записи: HOME-PC
Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xC000006E
Подсостояние: 0xC000006E
Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x648
Имя процесса вызывающей стороны: C:\Program Files\Google\Chrome\Application\chrome.exe
Сведения о сети:
Имя рабочей станции: HOME-PC
Сетевой адрес источника: -
Порт источника: -
С чем связано такое поведение, пока не удалось разобраться.
- - - - -Добавлено - - - - -
Есть одно предположение: Браузер может запрашивать пароль при попытке просмотра сохранённых паролей. Возможно, какое-то расширение шалит.
Даже 2-е предположение появилось - при попытке сохранения чего-то - загрузки, компонента конфигурации в папку, где не хватает прав.