При старте ПК у меня занято в районе 20-30% ОП, при том, то на ПК аж 32гб ОП, я не считаю это нормой, поэтому обращаюсь к вам.
Неадыкватная занятость ОП(скорее всего вирус)
При старте ПК у меня занято в районе 20-30% ОП, при том, то на ПК аж 32гб ОП, я не считаю это нормой, поэтому обращаюсь к вам.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Kustik1626, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл, переместите в любую папку, кроме рабочего стола и загрузок. Не поможет - запустите из безопасного режима с поддержкой сети.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.
Запустите HijackThis, расположенный в папке Autologger и пофиксите те строки, которые будут найдены:Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.Код:O1 - Hosts: Reset contents to default O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\ReaItekHD\taskhostw.exe (not signed - no company - BA5314A78FDF6ACB17FE6C17E51FAE32BFE0AE53) O22 - Tasks: \Microsoft\Windows\WindowsBackup\ManagerSystem - C:\Programdata\ReaItekHD\taskhostw.exe (not signed - no company - BA5314A78FDF6ACB17FE6C17E51FAE32BFE0AE53) O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (not signed - no company - BA5314A78FDF6ACB17FE6C17E51FAE32BFE0AE53) O22 - Tasks: \Microsoft\Windows\WindowsBackup\SupportSystem - C:\Programdata\ReaItekHD\taskhost.exe (not signed - no company - 97E42622241777A39590B424F19B869B875ADFF5) O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (not signed - no company - 97E42622241777A39590B424F19B869B875ADFF5) O22 - Tasks: \Microsoft\Windows\Wininet\winser - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (invalid sign - no company - FC09DD898B6E7FF546E4A7517A715928FBAFC297) O22 - Tasks: \Microsoft\Windows\Wininet\winsers - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (invalid sign - no company - FC09DD898B6E7FF546E4A7517A715928FBAFC297) O22 - Tasks: \Outbyte\Driver Updater\AttackersAlert - C:\Program Files (x86)\Outbyte\Driver Updater\DriverUpdater.exe /UseTray /Schedule /AttackersAlert (file missing) O22 - Tasks: \Outbyte\Driver Updater\CauseErrors - C:\Program Files (x86)\Outbyte\Driver Updater\DriverUpdater.exe /UseTray /Schedule /CauseErrors (file missing) O22 - Tasks: \Outbyte\Driver Updater\DriverFlaws - C:\Program Files (x86)\Outbyte\Driver Updater\DriverUpdater.exe /UseTray /Schedule /DriverFlaws (file missing) O22 - Tasks: \Outbyte\Driver Updater\HackersAlert - C:\Program Files (x86)\Outbyte\Driver Updater\DriverUpdater.exe /UseTray /Schedule /HackersAlert (file missing) O22 - Tasks: \Outbyte\Driver Updater\NvidiaFlaws - C:\Program Files (x86)\Outbyte\Driver Updater\DriverUpdater.exe /UseTray /Schedule /NvidiaFlaws (file missing) O22 - Tasks: \Outbyte\Driver Updater\OutdatedDrivers - C:\Program Files (x86)\Outbyte\Driver Updater\DriverUpdater.exe /UseTray /Schedule /OutdatedDrivers (file missing) O22 - Tasks: \Outbyte\Driver Updater\PoorPerformance - C:\Program Files (x86)\Outbyte\Driver Updater\DriverUpdater.exe /UseTray /Schedule /PoorPerformance (file missing) O22 - Tasks: Avira_Security_Installation - C:\Users\kost\AppData\Local\Temp\.CR.30873\Avira.Spotlight.Bootstrapper.Runner.exe "C:\Users\kost\AppData\Local\Temp\.CR.30873\avira_ru_sptl1_60203f8de2d3b632__phpws.exe" RunMode=Resume (file missing) O22 - Tasks: sheer-persuade - C:\ProgramData\restore-rage\bin.exe /H (file missing) O22 - Tasks: youtube-channels-S-1-5-21-2030598853-1426486284-2914008668-1001 - C:\Windows\System32\msiexec.exe /i "C:\Users\kost\AppData\Local\Programs\b14233445c95f4\ec067f28f2.msi" /quiet ZWGKJWR=1 (sign: 'Microsoft') O27 - Account: (Hidden) User 'John' is invisible on logon screen O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0 O27 - RDP: (Port) 3389 TCP opened as inbound - (no service) - (Remote Desktop) - (all applications)
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Отправляю
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: CloseProcesses: GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ Task: {CE2CD8D8-6322-4E69-B0E6-B8AF21BFD300} - System32\Tasks\Microsoft\Windows\MasterDataO\RecoveryHosts => C:\ProgramData\Microsoft\DRM\NL7cg5i07XT1JT\MasterDataO.bat (Нет файла) <==== ВНИМАНИЕ Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Нет файла) Folder: C:\ProgramData\Microsoft\DRM\NL7cg5i07XT1JT C:\ProgramData\Microsoft\DRM\NL7cg5i07XT1JT Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m C:\Users\kost\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem CHR HKU\S-1-5-21-2030598853-1426486284-2914008668-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk] CHR HKU\S-1-5-21-2030598853-1426486284-2914008668-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [leleihajebccdgcpoinijlfccdkajioa] 2025-04-23 16:16 - 2025-04-23 16:16 - 000000000 _RSHD C:\ProgramData\RDP Wrapper FirewallRules: [{4ED7D5D8-8DD2-4DBF-A64B-3137A04BEB77}] => (Allow) C:\Users\kost\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла FirewallRules: [{7DC4EC57-8FD4-4C88-A969-F24E64ECE416}] => (Allow) C:\Users\kost\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions StartBatch: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul del /s /q C:\Windows\Temp\*.* >nul del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul del /s /q C:\Windows\Minidump\*.dmp >nul ipconfig /flushdns sfc /scannow endbatch: Reboot: End::
Компьютер будет перезагружен.
Деинсталлируйте программу 2IP StartGuard, она бесполезна.
Обновите 7-Zip: Обнаружена уязвимость в 7-Zip, которую могут использовать в атаках на пользователей архиватора.
Майнер удалён, должно полегчать.
WBR,
Vadim
Отправляю, остальное сделал
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: StartPowerShell: Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe" Remove-MpPreference -ExclusionProcess "C:\ProgramData\WindowsTask\AMD.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData" Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppHost.exe" Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper" Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe" EndPowerShell: ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions CreateRestorePoint: End::
Последний раз редактировалось Vvvyg; 19.05.2025 в 16:47.
WBR,
Vadim
Вот
Выполните ещё раз, правил скрипт.
WBR,
Vadim
Вот
Порядок.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.
WBR,
Vadim
Готово
Всё на этом.
WBR,
Vadim
Спасибо огромное
Уважаемый(ая) Kustik1626, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
