Парни, компьютер стал работать с тормозами. Все время свопит на диск. Загрузка ЦП 100% . Помогите, пожалуйста.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/threads/18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\DOCUME~1\Misha\LOCALS~1\Temp\mdi064.dll','');
QuarantineFile('C:\DOCUME~1\Misha\LOCALS~1\Temp\iswizard05\indexer.exe','');
QuarantineFile('C:\DOCUME~1\Misha\LOCALS~1\Temp\UsageTemp.exe','');
DeleteFile('c:\docume~1\misha\locals~1\temp\mdi064.dll','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tsiVideo');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (http://forum.oszone.net/post-1430293-2.html) (некоторые строки могут отсутствовать):
O4 - HKCU..Run: [tsiVideo] rundll32.exe C:DOCUME~1MishaLOCALS~1Temp\mdi064.dll,runme


Скачайте AdwCleaner (by Xplode) (http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250).

Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)
Подробнее читайте в руководстве (http://safezone.cc/threads/16050)

Добрый день, mike 1,

Спасибо за помощь.

1. архив отослал по почте quarantine <at> safezone.cc
2. пофиксить не удалось, как и предупреждали, - нет такой строки.

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
По окончанию сканирования снимите галочки со следующих строк:
File Found : C:\Documents and Settings\Misha\Рабочий стол\TornTV.lnk
Folder Found C:\Documents and Settings\Misha\Local Settings\Application Data\Mail.Ru
Folder Found C:\Program Files\Mail.Ru
Key Found : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
Нажмите кнопку "Clean" и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250/#post-157088).

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Mike 1,

Спасибо.
Компьютер теперь стал перезагружаться без проблем.
Тормоза исчезли :)
Был троян? А что он еще умел?

Проверьте эти файлы на virustotal (http://www.virustotal.com/index.html)

C:\Program Files\VLC Player GPU+\UsageLog.exe
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

О-о!
https://www.virustotal.com/ru/file/66dd03e18a03b449cb978a23c47b7304cf0a31ac7fb185ec2f4d2e35596dd3eb/analysis/1390223556/
Сейчас вспоминаю, что на Рождество у чинков сайты юзал на предмет покупки товаров. Странно, что авира не берет...

Вот еще о нем:
http://news.drweb.com/show/?i=4160&lng=ru&c=5

mike 1,
Решил с авирой проститься. Какой продукт порекомендуете ( из бесплатных)?

Спасибо, еще раз.

Скачайте OTM by OldTimer (http://oldtimer.geekstogo.com/OTM.exe) или с зеркала (http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/) и сохраните на рабочий стол. Запустите OTM by OldTimer (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора) временно выключите антивирус, firewall и другое защитное программное обеспечение (http://safezone.cc/threads/18577). Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files
C:\Program Files\VLC Player GPU+\UsageLog.exe
C:\Program Files\VLC Player GPU+
C:\DOCUME~1\Misha\LOCALS~1\Temp\UsageTemp.exe

:Reg
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UsageLoader]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UsageTemp]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mobilegeni daemon]

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".
Компьютер перезагрузится.
После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), затем прикрепите его в ваше следующее сообщение.

Сделайте новые логи RSIT.

mike 1,

зависает... до п.5 дело не доходит.
С рабочего стола все слетает...перезагрузился только кнопкой. Логов в папке нет.

Хорошо тогда сделайте логи RSIT если удаление не получиться напишу тогда скрипт AVZ.

ok

логи:

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт (http://www.cyberforum.ru/viruses-faq/thread89292.html) в АВЗ:

begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFileF('C:\Program Files\VLC Player GPU+', '*', true, ' ', 0, 0);
DeleteFile('C:\DOCUME~1\Misha\LOCALS~1\Temp\UsageTemp.exe','32');
DeleteFile('C:\Program Files\VLC Player GPU+\UsageLog.exe','32');
DeleteFile('C:\Program Files\Mobogenie\DaemonProcess.exe','32');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\mobilegeni daemon');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\UsageLoader');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\UsageTemp');
DeleteFileMask('C:\Program Files\VLC Player GPU+', '*', true, ' ');
DeleteDirectory('C:\Program Files\VLC Player GPU+');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт (http://www.cyberforum.ru/viruses-faq/thread89292.html) в АВЗ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

После перезагрузки архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Сделайте новые логи RSIT.

mike 1,
скрипты прошли без ошибок.
quarantine.zip послал по почте.

Что с проблемой?

Mike 1,
Спасибо большое!
Все работает нормально

Загрузите SecurityCheck by glax24 отсюда (http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe) и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение.Подробнее читайте в этом разделе (http://safezone.cc/threads/19622) форума поддержки утилиты.

Mike 1,
Последняя ссылка битая.

Вроде все продолжает работать устойчиво. Тьфу-тьфу :)

Обновите:

Adobe Flash Player 11 ActiveX v.11.9.900.117 Внимание! Скачать обновления (http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_12_active_x.exe)
Adobe Flash Player 11 Plugin v.11.9.900.117 Внимание! Скачать обновления (http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_12_plugin.exe)
Adobe Reader 7.0 v.7.0.0 Внимание! Скачать обновления (http://get.adobe.com/reader/)

MBAM деинсталлируйте.

Установите какой нибудь антивирус.

Советы и рекомендации после лечения (http://safezone.cc/forum/showthread.php?t=16715)