Здравствуйте, помогите пожалуйста. Заметил что компьютер стал тормозить, при открытии диспетчера задач становиться получше но он закрывается самостоятельно спустя пару минут. Скачал processexplorer от майкрософт, он также закрывается одновременно с диспетчером. И ещё есть старая проблема, при включении компа открывается сайт с рекламой

Кстати, при запуске диспетчера задач успел заскринить процесс который 1й, он после запуска сразу же пропадает. Не знаю должно ли быть так
https://c.radikal.ru/c35/2103/40/464182ad3892.jpg . Так же заметил в диспетчере задач программы rfusclient и rutserv, раньше насколько я помню их не видел. При попытке завершения они всё равно остаются в диспетчере задач

Здравствуйте!

Скачайте AV block remover (https://safezone.cc/resources/av-block-remover-avbr.224/).
Распакуйте, запустите и следуйте инструкциям.

После перезагрузки системы соберите новый CollectionLog Автологером.

Готово. Всё сделал, лог прикрепил

Файл CheckBrowserLnk.log
из папки
...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK (http://dragokas.com/tools/ClearLNK.zip).

http://dragokas.com/tools/move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


Скачайте Farbar Recovery Scan Tool (https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (или с зеркала (https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/)) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('https://safezone.cc/threads/17759/').

Сделал и прикрепил

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.
Выделите следующий код:
Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-402093548-4061221756-3930826881-1000\...\Run: [Andrey] => explorer.exe hxxp://kb-ribaki.org <==== ВНИМАНИЕ
HKU\S-1-5-21-402093548-4061221756-3930826881-1000\...\MountPoints2: {f232add3-1487-11e8-8214-bc5ff478d084} - G:\autorun.exe
HKU\S-1-5-21-402093548-4061221756-3930826881-1000\...\MountPoints2: {f232ae2e-1487-11e8-8214-bc5ff478d084} - H:\setup.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
FF NetworkProxy: Mozilla\Firefox\Profiles\yg6pmcoc.default -> socks", "127.0.0.1"
2021-03-15 03:03 - 2021-03-16 17:10 - 000000000 ____D C:\Program Files\RDP Wrapper
2021-03-15 03:03 - 2021-03-15 03:03 - 000000000 __SHD C:\Windows\McMwt
2021-03-15 03:03 - 2021-03-15 03:03 - 000000000 __SHD C:\ProgramData\Driver Foundation Visions VHG
2021-03-15 03:03 - 2021-03-15 03:03 - 000000000 __SHD C:\Program Files (x86)\Zaxar
2021-03-15 03:03 - 2021-03-15 03:03 - 000000000 ___SH C:\Windows\svchost.exe
2021-03-15 03:03 - 2021-03-15 03:03 - 000000000 ___SH C:\Windows\java.exe
2021-03-15 03:03 - 2021-03-15 03:03 - 000000000 ___SH C:\Windows\boy.exe
2021-03-15 03:03 - 2021-03-15 03:03 - 000000000 ___SH C:\ProgramData\script.exe
2021-03-15 03:03 - 2021-03-15 03:03 - 000000000 ___SH C:\ProgramData\olly.exe
2021-03-15 03:03 - 2021-03-15 03:03 - 000000000 ___SH C:\ProgramData\lsass2.exe
2021-03-15 03:03 - 2021-03-15 03:03 - 000000000 ___SH C:\ProgramData\lsass.exe
2021-03-15 03:03 - 2021-03-15 03:03 - 000000000 ___SH C:\ProgramData\kz.exe
2021-03-15 03:03 - 2021-03-15 03:03 - 000000000 ____D C:\Program Files\360
2021-03-15 03:02 - 2021-03-15 03:02 - 000000000 __SHD C:\Windows\SysWOW64\%APPDATA%
2021-03-15 03:02 - 2021-03-15 03:02 - 000000000 ___SH C:\Windows\SysWOW64\Drivers\conhost.exe
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Нет файла
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [432]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [432]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [432]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [432]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [432]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [209]
AlternateDataStreams: C:\Users\Andrey\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\Andrey\Application Data:NT [40]
AlternateDataStreams: C:\Users\Andrey\Application Data:NT2 [432]
AlternateDataStreams: C:\Users\Andrey\ntuser.ini:NTV [14262]
AlternateDataStreams: C:\Users\Andrey\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\Andrey\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Andrey\AppData\Roaming:NT2 [432]
FirewallRules: [{EE6C8BDF-A7F8-4858-829A-78403F6EDD90}] => (Allow) 㩃啜敳獲䅜摮敲屹灁䑰瑡屡潒浡湩屧潮整慰㍤屫潮整慰㍤⹫硥e => Нет файла
FirewallRules: [{A3152639-2728-4639-8504-49CDFCAD1DEF}] => (Allow) 㩃啜敳獲䅜摮敲屹灁䑰瑡屡潒浡湩屧潮整慰㍤屫潮整灵⹤硥e => Нет файла
FirewallRules: [{E5B9F8AB-C18A-427D-B762-81B28967FF3D}] => (Allow) D:\Games\KOPLAYER\KOPLAYER.exe => Нет файла
FirewallRules: [{459486BD-8EBB-4571-891C-778AA608C9ED}] => (Allow) D:\Games\KOPLAYER\download\MiniThunderPlatform.exe => Нет файла
FirewallRules: [{DAC3C48F-061C-4EB7-9C3E-9F3650186C7C}] => (Allow) D:\Games\KOPLAYER\KOPLAYER.exe => Нет файла
FirewallRules: [{985AA094-6C4C-4F43-BB30-1244328E52D3}] => (Allow) D:\Games\KOPLAYER\vbox\VBoxManage.exe => Нет файла
FirewallRules: [{710D230E-CA8E-45DC-829B-B730629E4852}] => (Allow) D:\Games\KOPLAYER\vbox\VBoxHeadless.exe => Нет файла
FirewallRules: [{53946A2D-7AD1-468D-8585-56AA8115BAB4}] => (Allow) D:\Games\KOPLAYER\download\MiniThunderPlatform.exe => Нет файла
FirewallRules: [{084F5088-EB9A-4BDF-B986-0816E9B92229}] => (Allow) D:\Games\KOPLAYER\vbox\VBoxManage.exe => Нет файла
FirewallRules: [{B90BC890-A947-4682-ACD2-4A9E52F981FB}] => (Allow) D:\Games\KOPLAYER\vbox\VBoxHeadless.exe => Нет файла
FirewallRules: [{A8B8926E-0D5F-423D-8D12-CFB71C25BFE0}] => (Allow) D:\Games\KOPLAYER\KOPLAYER.exe => Нет файла
FirewallRules: [{8E982DB2-7C30-4412-9C33-6052A76E7BCC}] => (Allow) D:\Games\KOPLAYER\vbox\VBoxManage.exe => Нет файла
FirewallRules: [{C5ABE788-1C96-4619-9BFC-AFCE2DA53B89}] => (Allow) D:\Games\KOPLAYER\vbox\VBoxHeadless.exe => Нет файла
FirewallRules: [{3711596B-4F29-42FC-8AE2-B1CEE7CB4A1E}] => (Allow) D:\Games\KOPLAYER\KOPLAYER.exe => Нет файла
FirewallRules: [{7328D3CD-7E8A-4B41-B0F0-9A2EB768DB6B}] => (Allow) D:\Games\KOPLAYER\vbox\VBoxManage.exe => Нет файла
FirewallRules: [{42438BFF-563E-4CE5-90DA-82B1DBCD3FE3}] => (Allow) D:\Games\KOPLAYER\vbox\VBoxHeadless.exe => Нет файла
FirewallRules: [{50378A1D-CD4E-414F-813B-16483CEE7ED5}] => (Allow) C:\ProgramData\RealtekHD\taskhostw.exe => Нет файла
FirewallRules: [{8F848BA3-9F4D-45C1-BD21-9DDDC327BED9}] => (Allow) C:\ProgramData\rundll\Eternalblue-2.2.0.exe => Нет файла
FirewallRules: [{4E74FDC6-EDA6-4669-8541-B9F67EC177B9}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{928B6239-FC47-4813-A7DA-84588812D468}] => (Allow) LPort=9393
FirewallRules: [{C42105BD-F0EC-4864-B25C-D0E65F72EDF6}] => (Allow) LPort=9494
FirewallRules: [{7A648E48-B156-4FFF-A475-CCC2830C0972}] => (Allow) C:\ProgramData\rundll\system.exe => Нет файла
FirewallRules: [{10E68664-E56C-43EA-9E28-43083D3FBC7B}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{9BAC1FAF-A157-4CE0-957D-1234179B04D5}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
FirewallRules: [{5DD4FE66-7846-471E-87F3-6B72E443FADA}] => (Allow) C:\ProgramData\rundll\Doublepulsar-1.3.1.exe => Нет файла
FirewallRules: [{53DBE926-FFFA-44BD-92C3-6CFC45C1DF57}] => (Allow) LPort=9393
FirewallRules: [{67572494-CCF2-42E2-B019-5F5C5C4AB4F8}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{257C5EC3-3328-4670-9FBC-BA2A4BA174F3}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{C568E6C6-BC6D-4683-9FD8-813146B8015C}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
FirewallRules: [{47C9F19B-86B8-4518-9837-72589F70853E}] => (Allow) LPort=9494
FirewallRules: [{F5E8CE72-B698-4792-B024-3C6C805EB4DA}] => (Allow) C:\ProgramData\rundll\rundll.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве ('https://safezone.cc/threads/17760/').

Добавил

Если проблема решена, завершающие шаги:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
Загрузите SecurityCheck by glax24 & Severnyj (https://safezone.cc/resources/security-check-by-glax24.25/download), сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Здравствуйте, спасибо Вам огромное! И странный вирус ушёл, и сайт с рекламой при запуске ПК убрался. Но появилась другая проблема, связанная с моим ноутбуком. Там словил судя по всему такой же вирус, не могу понять как. Может из-за того что что-то пересылал Телеграмом с ПК на ноут. Тоже ноутбук как и ПК сильно зависает, при открытии диспетчера задач на секунду мелькает процесс который жрёт 2гб памяти и тут же исчезает, и диспетчер сам закрывается спустя пару минут. Хотел скачать программу для сбора логов на ноутбук, но при открытии вашего форума с веткой о лечении закрывается браузер. Вот же гадость, впервые сталкиваюсь с таким. Значит прописано в вирусе чтоб на ваш сайт не пускало. Проверил это 3 раза и каждый раз закрывается хром. Использую Телеграм для пересылки лога и постинга его у вас. Извините что опять обращаюсь, но помогите пожалуйста если сможете. Логи прикрепил в теме

По-хорошему, для другого ПК надо бы другую тему завести. Но ладно, продолжаем тут.

Скачайте AV block remover (https://safezone.cc/resources/av-block-remover-avbr.224/).
Распакуйте, запустите и следуйте инструкциям.

После перезагрузки системы соберите новый CollectionLog Автологером.

Выполнил и прикрепил лог

Должно уже полегчать.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (или с зеркала (https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/)) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('https://safezone.cc/threads/17759/').

Добавил. Да, вроде лучше стало

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.
Выделите следующий код:
Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2695444196-4214483186-4181639049-1001\...\MountPoints2: {94241bd7-836d-11eb-b993-3c77e6fd6e90} - G:\Autorun.exe
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве ('https://safezone.cc/threads/17760/').


Driver Booster 8 рекомендую деинсталлировать.

Сделал и прикрепил

Что сейчас с проблемой?

Проблемы нет. Спасибо огромное за помощь. Не знаю что бы я делал без вас

Здесь тоже в завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
Загрузите SecurityCheck by glax24 & Severnyj (https://safezone.cc/resources/security-check-by-glax24.25/download), сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.