Загрузка цп, которая резко закрывается при включении диспетчера задач

lukianchik0@vk · CollectionLog-2022.05.13-18.39.zip

Прикрепляю логи

vvvyg · Отправлено: **22:33, 13-05-2022** | #3

Майнера не видно. Высокая загрузка в момент старта диспетчера задач - нормальное явление, он сам активно потребляет ресурсы
Деинсталлируйте бесполезный Loaris Trojan Remover.

Пофиксите с помощью HiJackThis:

Код:

O15 - Trusted Zone: *.localhost
O15 - Trusted Zone: http://webcompanion.com
O22 - Task: Trojan Remover - C:\Program Files\Loaris Trojan Remover\ltr.exe (file missing)

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\program files (x86)\lavasoft\web companion\application\lavasoft.wcassistant.winservice.exe');
 TerminateProcessByName('c:\program files (x86)\lavasoft\web companion\service\x64\dciservice.exe');
 StopService('DCIService');
 StopService('WCAssistantService');
 QuarantineFile('c:\program files (x86)\lavasoft\web companion\application\lavasoft.wcassistant.winservice.exe', '');
 QuarantineFile('C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe', '');
 QuarantineFile('c:\program files (x86)\lavasoft\web companion\service\x64\dciservice.exe', '');
 DeleteFile('c:\program files (x86)\lavasoft\web companion\application\lavasoft.wcassistant.winservice.exe', '');
 DeleteFile('C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.WCAssistant.WinService.exe', '64');
 DeleteFile('C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe', '32');
 DeleteFile('C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe', '64');
 DeleteFile('c:\program files (x86)\lavasoft\web companion\service\x64\dciservice.exe', '');
 DeleteFile('C:\Program Files (x86)\Lavasoft\Web Companion\Service\x64\DCIService.exe', '64');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
 DeleteService('DCIService');
 DeleteService('WCAssistantService');
 DeleteFileMask('c:\program files (x86)\lavasoft\web companion', '*', false);
 DeleteDirectory('c:\program files (x86)\lavasoft\web companion');
 DelCLSID('{7D2B3E1D-D096-4594-9D8F-A6667F12E0AC}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Web Companion', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Web Companion', '64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

lukianchik0@vk · Отправлено: **23:42, 13-05-2022** | #4

vvvyg, прикрепляю

vvvyg · Отправлено: **07:47, 14-05-2022** | #5

lukianchik0@vk, карантин прикреплять не надо, перечитайте, куда его отправить.

Loaris Trojan Remover не удалили. Если нет возможности удалить стандартным способом - сделайте принудительно, с помощью Geek Uninstaller Free.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
CHR HKU\S-1-5-21-2142553994-2554163757-3990345896-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
R2 BdDci; C:\Windows\system32\DRIVERS\bddci.sys [367096 2022-02-15] (Bitdefender SRL -> Bitdefender)
2022-05-13 18:54 - 2021-01-15 20:55 - 000000000 ____D C:\Users\79859\AppData\Roaming\Lavasoft
2022-05-13 18:54 - 2021-01-15 20:55 - 000000000 ____D C:\Users\79859\AppData\Local\Lavasoft
2022-05-13 18:54 - 2021-01-15 20:55 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft
2022-05-13 18:54 - 2021-01-15 20:55 - 000000000 ____D C:\ProgramData\Lavasoft
2022-05-13 18:54 - 2021-01-15 20:55 - 000000000 ____D C:\Program Files (x86)\Lavasoft
FirewallRules: [TCP Query User{8FAD5150-BC18-4C60-9758-729B5AE0FA3D}C:\program files\windowsapps\microsoft.skypeapp_15.79.95.0_x86__kzf8qxf38zg5c\skype\skype.exe] => (Allow) C:\program files\windowsapps\microsoft.skypeapp_15.79.95.0_x86__kzf8qxf38zg5c\skype\skype.exe => Нет файла
FirewallRules: [UDP Query User{E1DFF62F-A1F1-4425-885B-0D38F8FAF3A9}C:\program files\windowsapps\microsoft.skypeapp_15.79.95.0_x86__kzf8qxf38zg5c\skype\skype.exe] => (Allow) C:\program files\windowsapps\microsoft.skypeapp_15.79.95.0_x86__kzf8qxf38zg5c\skype\skype.exe => Нет файла
FirewallRules: [{E8BC6FD1-8C96-49D4-9B23-F78E2E1D0582}] => (Allow) D:\SteamLibrary\steamapps\common\Contraband Police Prologue\launcher\PWLauncherBootstrapper.exe => Нет файла
FirewallRules: [{4F1D97F4-5C71-49DD-A39D-93718718175D}] => (Allow) D:\SteamLibrary\steamapps\common\Contraband Police Prologue\launcher\PWLauncherBootstrapper.exe => Нет файла
FirewallRules: [TCP Query User{84A5842A-47F8-4BF2-9CED-B689A85D0489}D:\oxygen not included v494396.s\oxygennotincluded.exe] => (Allow) D:\oxygen not included v494396.s\oxygennotincluded.exe => Нет файла
FirewallRules: [UDP Query User{4232A765-A5E1-40E6-8439-24154D7FF92A}D:\oxygen not included v494396.s\oxygennotincluded.exe] => (Allow) D:\oxygen not included v494396.s\oxygennotincluded.exe => Нет файла
FirewallRules: [TCP Query User{C87C3EC0-14AB-4237-AFF8-96B93B7D099C}D:\at.dead.of.night.build.6219869\atdeadofnight\atdeadofnight.exe] => (Allow) D:\at.dead.of.night.build.6219869\atdeadofnight\atdeadofnight.exe => Нет файла
FirewallRules: [UDP Query User{03167372-B4A5-44F9-B1A5-21C026E1DAA5}D:\at.dead.of.night.build.6219869\atdeadofnight\atdeadofnight.exe] => (Allow) D:\at.dead.of.night.build.6219869\atdeadofnight\atdeadofnight.exe => Нет файла
FirewallRules: [TCP Query User{44EA9835-53B8-45EB-8E0F-C638A9151319}D:\metro exodus\beholder 3\beholder3.exe] => (Allow) D:\metro exodus\beholder 3\beholder3.exe => Нет файла
FirewallRules: [UDP Query User{C20C4BCA-E907-4395-BF9D-BCEF53533242}D:\metro exodus\beholder 3\beholder3.exe] => (Allow) D:\metro exodus\beholder 3\beholder3.exe => Нет файла
FirewallRules: [TCP Query User{816E64D7-363F-4E03-9F1A-38E26D602831}D:\it takes two\nuts\binaries\win64\ittakestwo.exe] => (Allow) D:\it takes two\nuts\binaries\win64\ittakestwo.exe => Нет файла
FirewallRules: [UDP Query User{2BF5715B-157A-44C4-ADF5-4B3B82BB470F}D:\it takes two\nuts\binaries\win64\ittakestwo.exe] => (Allow) D:\it takes two\nuts\binaries\win64\ittakestwo.exe => Нет файла
FirewallRules: [TCP Query User{2B561FAB-CA2F-42D5-A1A1-509BC0DCDB00}D:\games\mortal kombat 11\binaries\retail\mk11.exe] => (Allow) D:\games\mortal kombat 11\binaries\retail\mk11.exe => Нет файла
FirewallRules: [UDP Query User{7C8D9C43-6AC0-4C8A-89F0-9F78B951CA35}D:\games\mortal kombat 11\binaries\retail\mk11.exe] => (Allow) D:\games\mortal kombat 11\binaries\retail\mk11.exe => Нет файла
FirewallRules: [TCP Query User{739D43C4-CB95-4C3D-98BB-F084D7926060}D:\call of duty modern warfare\modernwarfare.exe] => (Allow) D:\call of duty modern warfare\modernwarfare.exe => Нет файла
FirewallRules: [UDP Query User{A63ED6CB-BC6C-4F91-9159-0B03F7879063}D:\call of duty modern warfare\modernwarfare.exe] => (Allow) D:\call of duty modern warfare\modernwarfare.exe => Нет файла
FirewallRules: [TCP Query User{758CC0E6-C029-49A0-AE96-1B5F19842CD2}D:\totally accurate battle simulator v1.0.7.ba3650171e.10\totallyaccuratebattlesimulator.exe] => (Allow) D:\totally accurate battle simulator v1.0.7.ba3650171e.10\totallyaccuratebattlesimulator.exe => Нет файла
FirewallRules: [UDP Query User{B76756C5-2CC7-4EC9-8465-8939EDF7386B}D:\totally accurate battle simulator v1.0.7.ba3650171e.10\totallyaccuratebattlesimulator.exe] => (Allow) D:\totally accurate battle simulator v1.0.7.ba3650171e.10\totallyaccuratebattlesimulator.exe => Нет файла
FirewallRules: [TCP Query User{F207243F-1B16-4305-AB14-C00BBF23CAD9}D:\lego builders journey v2.1.330\lego builders journey v2.1.330\builder's journey.exe] => (Allow) D:\lego builders journey v2.1.330\lego builders journey v2.1.330\builder's journey.exe => Нет файла
FirewallRules: [UDP Query User{B0232C70-0083-42F4-8A8D-C95966F07714}D:\lego builders journey v2.1.330\lego builders journey v2.1.330\builder's journey.exe] => (Allow) D:\lego builders journey v2.1.330\lego builders journey v2.1.330\builder's journey.exe => Нет файла
FirewallRules: [{5E500181-CBF8-4605-91C5-63CD55E90148}] => (Allow) D:\Overwolf\0.195.0.17\OverwolfBrowser.exe => Нет файла
FirewallRules: [{2848DE9B-15E3-4EEC-A509-6A57CDB3D326}] => (Allow) D:\Overwolf\0.195.0.17\OverwolfBrowser.exe => Нет файла
FirewallRules: [{4390F95F-A40F-4FA2-BB64-C0B54559275E}] => (Block) D:\Overwolf\0.195.0.17\OverwolfBrowser.exe => Нет файла
FirewallRules: [{BB74F1A6-6E35-44D9-A765-E71BFBAB1705}] => (Block) D:\Overwolf\0.195.0.17\OverwolfBrowser.exe => Нет файла
FirewallRules: [TCP Query User{E6DF8FED-5D05-4D92-974C-A7E5D8DEA3F1}D:\metro exodus\batman arkham asylum goty\binaries\shippingpc-bmgame.exe] => (Allow) D:\metro exodus\batman arkham asylum goty\binaries\shippingpc-bmgame.exe => Нет файла
FirewallRules: [UDP Query User{CB1F1008-9386-4485-A0BA-276E9743762A}D:\metro exodus\batman arkham asylum goty\binaries\shippingpc-bmgame.exe] => (Allow) D:\metro exodus\batman arkham asylum goty\binaries\shippingpc-bmgame.exe => Нет файла
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera GX\Cache\Cache_Data\*.*"
del /s /q "%LocalAppData%\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q "%LocalAppData%\Microsoft\Edge\User Data\Default\Media Cache\*.*"
del /s /q "%LocalAppData%\Microsoft\Edge\User Data\Default\GPUCache\*.*"
del /s /q "%LocalAppData%\Microsoft\Edge\User Data\Default\Storage\ext\*.*"
del /s /q "%LocalAppData%\Microsoft\Edge\User Data\Default\Service Worker\*.*"
del /s /q "%LocalAppData%\Microsoft\Edge\User Data\ShaderCache\*.*"
del /s /q "%LocalAppData%\Microsoft\Edge SxS\User Data\Default\Cache\*.*"
del /s /q "%LocalAppData%\Microsoft\Edge SxS\User Data\Default\Media Cache\*.*"
del /s /q "%LocalAppData%\Microsoft\Edge SxS\User Data\Default\GPUCache\*.*"
del /s /q "%LocalAppData%\Microsoft\Edge SxS\User Data\Default\Storage\ext\*.*"
del /s /q "%LocalAppData%\Microsoft\Edge SxS\User Data\Default\Service Worker\*.*"
del /s /q "%LocalAppData%\Microsoft\Edge SxS\User Data\ShaderCache\*.*"
del /s /q "%userprofile%\AppData\Local\temp\*.*"
ipconfig /flushdns
sfc /scannow
endbatch:
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

lukianchik0@vk · Отправлено: **09:32, 14-05-2022** | #6

vvvyg, постарался удалить Loaris Trojan Remover и отправить карантин верно

Не смог прикрепить Fixlog.txt из за большого размера, поэтому отправил сюда quarantine <at> safezone.cc

SecurityCheck прикрепил

Sandor · Отправлено: **12:27, 14-05-2022** | #7

Цитата lukianchik0@vk:

Не смог прикрепить Fixlog.txt из за большого размера »

Упакуйте его в архив.

lukianchik0@vk · Отправлено: **12:40, 14-05-2022** | #8

Sandor

Sandor · Отправлено: **15:32, 14-05-2022** | #9

---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes version 4.3.0.98 v.4.3.0.98 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Python 3.9.7 (64-bit) v.3.9.7150.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Microsoft Teams v.1.4.00.2879 Внимание! Скачать обновления
Zoom v.5.8.7 (2058) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46206 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent Web v.1.2.2 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 331 (64-bit) v.8.0.3310.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u333-windows-x64.exe)^

Перечисленное примите к сведению и по возможности исправьте.

Читайте Рекомендации после лечения.

lukianchik0@vk · Отправлено: **15:37, 14-05-2022** | #10

Sandor, vvvyg, спасибо за помощь