[akok]

proxyweb - сами устанавливали, если нет деинсталлируйте (https://proxy-web.info). Похоже он и продуцирует нагрузку

Софт от IObit удалите тоже, он лишний


"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код:

O25 - WMI Event: Windows Events Consumer - Windows Events Filter - Event="__InstanceModificationEvent WITHIN 5600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  powershell.exe -NoP -NonI -W Hidden -E ..... далее много текста

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Ferz]

proxy-web устанавливал сам, стоит уже около полугода, в ней уверен.
на счет IObit, думаю в этом дело. Но он был удален с неделю назад. В дериктории D:\Program Files x86\IObit\ пусто.
Далее, в HijackThis нету строки

Код:

O25 - WMI Event: Windows Events Consumer - Windows Events Filter - Event="__InstanceModificationEvent WITHIN 5600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  powershell.exe -NoP -NonI -W Hidden -E ..... далее много текста

[Ferz]

Проблема осталась.

Бывает, антивирь его не видит и открывается по штук 5-7 exe'шников..

[akok]

• Запустите повторно AdwCleaner через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать"), а по окончании сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.



Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

[Ferz]

AdwCleaner ничего не нашел.
uVS крашится, скрин в споилере.

Скрытый текст

[akok]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

[Ferz]

логи
upd: powershell.exe до сих пор остался..

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  Start::
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{903c11ab-0b26-4c2f-99f2-e5f6a08845c3} <==== ATTENTION (Restriction - IP)
  CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=mp4
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=mp4","hxxps://www.google.com/","hxxps://www.google.com/"
  CHR DefaultSearchURL: Default -> hxxp://lednikperiod.ru/account/payment
  2018-11-30 13:59 - 2018-11-30 15:45 - 000000000 ____D C:\ProgramData\ProductData
  2018-11-30 13:59 - 2018-11-30 13:59 - 000000000 ____D C:\Windows\IObit
  2018-11-30 13:57 - 2018-12-13 22:42 - 000000000 ____D C:\Users\Ferz\AppData\Roaming\IObit
  2018-11-30 13:57 - 2018-11-30 13:58 - 000000000 ____D C:\Users\Ferz\AppData\LocalLow\IObit
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"Windows Events Consumer\"",Filter="__EventFilter.Name=\"Windows Events Filter\":
  WMI:subscription\__EventFilter->Windows Events Filter:
  WMI:subscription\CommandLineEventConsumer->Windows Events Consumer:
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Соберите свежий CollectionLog Автологером.

[Ferz]

Sandor, готово.