Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Загружается ЦП и диск при подключении интернета. (http://forum.oszone.net/showthread.php?t=333969)

Driver-Avto 25-03-2018 21:07 2805428
Загружается ЦП и диск при подключении интернета.
 
Доброго времени суток.

Недавно подхватил вирус на компьютере. Вначале в диспетчере задач появился svchost,кое-как я пытался это устранить (запретил доступ,не удалил ),затем название,которое грузит проц. в диспетчере задач постоянно менялось,вплоть до какой-то там трассировки процесса . Я уже просто не знаю,что предпринимать,чистил различными утилитами,все так же. Смотрел на Вашем форуме,тут у многих схожие проблемы. Вся надежда на Ваш сайт,прошу помощи.

akok 25-03-2018 23:42 2805464
Для диагностики нужны логи: http://forum.oszone.net/thread-98169.html

akok 26-03-2018 20:59 2805667
Xvid у вас установлен?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\WINDOWS\winstart.bat','');
 QuarantineFile('C:\ProgramData\Lenovo-18254.vbs','');
 QuarantineFile('C:\Program Files (x86)\Xvid\CheckUpdate.ps1','');
  BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O3 - HKLM\..\Toolbar: (no name) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - (no file)
O4 - HKCU\..\StartupApproved\Run: [Xvid] (2018/03/23) = C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe -nologo -WindowStyle hidden -Noninteractive -NoProfile -ExecutionPolicy Bypass -File "C:\Program Files (x86)\Xvid\CheckUpdate.ps1"
O4 - HKLM\..\Run: [CCE] = C:\Users\notebook\Desktop\cce_public_x64\cce_x64\CCE.exe -showlog (file missing)
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.


Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

Sandor 27-03-2018 10:31 2805729
Цитата:
Цитата akok
Xvid у вас установлен? »
Не ответили.

Сейчас проблема сохраняется?

Driver-Avto 27-03-2018 13:30 2805764
Xvid установлен (2016 г. в "программы и компоненты"),но я даже не помню,чтобы я его устанавливал .
Вот когда,диспетчер задач свернут ,ЦП загружен на 2-4%, закрываю,потом снова открываю ЦП нагружается до 70-85%,потом падает.

Sandor 27-03-2018 13:33 2805765
Цитата:
Цитата Driver-Avto
ЦП нагружается до 70-85%,потом падает »
Это нормальное поведение.

Driver-Avto 27-03-2018 13:58 2805773
Понял. Буду наблюдать ,но svchost пока не появлялся . Спасибо Вам огромное akok и Sandor )

Sandor 27-03-2018 13:59 2805774
Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Driver-Avto 27-03-2018 14:07 2805776
Вложений: 1
Прикрепляю .

Sandor 27-03-2018 14:16 2805777
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.3.44358 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 121 (64-bit) v.8.0.1210.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u162-windows-x64.exe)^


Malwarebytes, версия 3.4.4.2398 можно деинсталлировать.

Рекомендации после лечения.


Время: 05:53.

Время: 05:53.
© OSzone.net 2001-