Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Загружается ЦП в простое после заражения. (http://forum.oszone.net/showthread.php?t=337135)

On9Tb_25 11-10-2018 20:17 2835480
Загружается ЦП в простое после заражения.
 
Вложений: 1
Здравствуйте !
У меня такая проблема! Несколько дней назад при установке программы из интернета подхватил вирус, случайно проигнорировав предупреждение Защитника Windows. В итоге было обнаружено почти десяток троянов. Пользовался утилитой Kaspersky Virus Removal Tool. Вроде бы все угрозы обезвредил. Потом прошуршал утилитой AVZ, она ничего подозрительного не нашла. Но проблема не исчезла. Заметил что процессор в простое стал нагружаться от 35 до 60 %. А когда открываю диспетчер задач, то сразу спад до 8-10%. Ещё один момент.... когда отключаю интернет, то загрузка ЦП падает до нормального состояния (5-10%)
Компуктер новый, винты не засорены. Система Windows 10 х64.
Помогите пожалуйста !!! Ну уж очень не хочется сносить ось.
Лог прикрепил.

akok 11-10-2018 22:56 2835510
Freemake Improver - деинсталлируйте

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 SetServiceStart('dssec', 4);
 SetServiceStart('fmwmbpmb', 4);
 SetServiceStart('jgoppokq', 4);
 SetServiceStart('jywujyll', 4);
 SetServiceStart('kuwgbije', 4);
 SetServiceStart('lvoutnef', 4);
 SetServiceStart('Versions Watcher', 4);
 QuarantineFile('c:\users\Михалыч - Пурпурович\appdata\roaming\dssec\dssec.exe', '');
 QuarantineFile('c:\users\Михалыч - Пурпурович\appdata\roaming\versions watcher\versions watcher.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\fmwmbpmb.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\jgoppokq.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\jywujyll.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\kuwgbije.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\lvoutnef.sys', '');
 DeleteFile('c:\users\Михалыч - Пурпурович\appdata\roaming\dssec\dssec.exe', '32');
 DeleteFile('C:\Users\Михалыч - Пурпурович\AppData\Roaming\Versions Watcher\Versions Watcher.exe', '32');
 DeleteFile('C:\Windows\system32\drivers\fmwmbpmb.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\jgoppokq.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\jywujyll.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\kuwgbije.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\lvoutnef.sys', '64');
 DeleteService('dssec');
 DeleteService('fmwmbpmb');
 DeleteService('jgoppokq');
 DeleteService('jywujyll');
 DeleteService('kuwgbije');
 DeleteService('lvoutnef');
 DeleteService('Versions Watcher');
 DeleteSchedulerTask('Online Application V2G1.job');
 DeleteSchedulerTask('Online Application V2G2.job');
 DeleteSchedulerTask('Online Application V2G3.job');
 DeleteSchedulerTask('Online Application V2G4.job');
 DeleteSchedulerTask('Online Application V2G5.job');
 DeleteSchedulerTask('Online Application V2G6.job');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма..

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - HKCU\..\Run: [YoutubeDownloader_upd] = C:\Users\Михалыч - Пурпурович\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe "start.pyc" ml3
O22 - Task (.job): (Not scheduled) Online Application V2G1.job - C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe (file missing) 1 69
O22 - Task (.job): (Not scheduled) Online Application V2G2.job - C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe (file missing) 1 70
O22 - Task (.job): (Not scheduled) Online Application V2G3.job - C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe (file missing) 1 71
O22 - Task (.job): (Not scheduled) Online Application V2G4.job - C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe (file missing) 1 60
O22 - Task (.job): (Not scheduled) Online Application V2G5.job - C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe (file missing) 1 61
O22 - Task (.job): (Not scheduled) Online Application V2G6.job - C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe (file missing) 1 62
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

On9Tb_25 12-10-2018 00:21 2835516
Вложений: 1
Всё сделал как указано.
Пофиксил. Правда один код только нашёл.
файл с карантином отправил.
Отчёт прикрепил.

Sandor 12-10-2018 08:34 2835538
Цитата:
Цитата On9Tb_25
Правда один код только нашёл »
Утилиту нужно запускать эту:
Цитата:
C:\Users\Михалыч - Пурпурович\Desktop\ДЛЯ ДИАГНОСТИКИ\AutoLogger\HiJackThis\HiJackThis.exe
Повторите.

Далее:
1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

On9Tb_25 14-10-2018 15:53 2835835
Вложений: 3
Вот отчёты.

Sandor 14-10-2018 18:45 2835857
Отчет об очистке содержит в имени файла символ [Cxx], а не [Sxx]. Покажите его.

Далее:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    Task: {0182C475-4E49-4ECA-920F-D5806B2F2830} - System32\Tasks\YoutubeDownloader_upd => C:\Users\Михалыч - Пурпурович\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

On9Tb_25 14-10-2018 20:20 2835870
Вложений: 3
Вот

Sandor 15-10-2018 08:19 2835915
Что сейчас с проблемой?

On9Tb_25 15-10-2018 17:29 2835983
Проблема исчезла ! Большое спасибо за помощь !!!

akok 15-10-2018 19:25 2836007
Подготовьте лог лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


Время: 06:52.

Время: 06:52.
© OSzone.net 2001-