Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Браузер SRWare Iron грузит процессор (http://forum.oszone.net/showthread.php?t=346099)

Nikki 2 10-08-2020 22:20 2930719
Браузер SRWare Iron грузит процессор
 
Здравствуйте, последнее время браузер SRWare стал грузить процессор до 100%

Sandor 11-08-2020 10:24 2930762
Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
Цитата:
Orbitum
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\Task.Manager.Helper\Task Manager Helper.exe', '');
 QuarantineFile('C:\Users\Юра\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\qw2jd.exe', '');
 DeleteSchedulerTask('{12DDEFE9-E264-431F-9D09-5DD76C9C75D3}');
 DeleteSchedulerTask('{27E27A8B-4C3D-49C1-84C2-1B457720F548}');
 DeleteSchedulerTask('{3ACA9762-C24A-4B9F-A9BC-D74C61D9CD6F}');
 DeleteSchedulerTask('{4AD1C291-D9ED-42BA-9282-AF789C78764F}');
 DeleteSchedulerTask('{4D05F2ED-2F3A-4790-8D31-6DDF0B165C74}');
 DeleteSchedulerTask('{9C3A97C3-ACC0-49F7-8C0C-30561E892E21}');
 DeleteSchedulerTask('{C3788F87-D730-4FE6-8507-583AF8FA9B41}');
 DeleteSchedulerTask('{C54ECE81-7A5B-48CD-8F44-82EE143E53D4}');
 DeleteFile('C:\ProgramData\Task.Manager.Helper\Task Manager Helper.exe', '32');
 DeleteFile('C:\Users\Юра\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\qw2jd.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'TaskManagerHelper', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'TaskManagerHelper', 'x64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Юра^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^qw2jd.exe', '64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

Nikki 2 11-08-2020 20:49 2930871
Всё сделал, проблема пока осталась.

Sandor 12-08-2020 08:03 2930900
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Nikki 2 12-08-2020 23:47 2930983
Отчёт

Sandor 13-08-2020 09:03 2931007
1.
  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Nikki 2 13-08-2020 21:19 2931143
Сделал, проблема осталась.

Sandor 14-08-2020 08:25 2931183
UmmyVideoDownloader тоже деинсталлируйте как нежелательное ПО.

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-1956250444-3940224531-1985807202-1000\...\MountPoints2: {2dfbc087-5261-11ea-805c-ba9303cc925f} - "J:\WD Drive Unlock.exe" autoplay=true
    HKU\S-1-5-21-1956250444-3940224531-1985807202-1000\...\MountPoints2: {a990cf74-ee73-11e9-9b9d-fe5ef790b556} - "J:\WD Drive Unlock.exe" autoplay=true
    HKU\S-1-5-21-1956250444-3940224531-1985807202-1000\...\MountPoints2: {ec51760e-6aa9-11ea-8bad-f690b51f9d5f} - "J:\WD Drive Unlock.exe" autoplay=true
    HKU\S-1-5-21-1956250444-3940224531-1985807202-1000\...\MountPoints2: {ec51762a-6aa9-11ea-8bad-f690b51f9d5f} - "J:\WD Drive Unlock.exe" autoplay=true
    HKU\S-1-5-21-1956250444-3940224531-1985807202-1000\...\MountPoints2: {f6499a07-5968-11e9-a69a-bc5ff40e2006} - "J:\WD Drive Unlock.exe" autoplay=true
    CHR HKLM-x32\...\Chrome\Extension: [hdpgllbnilfcbckbdchjcfgopijgllcm]
    CHR HKLM-x32\...\Chrome\Extension: [ifpjamfehjeobjanpappgckkmnhjnpgi] - C:\Users\Юра\AppData\Roaming\Crx\Files\ifpjamfehjeobjanpappgckkmnhjnpgi_0.0.1.crx <not found>
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Nikki 2 14-08-2020 23:17 2931271
У меня в разных браузерах сохранено несколько десятков вкладок, которыми я пользуюсь, и которые открываются при запуске браузеров. Если я правильно понял, то все эти вкладки будут удалены во всех браузерах, а не только в SRWare?

И ещё не подскажете где можно скачать дистрибутив Malwarebytes Anti-Malware, а то с установочного файла с их сайта не могу установить, выдаёт ошибку.

Sandor 16-08-2020 16:26 2931397
Цитата:
Цитата Sandor
вкладки браузеров будут закрыты »
Закрыты, а не удалены. Так что выполняйте смело.

Nikki 2 16-08-2020 21:53 2931423
Давайте всё-таки ещё раз уточним, допустим, на примере браузера Mozilla Firefox.

В настройках Mozilla Firefox у меня стоит, при запуске (Показать окна и вкладки, открытые в прошлый раз). И при запуске Mozilla Firefox у меня открывается четыре окна, по 20-30 нужных мне вкладок в каждом окне, значит, после выполнения скрипта при запуске браузера, как и раньше, откроются четыре окна вместе с вкладками? Ведь история браузеров очистится, значит, удалятся все ссылки, окна, вкладки, а что будет с настройками?
Сохранять все адреса вкладок во всех браузерах очень долго, но если я их не сохраню, а они удалятся, то восстанавливать будет ещё дольше, вот и не знаю что делать, вы точно уверены, что все окна и вкладки в браузерах сохранятся?

Sandor 18-08-2020 13:45 2931551
Если так волнуетесь, уберите из скрипта команду EmptyTemp: и очистки не будет.

Nikki 2 21-08-2020 21:00 2931783
Скрипт выполнил без EmptyTemp:
Во время перезагрузки компьютер завис, пришлось жать Reset.
Проблема осталсь.

Sandor 24-08-2020 21:01 2932026
У Хрома есть собственный диспетчер задач, вызывается по комбинации Shift+Esc. Так как Iron сделан на движке Хрома, предположу, что и у него должно быть нечто подобное. Проверьте что именно грузит.

Nikki 2 26-08-2020 17:11 2932153
Грузит файлообменник gigapeta, по 25% на вкладку, но как-то рандомно, одни и теже вкладки с гигопетой могут открытся нормально, а при следующем запуске браузера, начинают грузить процессор.
Гигапетой пользуюсь давно, раньше проблем не было, можно что-то сделать?
Вирус майнер?

Sandor 27-08-2020 19:37 2932254
Цитата:
Цитата Nikki 2
Грузит файлообменник gigapeta »
Уточните - если он не открыт, а открыты другие вкладки, все нормально?
А в другом браузере этот же сайт тоже грузит?

Цитата:
Цитата Nikki 2
Вирус майнер? »
В последних логах ничего подобного не замечено.

Nikki 2 29-08-2020 17:14 2932402
Цитата:
Цитата Sandor
Уточните - если он не открыт, а открыты другие вкладки, все нормально? »
Если gigapeta не открыт, то всё работает нормально.
Цитата:
Цитата Sandor
А в другом браузере этот же сайт тоже грузит? »
В других браузерах не грузит.

Sandor 30-08-2020 17:05 2932484
Цитата:
Цитата Nikki 2
Если gigapeta не открыт, то всё работает нормально »
Тогда, пожалуй, нужно связываться с поддержкой сайта или браузера, раз по вашим словам
Цитата:
Цитата Nikki 2
В других браузерах не грузит »
Проблема не вирусного характера.

Nikki 2 01-09-2020 15:13 2932642
Понятно.

Sandor 01-09-2020 15:16 2932643
В завершение:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Nikki 2 01-09-2020 16:22 2932650
Сделал

Sandor 03-09-2020 08:48 2932754
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.16428 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Panda Global Protection 2010 v.3.01.00 Данная программа больше не поддерживается разработчиком. Используйте другое защитное ПО.
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.5.2 v.4.5.51209 Внимание! Скачать обновления
Real Alternative 1.46 v.1.46 Данная программа больше не поддерживается разработчиком.
VLC media player 1.0.1 v.1.0.1 Внимание! Скачать обновления
Microsoft Office - профессиональный выпуск версии 2003 v.11.0.8173.0 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.50 (64-разрядная) v.5.50.0 Внимание! Скачать обновления
7-Zip 9.25 (x64 edition) v.9.25.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.1.8.2 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
------------------------------- [ Browser ] -------------------------------
Opera 12.14 v.12.14.1738 Внимание! Скачать обновления
SRWare Iron (64-Bit), версия 55.0.2900.1 v.55.0.2900.1 Внимание! Скачать обновления
Google Chrome v.84.0.4147.135 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Safari v.5.34.57.2 Данная программа больше не поддерживается разработчиком.
---------------------------- [ UnwantedApps ] -----------------------------
JDownloader 2 v.2.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
UmmyVideoDownloader v.1.10.10.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Хотфиксы постарайтесь установить все.

Nikki 2 05-09-2020 19:35 2933025
Не могу скачать по вашей ссылке Malwarebytes Anti-Malware выдаёт ошибку (Во время загрузки произошла ошибка. Пожалуйста, проверте подключение к интернету и повторите попытку.)

Sandor 05-09-2020 20:44 2933028
Возможно ошибка временная, у меня заходит нормально на страницу загрузки.
Но сканировать и проверять не обязательно. Если не пользуетесь этими программами, просто удалите их.

Nikki 2 06-09-2020 17:57 2933102
На страницу загрузки и у меня заходит нормально и установочный файл скачивается. А вот когда запускаю установочный файл MBSetup.exe (1,9 мб) выдаёт ошибку (Во время загрузки произошла ошибка. Пожалуйста, проверьте подключение к интернету и повторите попытку.)
И так где-то месяц. Раньше я Malwarebytes Anti-Malware пользовался, но у неё перестала обнавлятся антивирусная база, вроде такую, же ошибку выдавала, я её удалил, а теперь установить не могу.

Sandor 06-09-2020 21:18 2933127
Странно. Сделайте-ка еще раз логи FRST.

Nikki 2 08-09-2020 21:08 2933391
Логи

Sandor 09-09-2020 08:53 2933417
Пройдитесь утилитой удаления, затем пробуйте ещё раз установить.

Sandor 09-09-2020 12:23 2933444
Не исключено, что Panda Security сопротивляется установке второго антивируса.

Nikki 2 09-09-2020 12:30 2933446
Мне кажется что-то идёт не так, по вашей ссылке скачивается файл mb-support-1.7.0.827.exe, после его запуска, что должно происходить?
Panda Security у меня отключена. Да и раньше всё устанавливалось нормально.

Sandor 09-09-2020 12:38 2933449
По ссылке должен открыться этот сайт https://www.malwarebytes.com/mwb-download/

Nikki 2 09-09-2020 12:54 2933451
Цитата:
Цитата Sandor
Пройдитесь утилитой удаления, затем пробуйте ещё раз установить. »
Я про ссылку из этого поста.

Sandor 09-09-2020 12:58 2933453
Ага, я не так понял.
Верно, вот инструкция:
• Скачайте и запустите Malwarebytes Support Tool.
• Запустите, согласитесь с лицензионным соглашением, перейдите на вкладку Advanced и нажмите кнопку Clean.
• Перезагрузите компьютер при появлении запроса.

На всякий случай даю ссылку на полный перечень - Чистка системы после некорректного удаления антивируса.

Nikki 2 09-09-2020 13:57 2933461
Запускаю скачанный по вашей ссылке файл mb-support-1.7.0.827.exe, начинает что-то распаковываться, извлекаться или скачиваться, потом такое ощущение, что на половине обрывается и всё, дальше ничего не происходит. В общем Malwarebytes Support Tool как и Malwarebytes Anti-Malware установить не могу.

Sandor 09-09-2020 14:04 2933464
Что-либо другое (не из продукции Malwarebytes) устанавливается?

Nikki 2 09-09-2020 14:30 2933469
Да я в последнее время кроме Malwarebytes AdwCleaner и FRST вроде ни чего не устанавливал.
Да ещё в папке CrashDumps после каждой попытки запустить файл mb-support-1.7.0.827.exe, появляются файлы по 169 мб каждый, типа mb-support.exe.18336.dmp, mb-support.exe.1608.dmp и т. д. Я так понимаю с разными ошибками.

Sandor 09-09-2020 14:34 2933470
Попробуйте создать тему у них на форуме.
С дампами лучше разбираться самому разработчику.

Nikki 2 09-09-2020 15:09 2933476
Там у них всё на английском, будет время, может и попробую.
Может лучше попробовать со стороннего сайта полный дистрибутив Malwarebytes Anti-Malware скачать, не посоветуете какой нибудь надёжный сайт?

Sandor 09-09-2020 15:20 2933478
Цитата:
Цитата Nikki 2
всё на английском »
Не страшно, Гуглом переведёте. Качать всё же лучше от разработчика.


Время: 07:55.

Время: 07:55.
© OSzone.net 2001-