Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Regsvr32.exe загружает процессор (http://forum.oszone.net/showthread.php?t=332245)

Кирилл7003 01-01-2018 15:24 2788356
Regsvr32.exe загружает процессор
 
выполнил все инструкции из темы - http://forum.oszone.net/nextoldesttothread-275591.html . после - AVZ, меню "Файл - Выполнить скрипт" - процесс удаляется, но после перезагрузки возникает снова. что еще предпринять

Sandor 01-01-2018 19:59 2788409
Здравствуйте!

Инструкции пишутся индивидуально.

Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

Кирилл7003 02-01-2018 06:03 2788502
Sandor, инструкции по ссылке выполнил. лог прикрепил.

Кирилл7003 05-01-2018 06:56 2789033
Здравствуйте. Никаких новостей не появилось? Может я не то прикрепил?

Sandor 05-01-2018 19:45 2789156
Извините, праздники, все-таки... :)

Дополнительно:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Кирилл7003 06-01-2018 06:30 2789252
Sandor, это вы меня извините за назойливость (на сайте впервые и нюансов не знаю). Скачал, запустил, просканировал, прикрепил.

Sandor 08-01-2018 09:54 2789676
1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome
      и нажмите Ok.
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Кирилл7003 13-01-2018 05:06 2790954
AdwCleaner (by Malwarebytes) - "Clean" ("Очистить") - система зависает и "лечится" только принудительным выключением (пытался дважды, отчеты прилагаю)

Кирилл7003 13-01-2018 05:21 2790955
Sandor, отчеты Farbar Recovery Scan Tool (Shortcut.txt в архиве из-за размера более 100кб

regist 14-01-2018 22:45 2791404
Цитата:
Цитата Кирилл7003
выполнил все инструкции из темы - http://forum.oszone.net/nextoldesttothread-275591.html . »
Удивительно, как вы со всей свой самодеятельностью себе систему не убили.

RogueKiller, HitmanPro, Malwarebytes Anti-Malware, AusLogics BoostSpeed 8.0.2.0 - удалите.

+
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите File (Файл) Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.

Что с проблемой?

Кирилл7003 19-01-2018 17:42 2792574
Цитата:
Цитата regist
RogueKiller, HitmanPro, Malwarebytes Anti-Malware, AusLogics BoostSpeed 8.0.2.0 »
удалил

Цитата:
Цитата regist
adwcleaner.exe
Нажмите File (Файл) Uninstall (Деинсталлировать) »
удалил

так как Regsvr32.exe появляется не сразу, а через неравные промежутки - мониторю Диспетчер задач

Кирилл7003 19-01-2018 19:22 2792589
через 1,5 часа появился вновь (может запустить AutoLogger во время "работы" Regsvr32.exe - и пойти по кругу по вашим рекомендациям

Sandor 20-01-2018 10:11 2792650
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.

Кирилл7003 20-01-2018 16:10 2792708
лог

Sandor 20-01-2018 16:33 2792711
Цитата:
Цитата Кирилл7003
AusLogics BoostSpeed 8.0.2.0 »
удалил »
Однако в перечне установленных все равно есть.

Также удалите
Цитата:
Surfing Protection
Следы Avast очистите по соотв. инструкции:
Чистка системы после некорректного удаления антивируса.

У Вас зачем-то дважды в автозагрузке прописана AVZ. Делали так самостоятельно?
[list=1][*]Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.[*]Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".[*]Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:
;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
bl B35E747D66D0F483457DFDD2DEB8D6FD 3046688
zoo %SystemDrive%\PROGRAM FILES (X86)\IOBIT\LIVEUPDATE\LIVEUPDATE.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\IOBIT\LIVEUPDATE\LIVEUPDATE.EXE
delref %Sys32%\DRIVERS\HITMANPRO37.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\4.2.0\DRIVERBOOSTER.EXE
apply

czoo
restart
[*]В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."[*]Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

Подробнее читайте в этом руководстве.


Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.

Затем соберите и прикрепите свежий лог uVS.

Кирилл7003 21-01-2018 06:19 2792792
AusLogics BoostSpeed - удалил
Surfing Protection - стандартными средствами (через панель управления) - не удаляется - пишет, что программа уже удалена
Avast - следы удалил
дважды в автозагрузке прописана AVZ - возможно случайно или по незнанию

Кирилл7003 21-01-2018 06:50 2792793
Вложений: 1
все выполнил ( Regsvr32.exe - после перезагрузки сразу появился

Sandor 22-01-2018 09:37 2793005
Цитата:
Цитата Кирилл7003
Regsvr32.exe - после перезагрузки сразу появился »
Он появляется на время или постоянно "висит"?
Если первое, нагрузка при его пропадании падает?

Sandor 22-01-2018 12:50 2793046
+
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Кирилл7003 23-01-2018 16:21 2793288
Цитата:
Цитата Sandor
Он появляется на время или постоянно "висит"?
Если первое, нагрузка при его пропадании падает? »
не знаю как долго бы он "провисел" (в момент обнаружения - грузил процессор не менее часа), я когда его замечаю - завершаю принудительно. процессор нагружает милосердно - на 20-25%.

Кирилл7003 23-01-2018 17:01 2793309
Вложений: 1
логи

Sandor 23-01-2018 17:06 2793312
Пофиксите в HijackThis следующую строчку:
Код:
O22 - Task: 5F4EB93A-2178-87C2-4A55-3366F2D4DB40 - C:\Windows\SysWOW64\regsvr32.exe /n /s /i:"/537b86287a1e09cc /q" "C:\Users\User\AppData\Local\1F303638-9E46-67B9-B90F-043F5581370F\{381F73A9-CDDB-561D-9145-2F279D53A431}.."
Затем повторите еще раз CollectionLog

Кирилл7003 27-01-2018 07:19 2794023
Вложений: 1
Цитата:
Цитата Sandor
Пофиксите в HijackThis следующую строчку: »
такой строки в логе HiJackThis нет. лог прилагаю.

Sandor 29-01-2018 09:34 2794306
Конечно ее нет. Утилиту нужно запускать из папки Автологера:
Цитата:
...\Autologger\Hijackthis\hijackthis.exe

Кирилл7003 29-01-2018 16:39 2794404
Вложений: 1
лог (надеюсь в этот раз ничего не попутал

Sandor 29-01-2018 16:42 2794405
Все правильно. Что сейчас с проблемой?

Кирилл7003 02-02-2018 08:46 2795238
спасибо. проблема решена.

Sandor 02-02-2018 09:46 2795242
Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


Время: 13:41.

Время: 13:41.
© OSzone.net 2001-