Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Утилита атрибутов грузит процессор (http://forum.oszone.net/showthread.php?t=351672)

Ahiles1427 06-08-2022 11:29 2989819
Утилита атрибутов грузит процессор
 
Вложений: 1
Здравствуйте, утилита атрибутов сильно грузит процессор, подвисает всё. Помогите пожалуйста.

Ahiles1427 06-08-2022 11:33 2989820
Извиняюсь, дополнение при запуске windows еще запускается браузер с рекламой, сайты всегда разные. Удаление из автозагрузки не помогает. Появляется снова.

Sandor 07-08-2022 13:46 2989870
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\Алексей\appdata\roaming\microsoft\windows\helper.exe');
 QuarantineFile('c:\users\Алексей\appdata\roaming\microsoft\windows\helper.exe', '');
 DeleteSchedulerTask('System\SystemCheck');
 DeleteSchedulerTask('Temp');
 DeleteSchedulerTask('Алексей');
 DeleteFile('c:\users\Алексей\appdata\roaming\microsoft\windows\helper.exe', '');
 DeleteFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Helper.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Алексей', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Алексей', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

Ahiles1427 07-08-2022 14:46 2989874
Вложений: 1
Скрипт выполнил.

Sandor 07-08-2022 20:49 2989898
Выглядит значительно лучше. Для верности ещё посмотрим так:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Ahiles1427 08-08-2022 15:23 2989939
Вложений: 2
Выполнил сканирование данным приложением.

Sandor 08-08-2022 15:52 2989941
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-19\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
    HKU\S-1-5-20\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
    HKU\S-1-5-18\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
    HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2780144412-3558766627-3082858257-1002\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2780144412-3558766627-3082858257-1004\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    CHR HomePage: Default -> hxxp://search.conduit.com/?gd=&ctid=CT3325593&octid=EB_ORIGINAL_CTID&ISID=M3714AE1F-33FA-4CD4-99E9-427DA710A152&SearchSource=55&CUI=&UM=5&UP=SP75657E1B-A7F3-4071-A486-1694CD10D4F7&SSPV=
    CHR StartupUrls: Default -> "hxxp://search.conduit.com/?gd=&ctid=CT3325593&octid=EB_ORIGINAL_CTID&ISID=M3714AE1F-33FA-4CD4-99E9-427DA710A152&SearchSource=55&CUI=&UM=5&UP=SP75657E1B-A7F3-4071-A486-1694CD10D4F7&SSPV="
    C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    U0 mfeavfk; отсутствует ImagePath
    U0 mfehidk; отсутствует ImagePath
    U0 mfewfpk; отсутствует ImagePath
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ahiles1427 08-08-2022 17:17 2989947
Вложений: 1
Выполнил.

Sandor 09-08-2022 08:10 2989985
Проблема решена?

Ahiles1427 09-08-2022 15:21 2990018
Да, большое спасибо!

Sandor 09-08-2022 15:38 2990021
Отлично! Тогда в завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ahiles1427 09-08-2022 18:13 2990027
Вложений: 1
Еще раз спасибо за помощь. Подскажите как в дальнейшем избежать данных проблем и откуда они возникли. Есть предположение, что это из-за репака Dirt Rally. Где-то читал, что на него жалуются.

Ahiles1427 09-08-2022 18:14 2990028
И как мне кажется, что проблемы возникли после установки данного приложения.

Sandor 10-08-2022 08:28 2990046
Да. В последнее время "популярный" способ заражения именно через всевозможные репаки.

Цитата:
Цитата Ahiles1427
как в дальнейшем избежать данных проблем »

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------------- [ P2P ] ---------------------------------
BitTorrent v.7.10.5.46211 Внимание! Клиент сети P2P с рекламным модулем!.
µTorrent v.3.5.5.46348 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 16.9.8 Full v.16.9.8 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.103.0.5060.134 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.02 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.


Читайте Рекомендации после лечения.


Время: 19:38.

Время: 19:38.
© OSzone.net 2001-