Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Резко стал сильно зависать ноутбук (http://forum.oszone.net/showthread.php?t=345216)

sluzhbin 17-05-2020 11:55 2921493
Резко стал сильно зависать ноутбук
 
Здравствуйте. Резко стал сильно зависать ноутбук, хоть на нём и 2гб оперативы, но меня это устраивало, мне достаточно браузерной работы и просмотра фильмов. Решил потестить его на игры, поставил парочку. Игры старые, 2005 года, чисто ради интереса. Потом в определенный момент ноутбук стал очень дико лагать. Google Chrome открывается спустя пару минут, и то с жуткими лагами и постоянно "Не отвечает", да и просто при работе с Рабочим столом допустим или Моим Компьютером лаги есть приличные. Проверил диспетчер задач, с загрузкой ЦП и оперативки всё в норме. Думал может проблема с жёстким диском (P.S. ноут брал б/у, винду переустанавливал), но AIDA64 показала что всё в норме. Ставил программу для оптимизации, которая чистит все дела, но тоже не помогло. Также думал может связано с обновлениями Винды, но нет. Может кто-то подсказать что это может быть и в каком направлении копать? И как решить проблему. Есть вариант что словил какой-то майнер, но игры те качал с первый сайтов выдачи через торрент, на своём ПК к примеру уже не один год качаю и всё всегда было норм. !!! Кстати, при запуске диспетчера задач сразу показывает большую нагрузку, но потом сразу падает. И диспетчер задач почему-то закрывается сам спустя минуту примерно
P.S. Хотел собрать логи, но не вышло. Запустил автологгер с правами админа, нажал ОК и дальше ничего. Архива в папке нет. Антивируса нет у меня, брэндмауэр отключил

Sandor 18-05-2020 07:57 2921578
Здравствуйте!

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.

sluzhbin 18-05-2020 11:40 2921606
Всё сделал

Sandor 18-05-2020 11:54 2921609
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv6.1
    v400c
    ;---------command-block---------
    bl 461ADE40B800AE80A40985594E1AC236 116736
    zoo %SystemDrive%\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLL
    delall %SystemDrive%\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLL
    bl B8667A1E84567FCF7821BCEFB6A444AF 1545216
    zoo %SystemDrive%\PROGRAMDATA\WINDOWS\RFUSCLIENT.EXE
    delall %SystemDrive%\PROGRAMDATA\WINDOWS\RFUSCLIENT.EXE
    bl 37A8802017A212BB7F5255ABC7857969 1789440
    zoo %SystemDrive%\PROGRAMDATA\WINDOWS\RUTSERV.EXE
    delall %SystemDrive%\PROGRAMDATA\WINDOWS\RUTSERV.EXE
    apply

    zoo %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
    bl 740B7EA15590D48E6ABBC75D6F7FEA62 2084864
    addsgn BA6F9BB2BDD5FF720B9C2D754C2124FBDA75303A02FFB5D18FC3813792F5BB0DD4C78774FE1196886F09810AEF1C4939355C045ABD5D982C2D3F21EFB30C9B65 8 Trojan.AutoIt.710 [DrWeb] 7

    zoo %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AUDIODG.EXE
    bl B674E20E041EB2A79BCF4927643D5F29 1015808
    addsgn 1A54A79A5583338CF42B627DA804DEC9E946303A4536482E0EB7E1ACDB9A5558A86BE75BB59416982846BF61301E7202725D807155DABF96088B9563C7075174 8 Trojan.MulDrop6.49000 [DrWeb] 7

    zoo %SystemDrive%\PROGRAMDATA\RUNDLL\SYSTEM.EXE
    bl CA5B398FBE789DF7A81581C524CA1935 89600
    addsgn 1A7F749A5583368CF42BFB3A88A212FA30F69CB689056A707AD645DC10D61945271703A82B2DFD092BD07B8A327609FA201CBDF9B95B5C082E77A445D0EE667A 8 Tool.PortScan.16 [DrWeb] 7

    zoo %SystemDrive%\PROGRAMDATA\RUNDLL\RUNDLL.EXE
    bl 4AA97DB59380FB799899E534B9D79EED 4897409
    addsgn 1A97749A5583D38FF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Trojan.Siggen8.60071 [DrWeb] 7

    chklst
    delvir

    regt 14
    czoo
    deltmp
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.


Соберите свежий образ автозапуска uVS. AutorunsVTchecker уже запускать не нужно.

sluzhbin 18-05-2020 12:33 2921615
Имя карантина: 2020.05.18_ZOO_2020-05-18_12-12-26_83a146d0606b731fe1d4d1b8e39ca81a.7z
Также прикладываю свежий образ автозапуска uVS
Вроде как все нормально уже (хотя рано радоваться не люблю), перестал тормозить ноут и работает хорошо. Спасибо огромное за помощь

Sandor 18-05-2020 12:38 2921617
Да, для верности покажите еще такие логи:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

sluzhbin 18-05-2020 13:08 2921622
Вложений: 2
Прикрепил

Sandor 18-05-2020 13:16 2921623
Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-21-2695444196-4214483186-4181639049-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
    HKU\S-1-5-21-2695444196-4214483186-4181639049-1001\...\Policies\Explorer: [DisallowRun] 1
    HKU\S-1-5-21-2695444196-4214483186-4181639049-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
    HKU\S-1-5-21-2695444196-4214483186-4181639049-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
    HKU\S-1-5-21-2695444196-4214483186-4181639049-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
    HKU\S-1-5-21-2695444196-4214483186-4181639049-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
    HKU\S-1-5-21-2695444196-4214483186-4181639049-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
    HKU\S-1-5-21-2695444196-4214483186-4181639049-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
    HKU\S-1-5-21-2695444196-4214483186-4181639049-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
    HKU\S-1-5-21-2695444196-4214483186-4181639049-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
    HKU\S-1-5-21-2695444196-4214483186-4181639049-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
    HKU\S-1-5-21-2695444196-4214483186-4181639049-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
    HKU\S-1-5-21-2695444196-4214483186-4181639049-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {3F3D08DD-3DC9-43AC-B4DA-2F5A9C6B9A52} - \Microsoft\Windows\Wininet\SystemC -> No File <==== ATTENTION
    2020-05-14 21:33 - 2020-05-14 21:34 - 000000000 ____D C:\Users\Андрей\AppData\LocalLow\IObit
    2020-05-14 21:33 - 2020-05-14 21:34 - 000000000 ____D C:\ProgramData\ProductData
    2020-05-14 21:33 - 2020-05-14 21:33 - 000000000 ____D C:\Windows\Tasks\ImCleanDisabled
    2020-05-14 21:31 - 2020-05-15 02:27 - 000000000 ____D C:\Program Files (x86)\IObit
    2020-05-14 21:31 - 2020-05-15 01:40 - 000000000 ____D C:\ProgramData\IObit
    2020-05-14 21:31 - 2020-05-14 21:34 - 000000000 ____D C:\Users\Андрей\AppData\Roaming\IObit
    2020-05-12 16:03 - 2020-05-18 12:14 - 000000000 __SHD C:\Program Files\RDP Wrapper
    2020-05-12 16:03 - 2020-05-12 16:03 - 000000000 ____D C:\Users\Все пользователи\Avira
    2020-05-12 16:03 - 2020-05-12 16:03 - 000000000 ____D C:\Users\Все пользователи\663794589720129
    2020-05-12 16:03 - 2020-05-12 16:03 - 000000000 ____D C:\Users\Андрей\AppData\Roaming\WinRAR
    2020-05-12 16:03 - 2020-05-12 16:03 - 000000000 ____D C:\ProgramData\Avira
    2020-05-12 16:03 - 2020-05-12 16:03 - 000000000 ____D C:\ProgramData\663794589720129
    2020-05-12 16:02 - 2020-05-18 12:11 - 000000000 __SHD C:\Users\Все пользователи\WindowsTask
    2020-05-12 16:02 - 2020-05-18 12:11 - 000000000 __SHD C:\Users\Все пользователи\RunDLL
    2020-05-12 16:02 - 2020-05-18 12:11 - 000000000 __SHD C:\Users\Все пользователи\RealtekHD
    2020-05-12 16:02 - 2020-05-18 12:11 - 000000000 __SHD C:\ProgramData\WindowsTask
    2020-05-12 16:02 - 2020-05-18 12:11 - 000000000 __SHD C:\ProgramData\RunDLL
    2020-05-12 16:02 - 2020-05-18 12:11 - 000000000 __SHD C:\ProgramData\RealtekHD
    2020-05-12 16:02 - 2020-05-18 12:05 - 000000000 __SHD C:\Users\Все пользователи\Windows
    2020-05-12 16:02 - 2020-05-18 12:05 - 000000000 __SHD C:\ProgramData\Windows
    2020-05-12 16:02 - 2020-05-12 16:04 - 000000000 __SHD C:\Users\Все пользователи\Setup
    2020-05-12 16:02 - 2020-05-12 16:04 - 000000000 __SHD C:\ProgramData\Setup
    2020-05-12 16:02 - 2020-05-12 16:03 - 000000000 __SHD C:\Users\Все пользователи\install
    2020-05-12 16:02 - 2020-05-12 16:03 - 000000000 __SHD C:\rdp
    2020-05-12 16:02 - 2020-05-12 16:03 - 000000000 __SHD C:\ProgramData\install
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Users\Все пользователи\Norton
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Users\Все пользователи\Kaspersky Lab Setup Files
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Users\Все пользователи\Kaspersky Lab
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Users\Все пользователи\Doctor Web
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Users\Все пользователи\360safe
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\ProgramData\Norton
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\ProgramData\Doctor Web
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\ProgramData\360safe
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Program Files\SpyHunter
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Program Files\Malwarebytes
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Program Files\Kaspersky Lab
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Program Files\Enigma Software Group
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Program Files\COMODO
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Program Files\ByteFence
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Program Files\AVG
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Program Files\AVAST Software
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Program Files (x86)\AVG
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Program Files (x86)\360
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\KVRT_Data
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\AdwCleaner
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 ____D C:\ProgramData\System32
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 ____D C:\ProgramData\MB3Install
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 ____D C:\ProgramData\Malwarebytes
    2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 ____D C:\ProgramData\Indus
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    FirewallRules: [{8F648794-1CB8-47EE-87C2-AD8E1532F09C}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
    FirewallRules: [{DB722F59-A65E-40AF-ABE0-C1FB2AD416B5}] => (Allow) LPort=3389
    FirewallRules: [{9A113289-042A-42B0-8E36-D31964D06DC0}] => (Allow) LPort=3389
    FirewallRules: [{B3580647-F7BE-4838-BEF4-E023273859D3}] => (Allow) D:\Downloads\bin\tools\aria2c.exe () [File not signed]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

sluzhbin 18-05-2020 13:30 2921627
Вложений: 1
Прикрепил

Sandor 18-05-2020 13:33 2921628
Понаблюдайте и, если все нормально, сделайте завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

sluzhbin 18-05-2020 19:42 2921671
Спасибо большое Вам за помощь! Работает ноутбук хорошо и без нареканий


Время: 23:57.

Время: 23:57.
© OSzone.net 2001-