Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   скрытый вирус грузит ЦП на 100, при открытии диспетчера все проходит (http://forum.oszone.net/showthread.php?t=330633)

mnnmnmmn@vk 20-10-2017 01:32 2771904
скрытый вирус грузит ЦП на 100, при открытии диспетчера все проходит
 
Вложений: 1
Началось неделю назад примерно, выскакивал куча рекламы в браузере, в диспетчере всечто нашел по удалял, реклама все равно открывалась тогда я открыл проксифаер и нашел ещё несколько программ пытающихся зайти в инет, так же их удалил, в итоге осталась реклама в хроме при открытии закрытии вкладок и просто нажимая на пустые места, и остался этот скрытый вирус который грузит систему на 100%

mnnmnmmn@vk 20-10-2017 02:13 2771906
через монитор ресурсов увидел что при закрытии диспетчера зада,цп начинают грузить два одинаковых файла windir.exe только при открытии закрытии диспетчера id их постоянно меняются

Sandor 20-10-2017 08:34 2771934
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\ProgramData\System32\Logs\servise.exe');
 TerminateProcessByName('C:\ProgramData\WindowsTask\windir.exe');
 TerminateProcessByName('c:\users\89\appdata\local\temp\csrss\proxy\tor\tor.exe');
 TerminateProcessByName('c:\windows\system32\hale.exe');
 TerminateProcessByName('C:\Windows\Temp\g5E36.tmp.exe');
 StopService('TCPSvc');
 QuarantineFile('C:\Program Files\ATI\AUJQAJHRTR\VEQWCAAREP.exe', '');
 QuarantineFile('C:\ProgramData\0036458fe7674c3f83c9c2ac15fb886e\chipset.exe', '');
 QuarantineFile('C:\ProgramData\91d21502ed034ab1bb7e9a98d54adb01\chipset.exe', '');
 QuarantineFile('C:\ProgramData\91d21502ed034ab1bb7e9a98d54adb01\PTEPRESOCG.exe', '');
 QuarantineFile('C:\ProgramData\System32\Logs\servise.exe', '');
 QuarantineFile('C:\ProgramData\WindowsTask\windir.exe', '');
 QuarantineFile('C:\Users\89\AppData\Local\081a1314444b49a09887f95e4b5d337f\chipset.exe', '');
 QuarantineFile('C:\Users\89\AppData\Local\446b880b69e4463b95537f57d66df96c\chipset.exe', '');
 QuarantineFile('c:\users\89\appdata\local\temp\csrss\proxy\tor\tor.exe', '');
 QuarantineFile('C:\Users\89\AppData\Local\Temp\e3ddad81fdf84a01999deecb3988e8cd\chipset.exe', '');
 QuarantineFile('C:\Users\89\AppData\Roaming\3a04a4f8800646f2b6f10c4d794bbfcd\chipset.exe', '');
 QuarantineFile('C:\Users\89\AppData\Roaming\4abcd95c65c640c9a0cb08be7bff222d\chipset.exe', '');
 QuarantineFile('C:\Users\89\AppData\Roaming\6124773a27944022b717bd3d0c10d5df\chipset.exe', '');
 QuarantineFile('C:\Users\89\AppData\Roaming\dc6d8a7569d74a929573fa8d76baf1a5\chipset.exe', '');
 QuarantineFile('c:\windows\system32\hale.exe', '');
 QuarantineFile('C:\Windows\Temp\g5E36.tmp.exe', '');
 DeleteFile('C:\Program Files\ATI\AUJQAJHRTR\VEQWCAAREP.exe', '32');
 DeleteFile('C:\ProgramData\0036458fe7674c3f83c9c2ac15fb886e\chipset.exe', '32');
 DeleteFile('C:\ProgramData\91d21502ed034ab1bb7e9a98d54adb01\chipset.exe', '32');
 DeleteFile('C:\ProgramData\91d21502ed034ab1bb7e9a98d54adb01\PTEPRESOCG.exe', '32');
 DeleteFile('C:\ProgramData\System32\Logs\servise.exe', '32');
 DeleteFile('C:\ProgramData\WindowsTask\windir.exe', '32');
 DeleteFile('C:\Users\89\AppData\Local\081a1314444b49a09887f95e4b5d337f\chipset.exe', '32');
 DeleteFile('C:\Users\89\AppData\Local\446b880b69e4463b95537f57d66df96c\chipset.exe', '32');
 DeleteFile('C:\Users\89\AppData\Local\f455f3647c6f402a8e60bb66c44e6f51\chipset.exe', '32');
 DeleteFile('c:\users\89\appdata\local\temp\csrss\proxy\tor\tor.exe', '32');
 DeleteFile('C:\Users\89\AppData\Local\Temp\e3ddad81fdf84a01999deecb3988e8cd\chipset.exe', '32');
 DeleteFile('C:\Users\89\AppData\Roaming\3a04a4f8800646f2b6f10c4d794bbfcd\chipset.exe', '32');
 DeleteFile('C:\Users\89\AppData\Roaming\4abcd95c65c640c9a0cb08be7bff222d\chipset.exe', '32');
 DeleteFile('C:\Users\89\AppData\Roaming\6124773a27944022b717bd3d0c10d5df\chipset.exe', '32');
 DeleteFile('C:\Users\89\AppData\Roaming\dc6d8a7569d74a929573fa8d76baf1a5\chipset.exe', '32');
 DeleteFile('c:\windows\system32\hale.exe', '32');
 DeleteFile('C:\Windows\Temp\g5E36.tmp.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_BZ" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_CA" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_HH" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_LH" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_NX" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_SU" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_TG" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_UP" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_VO" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_WT" /F', 0, 15000, true);
 DeleteService('TCPSvc');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'oypllaplep');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'PTEPRESOCG.exe');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'service');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'VEQWCAAREP.exe');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(13);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

mnnmnmmn@vk 20-10-2017 13:12 2771983
Вложений: 1
цп больше не грузит, вроде все прошло) спасибище)

Sandor 20-10-2017 13:35 2771985
Не спешите.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('C:\Windows\Temp\gE475.tmp.exe');
 QuarantineFile('C:\Windows\Temp\gE475.tmp.exe', '');
 DeleteFile('C:\Windows\Temp\gE475.tmp.exe', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

mnnmnmmn@vk 20-10-2017 14:11 2771994
Вложений: 1
сначала комп не хотел запускать адвклинер, писало заблокировано в целях защиты, в панели усправления в редакторе локальной груповой политики разрешил, и запустилось от имени адменистратора

mnnmnmmn@vk 20-10-2017 14:17 2771995
при загрузке ноута заметил что в самом начале выскакивает выбор что запустить(вин7 и еще какието 2 строки для выбора) не успел прочесть по тому что появляется на мгновенье и резко исчерает

Sandor 20-10-2017 14:21 2771997
1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Файл Hosts
    • Политики IE
    • Политики Chrome
      и нажмите Ok.
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

mnnmnmmn@vk 20-10-2017 14:32 2772000
Вложений: 4
файл Shortcut.txt не создался

Sandor 20-10-2017 14:43 2772001
Через Панель управления - Удаление программ - удалите нежелательное ПО:
Цитата:
SafeFinder
Secure Driver Updater - если не самостоятельно ставили, тоже удалите.

Затем:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ATTENTION
    HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ATTENTION
    HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ATTENTION
    HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ATTENTION
    HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ATTENTION
    HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ATTENTION
    HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ATTENTION
    HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ATTENTION
    HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ATTENTION
    HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ATTENTION
    HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ATTENTION
    HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ATTENTION
    HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ATTENTION
    HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ATTENTION
    HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ATTENTION
    HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ATTENTION
    HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ATTENTION
    HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ATTENTION
    HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ATTENTION
    HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ATTENTION
    HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ATTENTION
    HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ATTENTION
    HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ATTENTION
    HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ATTENTION
    HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ATTENTION
    HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ATTENTION
    HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ATTENTION
    HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ATTENTION
    HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ATTENTION
    HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ATTENTION
    HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ATTENTION
    HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ATTENTION
    HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION
    HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ATTENTION
    HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ATTENTION
    HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ATTENTION
    HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ATTENTION
    HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ATTENTION
    HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ATTENTION
    HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ATTENTION
    HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ATTENTION
    HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ATTENTION
    HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ATTENTION
    HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ATTENTION
    HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    AppInit_DLLs: C:\ProgramData\Subair\Namhold.dll => No File
    AppInit_DLLs-x32: C:\ProgramData\Subair\Damdax.dll => No File
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    GroupPolicy\User: Restriction <==== ATTENTION
    Hosts:
    SearchScopes: HKU\S-1-5-21-2765936551-2667526510-2789033726-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BFA5E264E-5037-4127-8C65-CDB4E152BEB4%7D&gp=811014
    Toolbar: HKU\S-1-5-21-2765936551-2667526510-2789033726-1000 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} -  No File
    FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
    FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
    FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=8CE40919BE8D398C4FA77CD13385524E&utm_d=20171016
    FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?fr=ntg&product_id=%7B3BDEA89A-F9D6-4A59-ADBD-2850BADC7377%7D&gp=811014
    FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> C:\ProgramData\Subairs\ff.NT
    FF Extension: (Домашняя страница Mail.Ru) - C:\Users\89\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-10-17]
    FF Extension: (Поиск@Mail.Ru) - C:\Users\89\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-10-17]
    FF Extension: (Пульт) - C:\Users\89\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-10-17]
    C:\Users\89\AppData\Local\Google\Chrome\User Data\Default\Extensions\knmnopfmccchnnfdoiddbihbcboeedll
    C:\Users\89\AppData\Roaming\Opera Software\Opera Stable\Extensions\llkfnldljepopholdohmfjjlofppajii
    2017-10-19 00:00 - 2017-10-20 00:00 - 000000000 ____D C:\Users\Все пользователи\0036458fe7674c3f83c9c2ac15fb886e
    2017-10-19 00:00 - 2017-10-20 00:00 - 000000000 ____D C:\ProgramData\0036458fe7674c3f83c9c2ac15fb886e
    2017-10-19 00:00 - 2017-10-19 00:00 - 000000000 ____D C:\Users\89\AppData\Roaming\6124773a27944022b717bd3d0c10d5df
    2017-10-19 00:00 - 2017-10-19 00:00 - 000000000 ____D C:\Users\89\AppData\Roaming\4abcd95c65c640c9a0cb08be7bff222d
    2017-10-19 00:00 - 2017-10-19 00:00 - 000000000 ____D C:\Users\89\AppData\Local\f455f3647c6f402a8e60bb66c44e6f51
    2017-10-19 00:00 - 2017-10-19 00:00 - 000000000 ____D C:\Users\89\AppData\Local\081a1314444b49a09887f95e4b5d337f
    2017-10-17 00:49 - 2017-10-20 12:58 - 000000000 ____D C:\Users\89\AppData\Roaming\dc6d8a7569d74a929573fa8d76baf1a5
    2017-10-17 00:49 - 2017-10-20 12:58 - 000000000 ____D C:\Users\89\AppData\Roaming\3a04a4f8800646f2b6f10c4d794bbfcd
    2017-10-17 00:49 - 2017-10-18 00:00 - 000000000 ____D C:\Users\89\AppData\Local\446b880b69e4463b95537f57d66df96c
    2017-10-16 23:17 - 2017-10-20 12:58 - 000000000 ____D C:\Users\Все пользователи\WindowsTask
    2017-10-16 23:17 - 2017-10-20 12:58 - 000000000 ____D C:\ProgramData\WindowsTask
    2017-10-16 23:17 - 2017-10-17 14:58 - 000000000 ____D C:\Users\Все пользователи\temps
    2017-10-16 23:17 - 2017-10-17 14:58 - 000000000 ____D C:\ProgramData\temps
    Task: {4E82B1D1-73AC-4900-BA31-4DCAEBF8E1AC} - System32\Tasks\SHAlph => C:\Windows\system32\rundll32.exe "C:\Program Files\SHAlph\SHAlph.dll",QdbtVVGvNL <==== ATTENTION
    FirewallRules: [{84D73AFC-4CFE-4CDB-B67A-F82B9404A084}] => (Allow) C:\Users\89\AppData\Local\MediaGet2\mediaget.exe
    FirewallRules: [{649C1069-725D-464B-B413-3CB1A8332AD5}] => (Allow) C:\Users\89\AppData\Local\MediaGet2\mediaget.exe
    FirewallRules: [{3E7D094E-A0DD-4FDA-9574-F3ED8DFB4BDD}] => (Allow) C:\Program Files\UBar\ubar.exe
    FirewallRules: [{93CAA842-3B3E-43C6-B1A0-90433BD42259}] => (Allow) C:\Windows\rss\csrss.exe
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

mnnmnmmn@vk 20-10-2017 14:58 2772010
Вложений: 1
SafeFinder не удалилась, в списке так и висит, жму на нее снова правой ктнопко (изменит\удалить) чтото грузится но не выскакивает окно с выбором изменить либо удалить

mnnmnmmn@vk 20-10-2017 14:59 2772011
Вложений: 1
SafeFinder не удалилась так и висит в списке, пытаюсь снова удалить невыскакивает окно с выбором удалить или изменить

Sandor 20-10-2017 15:23 2772016
Удалите принудительно, например, через Revo Uninstall.

mnnmnmmn@vk 20-10-2017 19:57 2772063
Вложений: 1
удалил

mnnmnmmn@vk 20-10-2017 20:13 2772067
Вложений: 1
при загрузке виндовс изменился вид на такой

mnnmnmmn@vk 20-10-2017 20:28 2772069
Вложений: 1
и в самом начале загрузки выскакивает такое на мгновенье

Sandor 20-10-2017 21:20 2772080
Компьютер - Свойства - Дополнительные параметры системы - вкладка Дополнительно - раздел Загрузка и восстановление - Параметры.
В выпадающем списке выберите Windows 7, а галочку Отображать список операционных систем - уберите.

mnnmnmmn@vk 20-10-2017 21:51 2772092
Огромное тебе чувак спасибище)

Sandor 21-10-2017 15:39 2772189
В завершение:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

mnnmnmmn@vk 21-10-2017 21:47 2772273
Вложений: 1
вот

mnnmnmmn@vk 22-10-2017 11:05 2772367
какието сильные лаги остались, сейчас например открываю мой компьютер,он не открывается,грузится и зависает

mnnmnmmn@vk 22-10-2017 11:47 2772383
И при каждом выключении идёт почти часовая загрузка обновлений, когда включаю на 35% пишет не удалось настроить обновление и снова на круг, это может быть остаточное от вируса?

Sandor 22-10-2017 19:10 2772509
------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
Foxit Reader v.8.0.6.909 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.24.0.0.180 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.17.9.0.2081 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Opera Stable 48.0.2685.39 v.48.0.2685.39 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.0.1.2130 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Цитата:
Цитата mnnmnmmn@vk
открываю мой компьютер,он не открывается,грузится и зависает »
В безопасном режиме такое тоже наблюдаете?

mnnmnmmn@vk 22-10-2017 19:45 2772522
Нет, такое и в обычном режиме через раз наблюдается, можно как-то отменить это обновление? Каждый раз больше чем по пол часа выключается комп

mnnmnmmn@vk 22-10-2017 20:01 2772527
Да и что-то таскал перестал часто срабатывать, либо иногда с подписанием больше секунды

mnnmnmmn@vk 22-10-2017 21:32 2772550
И тормозить начал очень жёстко

Sandor 23-10-2017 08:36 2772618
Цитата:
Цитата mnnmnmmn@vk
такое и в обычном режиме через раз наблюдается »
Если так, то похоже на проблемы с "железом" - память, HDD и т.п. Проконсультируйтесь в системном разделе.


Время: 10:14.

Время: 10:14.
© OSzone.net 2001-