Резко стал сильно зависать ноутбук

Sandor · Отправлено: **07:57, 18-05-2020** | #2

Здравствуйте!

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

sluzhbin · Отправлено: **11:40, 18-05-2020** | #3

Всё сделал

Sandor · Отправлено: **11:54, 18-05-2020** | #4

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

Код:

;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
;---------command-block---------
bl 461ADE40B800AE80A40985594E1AC236 116736
zoo %SystemDrive%\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLL
delall %SystemDrive%\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLL
bl B8667A1E84567FCF7821BCEFB6A444AF 1545216
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\RFUSCLIENT.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWS\RFUSCLIENT.EXE
bl 37A8802017A212BB7F5255ABC7857969 1789440
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\RUTSERV.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWS\RUTSERV.EXE
apply

zoo %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
bl 740B7EA15590D48E6ABBC75D6F7FEA62 2084864
addsgn BA6F9BB2BDD5FF720B9C2D754C2124FBDA75303A02FFB5D18FC3813792F5BB0DD4C78774FE1196886F09810AEF1C4939355C045ABD5D982C2D3F21EFB30C9B65 8 Trojan.AutoIt.710 [DrWeb] 7

zoo %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AUDIODG.EXE
bl B674E20E041EB2A79BCF4927643D5F29 1015808
addsgn 1A54A79A5583338CF42B627DA804DEC9E946303A4536482E0EB7E1ACDB9A5558A86BE75BB59416982846BF61301E7202725D807155DABF96088B9563C7075174 8 Trojan.MulDrop6.49000 [DrWeb] 7

zoo %SystemDrive%\PROGRAMDATA\RUNDLL\SYSTEM.EXE
bl CA5B398FBE789DF7A81581C524CA1935 89600
addsgn 1A7F749A5583368CF42BFB3A88A212FA30F69CB689056A707AD645DC10D61945271703A82B2DFD092BD07B8A327609FA201CBDF9B95B5C082E77A445D0EE667A 8 Tool.PortScan.16 [DrWeb] 7

zoo %SystemDrive%\PROGRAMDATA\RUNDLL\RUNDLL.EXE
bl 4AA97DB59380FB799899E534B9D79EED 4897409
addsgn 1A97749A5583D38FF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Trojan.Siggen8.60071 [DrWeb] 7

chklst
delvir

regt 14
czoo
deltmp
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.

Соберите свежий образ автозапуска uVS. AutorunsVTchecker уже запускать не нужно.

sluzhbin · Отправлено: **12:33, 18-05-2020** | #5

Имя карантина: 2020.05.18_ZOO_2020-05-18_12-12-26_83a146d0606b731fe1d4d1b8e39ca81a.7z
Также прикладываю свежий образ автозапуска uVS
Вроде как все нормально уже (хотя рано радоваться не люблю), перестал тормозить ноут и работает хорошо. Спасибо огромное за помощь

Sandor · Отправлено: **12:38, 18-05-2020** | #6

Да, для верности покажите еще такие логи:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

sluzhbin · Отправлено: **13:08, 18-05-2020** | #7

Прикрепил

Sandor · Отправлено: **13:16, 18-05-2020** | #8

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-2695444196-4214483186-4181639049-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKU\S-1-5-21-2695444196-4214483186-4181639049-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-2695444196-4214483186-4181639049-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-2695444196-4214483186-4181639049-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-2695444196-4214483186-4181639049-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-2695444196-4214483186-4181639049-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-2695444196-4214483186-4181639049-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-2695444196-4214483186-4181639049-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-2695444196-4214483186-4181639049-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-2695444196-4214483186-4181639049-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-2695444196-4214483186-4181639049-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-2695444196-4214483186-4181639049-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-21-2695444196-4214483186-4181639049-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {3F3D08DD-3DC9-43AC-B4DA-2F5A9C6B9A52} - \Microsoft\Windows\Wininet\SystemC -> No File <==== ATTENTION
2020-05-14 21:33 - 2020-05-14 21:34 - 000000000 ____D C:\Users\Андрей\AppData\LocalLow\IObit
2020-05-14 21:33 - 2020-05-14 21:34 - 000000000 ____D C:\ProgramData\ProductData
2020-05-14 21:33 - 2020-05-14 21:33 - 000000000 ____D C:\Windows\Tasks\ImCleanDisabled
2020-05-14 21:31 - 2020-05-15 02:27 - 000000000 ____D C:\Program Files (x86)\IObit
2020-05-14 21:31 - 2020-05-15 01:40 - 000000000 ____D C:\ProgramData\IObit
2020-05-14 21:31 - 2020-05-14 21:34 - 000000000 ____D C:\Users\Андрей\AppData\Roaming\IObit
2020-05-12 16:03 - 2020-05-18 12:14 - 000000000 __SHD C:\Program Files\RDP Wrapper
2020-05-12 16:03 - 2020-05-12 16:03 - 000000000 ____D C:\Users\Все пользователи\Avira
2020-05-12 16:03 - 2020-05-12 16:03 - 000000000 ____D C:\Users\Все пользователи\663794589720129
2020-05-12 16:03 - 2020-05-12 16:03 - 000000000 ____D C:\Users\Андрей\AppData\Roaming\WinRAR
2020-05-12 16:03 - 2020-05-12 16:03 - 000000000 ____D C:\ProgramData\Avira
2020-05-12 16:03 - 2020-05-12 16:03 - 000000000 ____D C:\ProgramData\663794589720129
2020-05-12 16:02 - 2020-05-18 12:11 - 000000000 __SHD C:\Users\Все пользователи\WindowsTask
2020-05-12 16:02 - 2020-05-18 12:11 - 000000000 __SHD C:\Users\Все пользователи\RunDLL
2020-05-12 16:02 - 2020-05-18 12:11 - 000000000 __SHD C:\Users\Все пользователи\RealtekHD
2020-05-12 16:02 - 2020-05-18 12:11 - 000000000 __SHD C:\ProgramData\WindowsTask
2020-05-12 16:02 - 2020-05-18 12:11 - 000000000 __SHD C:\ProgramData\RunDLL
2020-05-12 16:02 - 2020-05-18 12:11 - 000000000 __SHD C:\ProgramData\RealtekHD
2020-05-12 16:02 - 2020-05-18 12:05 - 000000000 __SHD C:\Users\Все пользователи\Windows
2020-05-12 16:02 - 2020-05-18 12:05 - 000000000 __SHD C:\ProgramData\Windows
2020-05-12 16:02 - 2020-05-12 16:04 - 000000000 __SHD C:\Users\Все пользователи\Setup
2020-05-12 16:02 - 2020-05-12 16:04 - 000000000 __SHD C:\ProgramData\Setup
2020-05-12 16:02 - 2020-05-12 16:03 - 000000000 __SHD C:\Users\Все пользователи\install
2020-05-12 16:02 - 2020-05-12 16:03 - 000000000 __SHD C:\rdp
2020-05-12 16:02 - 2020-05-12 16:03 - 000000000 __SHD C:\ProgramData\install
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Users\Все пользователи\Norton
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Users\Все пользователи\Kaspersky Lab Setup Files
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Users\Все пользователи\Kaspersky Lab
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Users\Все пользователи\Doctor Web
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Users\Все пользователи\360safe
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\ProgramData\Norton
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\ProgramData\Doctor Web
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\ProgramData\360safe
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Program Files\SpyHunter
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Program Files\Malwarebytes
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Program Files\Enigma Software Group
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Program Files\COMODO
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Program Files\ByteFence
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Program Files\AVG
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Program Files\AVAST Software
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Program Files (x86)\AVG
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\Program Files (x86)\360
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\KVRT_Data
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 __SHD C:\AdwCleaner
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 ____D C:\ProgramData\System32
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 ____D C:\ProgramData\MB3Install
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 ____D C:\ProgramData\Malwarebytes
2020-05-12 16:02 - 2020-05-12 16:02 - 000000000 ____D C:\ProgramData\Indus
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
FirewallRules: [{8F648794-1CB8-47EE-87C2-AD8E1532F09C}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
FirewallRules: [{DB722F59-A65E-40AF-ABE0-C1FB2AD416B5}] => (Allow) LPort=3389
FirewallRules: [{9A113289-042A-42B0-8E36-D31964D06DC0}] => (Allow) LPort=3389
FirewallRules: [{B3580647-F7BE-4838-BEF4-E023273859D3}] => (Allow) D:\Downloads\bin\tools\aria2c.exe () [File not signed]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

sluzhbin · Отправлено: **13:30, 18-05-2020** | #9

Прикрепил

Sandor · Отправлено: **13:33, 18-05-2020** | #10

Понаблюдайте и, если все нормально, сделайте завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.