Решена нагружает процессор

Статус
В этой теме нельзя размещать новые ответы.

cyber_v4

Новый пользователь
Сообщения
22
Реакции
0
Добрый день, столкнулся с такой проблемой , через некоторое время после включения пк загружается процессор на 60% , хотя таких тяжелых прог не открыто совсем, в ДЗ показатель загружености процессора прыгает по разным прогам то скайп 40% ест то хром 50% , подскажите в чем может быть причина, заранее спасибо.
брэндмаур заблокирован, антивирусы не устанавливаются, думаю что kms был с вирусом, помогите его удалить
 
Последнее редактирование:
ок, вот логи
 

Вложения

  • CollectionLog-2019.03.21-21.17.zip
    120.2 KB · Просмотры: 5
Да у вас тут букет

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
{Исправление в службах в реестре, значения ImagePath.
Данный скрипт распространяется свободно и может быть модицифирован по согласованию с авторами - представителями SafeZone.cc
При публикации скрипта данный комментарий и ссылка на SafeZone.cc обязателена. }
var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String;
DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String;
ImagePathStr, RootStr, SubRootStr, LangID: string;
AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer;
FinishMsg, RestoreMsg, FixMsg, CheckMsg: String;
RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String;

procedure CheckAndRestoreSection(Root: String);
begin
Inc(AllRoots);
if RegKeyExistsEx('HKLM', Root) then
   RegKeyResetSecurity('HKLM', Root)
else
  begin
    Inc(RootsRestored);
    RegKeyCreate('HKLM', Root);
    AddToLog(RegSectMsg + Root + RestMsg);
   end;
end;

procedure CheckAndRestoreSubSection;
begin
  CheckAndRestoreSection(SubRootStr);
end;

procedure RestoredMsg(Root, Param: String);
begin
  AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg);
  Inc(KeysRestored);
end;

procedure FixedMsg(Root, Param: String);
begin
  AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg);
  Inc(KeysFixed);
end;

procedure RestoreStrParam(Root, Param, Value: String);
begin
  RegKeyStrParamWrite('HKLM', Root, Param, Value);
  RestoredMsg(Root, Param);
end;

procedure CheckAndRestoreStrParam(Root, Param, Value: String);
begin
  Inc(AllKeys);
  if not RegKeyParamExists('HKLM', Root, Param) then
    RestoreStrParam(Root, Param, Value);
end;

procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer);
begin
Inc(AllKeys);
if not RegKeyParamExists('HKLM', Root, Param) then
  begin
    RegKeyIntParamWrite('HKLM', Root, Param, Value);
    RestoredMsg(Root, Param);
  end;
end;

procedure CheckAndRestoreMultiSZParam(Param, Value: String);
begin
Inc(AllKeys);
if not RegKeyParamExists('HKLM', RootStr, Param) then
  begin
    ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true);
    RestoredMsg(RootStr, Param);
  end;
end;

// Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS'
procedure ImagePathFix(Node, Srv: String);
var RegStr: String;
begin
RegStr := 'SYSTEM\' + Node + '\Services\' + Srv;
if RegKeyExistsEx('HKLM', RegStr) then
  begin
    Inc(AllKeys);
    RegKeyResetSecurity('HKLM', RegStr);
    RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr);
    FixedMsg(RegStr, 'ImagePath');
  end;
end;

{ Выполнение исправление всех ключей в ветках -
   'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'}
procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String);
var FileServiceDll, CCSNumber: string;
     i : integer;
begin
if Srv = 'BITS' then
   FileServiceDll := FullPathSystem32 + 'qmgr.dll'
else
   FileServiceDll := FullPathSystem32 + 'wuauserv.dll';
RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv;

CheckAndRestoreSection(RootStr);

CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText);
CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText);
CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem');

Inc(AllKeys);
if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then
   RestoreStrParam(RootStr, 'ImagePath', ImagePathStr)
else
  begin
    Dec(AllKeys);
    if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then
      for i:= 0 to 999 do
       begin
         if i > 0 then
           CCSNumber := FormatFloat('ControlSet000', i)
         else
           CCSNumber := 'CurrentControlSet';
         ImagePathFix(CCSNumber, Srv);
      end;
   end;

CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1);
CheckAndRestoreIntParam(RootStr, 'Start', 2);
CheckAndRestoreIntParam(RootStr, 'Type', 32);

if Srv = 'BITS' then
  begin
    CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs');
    CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ');
  end;

SubRootStr:= RootStr + '\Enum';
CheckAndRestoreSubSection;

CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000');
CheckAndRestoreIntParam(SubRootStr, 'Count', 1);
CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1);

SubRootStr := RootStr + '\Security';
CheckAndRestoreSubSection;

Inc(AllKeys);
if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then
  begin
    RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00');
    RestoredMsg(SubRootStr, 'Security');
  end;

SubRootStr:= RootStr + '\Parameters';
CheckAndRestoreSubSection;

Inc(AllKeys);
if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then
  begin
    RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
    RestoredMsg(SubRootStr, 'ServiceDll');
  end
else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then
  begin
    RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
    FixedMsg(SubRootStr, 'ServiceDll');
  end
end;

{ Главное выполнение }
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\windows\rss\csrss.exe');
TerminateProcessByName('c:\users\v4nag\appdata\local\temp\csrss\lsa64.exe');
QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFile('c:\windows\rss\csrss.exe', '');
QuarantineFile('c:\users\v4nag\appdata\local\temp\csrss\lsa64.exe', '');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
QuarantineFile('C:\Users\v4nag\AppData\Local\Temp\csrss\lsa64install.exe', '');
QuarantineFile('C:\Users\v4nag\AppData\Local\Temp\csrss\scheduled.exe', '');
DeleteFile('c:\windows\rss\csrss.exe', '');
DeleteFile('c:\users\v4nag\appdata\local\temp\csrss\lsa64.exe', '');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
DeleteFile('C:\Windows\rss\csrss.exe', '32');
DeleteFile('C:\Windows\rss\csrss.exe', '64');
DeleteFile('C:\Users\v4nag\AppData\Local\Temp\csrss\lsa64install.exe', '64');
DeleteFile('C:\Users\v4nag\AppData\Local\Temp\csrss\scheduled.exe', '64');
ClearLog;
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg');
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg');
LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage');
if LangID = '0419' then
  begin
    DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.';
    DispayNameTextWuauServ := 'Автоматическое обновление';
    DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.';
    DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)';
    AddToLog('Операционная система - русская');
    FinishMsg := '–––– Восстановление завершено ––––';
    RestoreMsg := 'Восстановлено разделов\параметров: ';
    FixMsg := 'Исправлено параметров: ';
    CheckMsg := 'Проверено разделов\параметров: ';
    RegSectMsg := 'Раздел реестра HKLM\';
    ParamMsg := 'Параметр ';
    ParamValueMsg := 'Значение параметра ';
    InRegSectMsg := ' в разделе реестра HKLM\';
    CorrectMsg := ' исправлено на оригинальное.';
    RestMsg := 'восстановлен.';
  end
else if LangID = '0409' then
  begin
    DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.';
    DispayNameTextWuauServ := 'Automatic Updates';
    DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.';
    DispayNameTextBITS := 'Background Intelligent Transfer Service';
    AddToLog('Operation system - english');
    FinishMsg := '–––– Restoration finished ––––';
    RestoreMsg := 'Sections\parameters restored: ';
    FixMsg := 'Parameters corrected: ';
    CheckMsg := 'Sections\parameters checked: ';
    RegSectMsg := 'Registry section HKLM\';
    ParamMsg := 'Parameter ';
    ParamValueMsg := 'Value of parameter ';
    InRegSectMsg := ' in registry section HKLM\';
    CorrectMsg := ' corrected on original.';
    RestMsg := ' restored.';
  end;
AddToLog('');

{ Определение папки X:\Windows\System32\ }
NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory');
ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs';
Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1);
FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\';

AllRoots := 0;
AllKeys := 0;
RootsRestored := 0;
KeysRestored := 0;
KeysFixed := 0;

CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS');
CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv');

AddToLog('');
AddToLog(FinishMsg);
AddToLog('');
AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored));
AddToLog(FixMsg + IntToStr(KeysFixed));
AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys));
SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log');
QuarantineFile('c:\program files (x86)\aliybikxlie\escojcmetz.exe', '');
QuarantineFile('C:\Program Files (x86)\aliyBIkXlIE\jhdnJ.dll', '');
QuarantineFile('C:\Program Files (x86)\aliyBIkXlIE\kvjdzw4xg.dll', '');
QuarantineFile('C:\Program Files (x86)\aliyBIkXlIE\t9Ierg7p.dll', '');
QuarantineFile('C:\Program Files (x86)\BDaKbhYEU\FSDVuI.dll', '');
QuarantineFile('C:\Program Files (x86)\FIOIhwxDgWeVC\NEYeJPw.dll', '');
QuarantineFile('C:\Program Files (x86)\nckTEZzRemtVffbHobR\jTsGYbU.dll', '');
QuarantineFile('C:\Program Files (x86)\rpqKkZxEWouU2\BFVSIDLVzuFIY.dll', '');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
QuarantineFile('C:\ProgramData\UuBdWvPhYJRUMoVB\FgyXKcP.wsf', '');
QuarantineFile('c:\programdata\windowsmenu\westat.exe', '');
QuarantineFile('c:\users\v4nag\appdata\local\temp\csrss\lsa64.exe', '');
QuarantineFile('C:\Users\v4nag\AppData\Local\Temp\csrss\lsa64install.exe', '');
QuarantineFile('C:\Users\v4nag\AppData\Local\Temp\csrss\scheduled.exe', '');
QuarantineFile('c:\users\v4nag\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe', '');
QuarantineFile('c:\windows\rss\csrss.exe', '');
QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '');
QuarantineFile('c:\windows\windefender.exe', '');
DeleteFile('c:\program files (x86)\aliybikxlie\escojcmetz.exe', '32');
DeleteFile('C:\Program Files (x86)\aliyBIkXlIE\jhdnJ.dll', '32');
DeleteFile('C:\Program Files (x86)\aliyBIkXlIE\kvjdzw4xg.dll', '32');
DeleteFile('C:\Program Files (x86)\aliyBIkXlIE\t9Ierg7p.dll', '64');
DeleteFile('C:\Program Files (x86)\BDaKbhYEU\FSDVuI.dll', '64');
DeleteFile('C:\Program Files (x86)\FIOIhwxDgWeVC\NEYeJPw.dll', '64');
DeleteFile('C:\Program Files (x86)\nckTEZzRemtVffbHobR\jTsGYbU.dll', '64');
DeleteFile('C:\Program Files (x86)\rpqKkZxEWouU2\BFVSIDLVzuFIY.dll', '64');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
DeleteFile('C:\ProgramData\UuBdWvPhYJRUMoVB\FgyXKcP.wsf', '64');
DeleteFile('c:\programdata\windowsmenu\westat.exe', '32');
DeleteFile('C:\ProgramData\WindowsMenu\westat.exe', '64');
DeleteFile('c:\users\v4nag\appdata\local\temp\csrss\lsa64.exe', '32');
DeleteFile('C:\Users\v4nag\AppData\Local\Temp\csrss\lsa64install.exe', '64');
DeleteFile('C:\Users\v4nag\AppData\Local\Temp\csrss\scheduled.exe', '64');
DeleteFile('c:\users\v4nag\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe', '32');
DeleteFile('C:\Windows\rss\csrss.exe', '32');
DeleteFile('C:\Windows\rss\csrss.exe', '64');
DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '64');
DeleteFile('c:\windows\windefender.exe', '32');
DeleteFile('C:\Windows\windefender.exe', '64');
DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
DeleteDirectory('c:\program files (x86)\zaxar');
DeleteService('WinDefender');
DeleteSchedulerTask('AnVDoMYPdlSYoXw2');
DeleteSchedulerTask('augsijBPpDWbmS');
DeleteSchedulerTask('csrss');
DeleteSchedulerTask('dudWmRhRoqsSawPzq2');
DeleteSchedulerTask('esgLguAvYAzBucUaRbN2');
DeleteSchedulerTask('kQPOAcCRavYRc2');
DeleteSchedulerTask('lsa64');
DeleteSchedulerTask('Microsoft\QuickLaunch');
DeleteSchedulerTask('Microsoft\Windows\Starter');
DeleteSchedulerTask('ScheduledUpdate');
DelBHO('{BD8F5962-662E-40B7-B0ED-3822C5459682}');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CloudNet', 'x32');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CloudNet', 'x64');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'FloralLake', 'x32');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarLoader', 'x32');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Последнее редактирование модератором:
+
После выполнения скрипта AVZ на рабочем столе появится текстовый файл Correct_wuauserv&BITS.log. Его тоже необходимо прикрепить к следующему посту.
 
вот
повторно логи

 

Вложения

  • Correct_wuauserv&BITS.log
    1.9 KB · Просмотры: 3
  • CollectionLog-2019.03.22-13.21.zip
    109.6 KB · Просмотры: 2
  • AdwCleaner[S00].txt
    1.9 KB · Просмотры: 1
  • AdwCleaner[C00].txt
    1.9 KB · Просмотры: 2
Последнее редактирование:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
  • Like
Реакции: akok
вот
 

Вложения

  • FRST.txt
    239.3 KB · Просмотры: 1
  • Addition.txt
    58.6 KB · Просмотры: 1
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    BHO: YoutubeAdBlock -> {BD8F5962-662E-40B7-B0ED-3822C5459682} -> C:\Program Files (x86)\aliyBIkXlIE\t9Ierg7p.dll => No File
    C:\Users\v4nag\AppData\Local\Google\Chrome\User Data\Default\Extensions\ofohpmdcbdgcchmhmmcfdmbegompidlm
    C:\Users\v4nag\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\ofohpmdcbdgcchmhmmcfdmbegompidlm
    S3 Winmon; \??\C:\Windows\System32\drivers\Winmon.sys [X]
    S3 WinmonFS; \??\C:\Windows\System32\drivers\WinmonFS.sys [X]
    C:\Windows\System32\drivers\Winmon.sys
    C:\Windows\System32\drivers\WinmonFS.sys
    2019-03-19 01:00 - 2019-03-22 12:52 - 000000000 ____D C:\ProgramData\UuBdWvPhYJRUMoVB
    2019-03-19 00:59 - 2019-03-22 12:52 - 000000000 ____D C:\Program Files (x86)\rpqKkZxEWouU2
    2019-03-19 00:59 - 2019-03-22 12:52 - 000000000 ____D C:\Program Files (x86)\BDaKbhYEU
    2019-03-19 00:59 - 2019-03-22 12:52 - 000000000 ____D C:\Program Files (x86)\aliyBIkXlIE
    2019-03-19 00:59 - 2019-03-19 00:59 - 000000000 ____D C:\Program Files (x86)\mhShVMQuuTUn
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    Task: {A815C475-B9B1-41B4-93AD-DBDC606A50CB} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe (AVAST Software s.r.o. -> AVAST Software)
    FirewallRules: [{93E53206-1334-4FB8-99D0-162992E7EAA2}] => (Allow) C:\Windows\rss\csrss.exe No File
    FirewallRules: [{3DDCC849-C9BA-44EA-BA8C-DE9D28FD4AE0}] => (Allow) C:\Users\v4nag\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File
    FirewallRules: [{7AB8FF2C-EDCC-49FB-BE8A-B05E0E895475}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File
    FirewallRules: [{A19C61D3-2DA6-4ABE-94B4-5BBD90D95509}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File
    FirewallRules: [{E47BA2F5-ED1F-446C-81B8-CE72BAB62877}] => (Allow) C:\Users\v4nag\AppData\Local\Temp\csrss\lsa64.exe No File
    FirewallRules: [{44B871A6-75FA-4AB5-A384-F8D1DDDCF4B5}] => (Allow) C:\Users\v4nag\AppData\Local\Temp\csrss\lsa64.exe No File
    FirewallRules: [{ABFEEBB5-1D3E-4062-80EC-135058D36B57}] => (Allow) C:\Users\v4nag\AppData\Local\Temp\csrss\lsa64.exe No File
    FirewallRules: [{B27F5590-FC6E-477A-B042-EAA020304FA7}] => (Allow) C:\Users\v4nag\AppData\Local\Temp\csrss\lsa64.exe No File
    FirewallRules: [{42212BA0-7C09-4985-A350-652A96E8995C}] => (Allow) C:\Users\v4nag\AppData\Local\Temp\csrss\lsa64.exe No File
    FirewallRules: [{A90F141C-51FD-4F97-80F7-30A0F65CE33B}] => (Allow) C:\Users\v4nag\AppData\Local\Temp\csrss\lsa64.exe No File
    FirewallRules: [{8CB37E06-8026-4644-ADEE-8DAB79D000BB}] => (Allow) C:\Users\v4nag\AppData\Local\Temp\csrss\lsa64.exe No File
    FirewallRules: [{96D46406-2444-49EB-BC6E-79A7B687A494}] => (Allow) C:\Users\v4nag\AppData\Local\Temp\csrss\lsa64.exe No File
    FirewallRules: [{DB058047-2E19-4173-9B5C-B3F9AB0AD5A3}] => (Allow) C:\Users\v4nag\AppData\Local\Temp\csrss\lsa64.exe No File
    FirewallRules: [{4F1955EC-441E-4AC6-9BA2-FBE2057B8F70}] => (Allow) C:\Users\v4nag\AppData\Local\Temp\csrss\lsa64.exe No File
    FirewallRules: [{17A19228-BC1A-45FD-8096-C87FDC96DCEE}] => (Allow) C:\Users\v4nag\AppData\Local\Temp\csrss\lsa64.exe No File
    FirewallRules: [{FD25E891-D74B-4137-992E-16CF8D18A619}] => (Allow) C:\Users\v4nag\AppData\Local\Temp\csrss\lsa64.exe No File
    FirewallRules: [{92EF83FA-7329-487A-86C0-C57938C138B2}] => (Allow) C:\Users\v4nag\AppData\Local\Temp\csrss\lsa64.exe No File
    FirewallRules: [{7FCF9D12-73CF-4750-8B35-B491BF936DB4}] => (Allow) C:\Users\v4nag\AppData\Local\Temp\csrss\lsa64.exe No File
    FirewallRules: [{CDEE1BFC-E331-4303-849B-83449DEEB101}] => (Allow) C:\Users\v4nag\AppData\Local\Temp\csrss\lsa64.exe No File
    FirewallRules: [{31511053-7D77-4840-A5DA-D45900206B9A}] => (Allow) C:\Users\v4nag\AppData\Local\Temp\csrss\lsa64.exe No File
    FirewallRules: [{C093FEFD-4537-4F8D-9466-03EF3466FB72}] => (Allow) C:\Users\v4nag\AppData\Local\Temp\csrss\lsa64.exe No File
    FirewallRules: [{246F8BB7-3FE4-45F3-837A-2F7FEBD0F224}] => (Allow) C:\Users\v4nag\AppData\Local\Temp\csrss\lsa64.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
вот
 

Вложения

  • Fixlog.txt
    10.5 KB · Просмотры: 1
Что сейчас с проблемой?
 
брэндмакэр так и не разблокировался, нагрузка на процессор пока замечена не была, антивирус установился
подскажите был подключен еще 2 монитор, после проделанных операций, он перестал показывать изображение, хотя система его видит. из за чего такое может быть?
 

Вложения

  • 424.png
    424.png
    111.4 KB · Просмотры: 61
Последнее редактирование:
С этим вам нужно переместиться в системный раздел.
Здесь по лечению завершаем:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
вот
 

Вложения

  • SecurityCheck.txt
    8.9 KB · Просмотры: 1
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
NVIDIA GeForce Experience 3.17.0.126 v.3.17.0.126 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45146 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.73.0.3683.75 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Menu for Windows version 8.0 v.8.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!


Рекомендации после удаления вредоносного ПО

переместиться в системный раздел
То есть сюда - https://safezone.cc/forums/microsoft-windows-10.156/
 
СПасибо большое, очень выручили))
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу