Решена Разгоняется куллер во время серфинга, загружается процессор на 100%, при старте выскакивают 2 cmd...

Тема в разделе "Лечение компьютерных вирусов", создана пользователем simply god, 22 май 2015.

Статус темы:
Закрыта.
  1. simply god
    Оффлайн

    simply god Пользователь

    Сообщения:
    87
    Симпатии:
    5
    Здравствуйте, мой отец любит качать всякие файлы со сторонних ресурсов, а все вирусы оставляет на меня, вот он скачал однажды что-то, я разобрался как смог, но все же всегда при старте виндовс выскакивает cmd и пропадает, потом открывается google chrome по ссылке
    Код (Text):
    http://ikristi.ru/?utm_source=uoua03
    Вчера он еще что то скачал, но теперь все стало плохо... В данный момент, когда я пишу сообщение, куллер на ноутбуке работает, помойму на максимум, до это го момента я зашел в диспетчер и увидел что проц работает на 100%, посмотрел кто забирает все ресурсы, была какято непонятная программа, я ее удалил и касперский я его выключил, куллер начал стихать, но не до конца. Вчера при каждом открытии браузера, касперский блочил какую-то ссылку

    [​IMG]
    [​IMG]
    Я решил отключить касперского на 1 заход, вошел в браузер, вышел, включил его и сообщения больше не было... Но сейчас куллер работает, я полагаю, более чем на 75% хотя я просто пишу это сообщение. Вышлите мне пожалуйста инструкции, что вам еще нужно предоставить, или ход моих действий.
    Вопрос, если я создам виртуалку, отец туда будет все эти вирусы качать, они же дальше виртуалки не уйдут? !!!! простите, создал тему 3 раза...
     
    Последнее редактирование модератором: 22 май 2015
  2. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
  3. simply god
    Оффлайн

    simply god Пользователь

    Сообщения:
    87
    Симпатии:
    5
    вот сделал логи
     

    Вложения:

  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    ClearQuarantineEx(true);
    TerminateProcessByName('c:\users\Егор\appdata\roaming\cpuminer\sgminer\sgminer.exe');
    QuarantineFile('C:\Users\Егор\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe', '');
    QuarantineFile('C:\Users\Егор\appdata\local\kometa\kometaup.exe', '');
    QuarantineFile('C:\Users\Егор\AppData\Roaming\cpuminer\sgminer\sgminer.cmd', '');
    QuarantineFile('C:\Users\Егор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Vernaja', '');
    QuarantineFile('c:\users\Егор\appdata\roaming\cpuminer\sgminer\sgminer.exe', '');
    QuarantineFileF('c:\users\Егор\appdata\roaming\cpuminer\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
    DeleteFile('c:\users\Егор\appdata\roaming\cpuminer\sgminer\sgminer.exe', '32');
    DeleteFile('C:\Users\Егор\AppData\Roaming\cpuminer\sgminer\sgminer.cmd', '32');
    DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search.job', '64');
    DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search2.job', '64');
    DeleteFile('C:\Windows\system32\Tasks\Update Service for Torrent Search2', '64');
    DeleteFile('C:\Users\Егор\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe', '32');
    DeleteFile('C:\Users\Егор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico');
    DeleteFileMask('c:\users\Егор\appdata\roaming\cpuminer\', '*', true);
    DeleteDirectory('c:\users\Егор\appdata\roaming\cpuminer\'); QuarantineFile('C:\Users\Егор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico', '');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'cpuminer-gpu');
    RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'pjehsayynv');
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
     
    после выполнения скрипта компьютер перезагрузится.

    Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.


    Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
    1. Запустите AVZ.
    2. Выполните обновление баз (Меню Файл - Обновление баз)
    3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
    4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
    5. Закачайте полученный архив, как описано на этой странице.
    6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
     
    Kиpилл нравится это.
  5. simply god
    Оффлайн

    simply god Пользователь

    Сообщения:
    87
    Симпатии:
    5
    quarantine.zip отправил. Держите новые логи, и информацию от adwCleaner. Сейчас займусь пополнением вашей базы данных. Спасибо вам! Буду ждать вашего ответа
     

    Вложения:

  6. simply god
    Оффлайн

    simply god Пользователь

    Сообщения:
    87
    Симпатии:
    5
  7. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.

    - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
     
  8. simply god
    Оффлайн

    simply god Пользователь

    Сообщения:
    87
    Симпатии:
    5
    вот 2 отчета:
     

    Вложения:

  9. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Код (Text):
    www.oursurfing.com
    Вам это знакомо?


    Для повторной диагностики запустите снова Autologger.
    В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
     
  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Koza Nozdri, это вирус прописывает.

    simply god, +
    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Удалить).
    • Подтвердите удаление нажав кнопку: Да.
     
    Kиpилл нравится это.
  11. simply god
    Оффлайн

    simply god Пользователь

    Сообщения:
    87
    Симпатии:
    5
    Koza Nozdri, вирусная ссылка да это у меня было при запуске браузера. regist, т.е. все? компьютер вылечен?
     
    Последнее редактирование модератором: 23 май 2015
  12. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    где?!
     
  13. simply god
    Оффлайн

    simply god Пользователь

    Сообщения:
    87
    Симпатии:
    5
    снова логи скинуть? вот держите, если вы имеете ввиду это:
     

    Вложения:

  14. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Здравствуйте!

    1) Удалите из Хрома расширение
    2) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    ClearQuarantineEx(true);
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Currency', 'command');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup', 'command');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleChromeAutoLaunch_5EB1FBD70A5504BDB97C1F60C07BB4FB', 'command');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update', 'command');
    RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\cpuminer-gpuj');
    RebootWindows(false);
    end.
     
    после выполнения скрипта компьютер перезагрузится.

    3) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

    4) Отпишитесь, что с проблемой?
     
  15. simply god
    Оффлайн

    simply god Пользователь

    Сообщения:
    87
    Симпатии:
    5
    простите что так долго не отвечал, вот логи, я не нашел этого расширения (проходил по доп. настройки > расширения)
     

    Вложения:

  16. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
  17. simply god
    Оффлайн

    simply god Пользователь

    Сообщения:
    87
    Симпатии:
    5
    вот, держите.
     

    Вложения:

    • FRST.txt
      Размер файла:
      37,1 КБ
      Просмотров:
      3
    • Addition.txt
      Размер файла:
      34,4 КБ
      Просмотров:
      1
    • Shortcut.txt
      Размер файла:
      130,6 КБ
      Просмотров:
      0
  18. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код (Text):
    start
    CreateRestorePoint:
    GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    CHR Extension: (Chrome Hotword Shared Module) - C:\Users\Егор\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-05-20]
    2015-05-23 17:56 - 2015-04-15 14:40 - 00000080 _____ () C:\Users\Егор\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦
    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    что с проблемой?
     
  19. simply god
    Оффлайн

    simply god Пользователь

    Сообщения:
    87
    Симпатии:
    5
    вот отчет, я думаю что уже все решено, т.к. компьютер больше не греется, да и всякие да и всякие вредоносные ссылки не открываются
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      1,6 КБ
      Просмотров:
      1
  20. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    папку C:\FRST удалите.

    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код (Text):
    var
    LogPath : string;
    ScriptPath : string;

    begin
    LogPath := GetAVZDirectory + 'log\avz_log.txt';
    if FileExists(LogPath) Then DeleteFile(LogPath);
    ScriptPath := GetAVZDirectory +'ScanVuln.txt';

    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
    ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
    exit;
    end;
    end;
    if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Выполните рекомендации после лечения.
     
Статус темы:
Закрыта.

Поделиться этой страницей