Решена Компьютер тормозит

Статус
В этой теме нельзя размещать новые ответы.

Human7kkk

Новый пользователь
Сообщения
16
Реакции
0
Провожу время за компьютером, вдруг ни с того ни с сего все вдруг тормозит, я удивился, полез в диспетчер задач и заметил, что задача system неприлично сильно нагружает жёсткий диск (5,5 мб/с который светился красным, такое у меня впервые), хотя все время до этого максимум доходило до оранжевого и тормозов таких сильных как в этот раз не было, причем я ничего не менял, не трогал, просто смотрел очередное видео на ютубе, как и до этого. В итоге решил посмотреть, что за файл так нагрузил диск, что аж компьютер затормозил и наткнулся на это. Решил проверить, не вирус ли и в интернете нашел только это. Так же посмотрел по правам и не знаю, должно ли так быть или нет, но полный доступ имеет только trustedinstaller и никак изменить нельзя ни его права, ни мои. Теперь же хочется узнать, что скажут знатоки и вот пишу этот вопрос, так как обладаю малыми знаниями, поэтому прошу не реагировать на меня плохо.
 

Вложения

  • IMG_20210501_030038.jpg
    IMG_20210501_030038.jpg
    232.6 KB · Просмотры: 44
  • IMG_20210501_030059.jpg
    IMG_20210501_030059.jpg
    177.7 KB · Просмотры: 45
  • IMG_20210501_030107.jpg
    IMG_20210501_030107.jpg
    222.4 KB · Просмотры: 47
  • IMG_20210501_025416.jpg
    IMG_20210501_025416.jpg
    188.5 KB · Просмотры: 46
  • IMG_20210501_025510.jpg
    IMG_20210501_025510.jpg
    237 KB · Просмотры: 45
  • IMG_20210501_030009.jpg
    IMG_20210501_030009.jpg
    209.7 KB · Просмотры: 49
  • IMG_20210501_030027.jpg
    IMG_20210501_030027.jpg
    197.2 KB · Просмотры: 47
@Human7kkk, здравствуйте!

Давайте для начала проверим, нет ли чего нехорошего в системе. Для этого прочтите и выполните Правила оформления запроса о помощи
Я не понимаю, что именно скачивать из автологера, мне предлагают zip, exe и прочее, а когда пытаюсь открыть, то не знаю с чего открывать.
 
Давайте прочтём правила вместе:
  • Распакуйте архив автоматического сборщика логов в любую удобную для Вас папку.
  • После распаковки у вас появится файл AutoLogger.exe, запустите его и следуйте выводимым рекомендациям.
  • Дождитесь окончания работы сбора логов.
  • По окончанию работы в папке AutoLogger, расположенной там же, куда распаковали архив, вы найдёте новый архив со своими логами. Архив имеет имя CollectionLog-yyyy.mm.dd-hh.mm. Где yyyy.mm.dd-hh.mm - дата и время запуска сканирования. Например: CollectionLog-2017.10.30-22.15
Что здесь вам непонятно?
 
Вот
1620037346896.png
 
Прошу прощения за долгое отсутствие, нужно было уехать по делам, да и думаю что это не так уж здесь и важно. В общем, не знаю, правильно ли я сделал, но вот что получилось.
 

Вложения

  • CollectionLog-2021.05.13-01.25.zip
    74.7 KB · Просмотры: 2
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Иван\AppData\Roaming\nssm.exe','');
 DeleteFile('C:\Users\Иван\AppData\Roaming\nssm.exe','64');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O2 - HKLM\..\BHO: IESpeakDoc - {8D10F6C4-0E01-4BD4-8601-11AC1FDF8126} - (no file)
O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O9 - Button: HKLM\..\{7815BE26-237D-41A8-A98F-F7BD75F71086}: (no name) - (no file)
O22 - Task: \Microsoft\Windows\MobilePC\HotStart - {06DA0625-9701-43da-BFD7-FBEEA2180A1E} - (no file)
O22 - Task: \Microsoft\Windows\SideShow\GadgetManager - {FF87090D-4A9A-4f47-879B-29A80C355D61},$(Arg0) - (no file)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
А что если у меня папка карантина пуста после выполнения скриптов в avz? перед перезагрузкой меня попросили сохранить какой то файл без названия, поэтому я просто ввел первое что пришло в голову. это и есть тот файл, который должен быть в карантине?
 
Вот отчеты FRST и ADDITION
 

Вложения

  • Addition.txt
    88.7 KB · Просмотры: 1
  • FRST.txt
    45 KB · Просмотры: 1
А что если у меня папка карантина пуста после выполнения скриптов в avz? перед перезагрузкой меня попросили сохранить какой то файл без названия, поэтому я просто ввел первое что пришло в голову. это и есть тот файл, который должен быть в карантине?
я открыл этот файл с помощью блокнота и это оказался первый скрипт...
 
А что если у меня папка карантина пуста после выполнения скриптов в avz?
Не страшно.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-168779426-1986121619-196312424-1002\...\MountPoints2: {e05a2d69-96f8-11eb-8029-089e01f237d9} - "D:\Startup.exe" 
    FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Иван\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2018-03-02] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/go_ffhp_update.json]
    FF Extension: (Поиск Mail.Ru) - C:\Users\Иван\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2018-03-02] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/searchff/update.json]
    FF Extension: (Пульт) - C:\Users\Иван\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2018-03-02] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/ff_pult/update.json]
    CHR Notifications: Default -> hxxps://wf.mail.ru
    CHR HomePage: Default -> mail.ru
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=ticno2","hxxp://ru.msn.com/?pc=UP97&ocid=UP97DHP","hxxp://www.yandex.ru/"
    CHR DefaultSearchURL: Default -> hxxps://go.mail.ru/search?q={searchTerms}&{mailru:referralID}
    CHR DefaultSearchKeyword: Default -> go.mail.ru
    CHR DefaultSuggestURL: Default -> hxxps://suggests.go.mail.ru/chrome?q={searchTerms}
    C:\Users\Иван\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdknicmnhbaajdglbinpahhapghpakch
    C:\Users\Иван\AppData\Local\Google\Chrome\User Data\Default\Extensions\jedelkhanefmcnpappfhachbpnlhomai
    C:\Users\Иван\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp
    C:\Users\Иван\AppData\Local\Google\Chrome\User Data\Default\Extensions\odijcgafkhpobjlnfdgiacpdenpmbgme
    C:\Users\Иван\AppData\Local\Google\Chrome\User Data\Default\Extensions\onbkopaoemachfglhlpomhbpofepfpom
    C:\Users\Иван\AppData\Local\Google\Chrome\User Data\Default\Extensions\phkdcinmmljblpnkohlipaiodlonpinf
    C:\Users\Иван\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmpoaahleccaibbhfjfimigepmfmmbbk
    CHR HKU\S-1-5-21-168779426-1986121619-196312424-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme]
    CHR HKU\S-1-5-21-168779426-1986121619-196312424-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf]
    CHR HKU\S-1-5-21-168779426-1986121619-196312424-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk]
    CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch]
    CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Не страшно.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-168779426-1986121619-196312424-1002\...\MountPoints2: {e05a2d69-96f8-11eb-8029-089e01f237d9} - "D:\Startup.exe"
    FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Иван\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2018-03-02] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/go_ffhp_update.json]
    FF Extension: (Поиск Mail.Ru) - C:\Users\Иван\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2018-03-02] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/searchff/update.json]
    FF Extension: (Пульт) - C:\Users\Иван\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2018-03-02] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/ff_pult/update.json]
    CHR Notifications: Default -> hxxps://wf.mail.ru
    CHR HomePage: Default -> mail.ru
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=ticno2","hxxp://ru.msn.com/?pc=UP97&ocid=UP97DHP","hxxp://www.yandex.ru/"
    CHR DefaultSearchURL: Default -> hxxps://go.mail.ru/search?q={searchTerms}&{mailru:referralID}
    CHR DefaultSearchKeyword: Default -> go.mail.ru
    CHR DefaultSuggestURL: Default -> hxxps://suggests.go.mail.ru/chrome?q={searchTerms}
    C:\Users\Иван\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdknicmnhbaajdglbinpahhapghpakch
    C:\Users\Иван\AppData\Local\Google\Chrome\User Data\Default\Extensions\jedelkhanefmcnpappfhachbpnlhomai
    C:\Users\Иван\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp
    C:\Users\Иван\AppData\Local\Google\Chrome\User Data\Default\Extensions\odijcgafkhpobjlnfdgiacpdenpmbgme
    C:\Users\Иван\AppData\Local\Google\Chrome\User Data\Default\Extensions\onbkopaoemachfglhlpomhbpofepfpom
    C:\Users\Иван\AppData\Local\Google\Chrome\User Data\Default\Extensions\phkdcinmmljblpnkohlipaiodlonpinf
    C:\Users\Иван\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmpoaahleccaibbhfjfimigepmfmmbbk
    CHR HKU\S-1-5-21-168779426-1986121619-196312424-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme]
    CHR HKU\S-1-5-21-168779426-1986121619-196312424-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf]
    CHR HKU\S-1-5-21-168779426-1986121619-196312424-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk]
    CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch]
    CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
Вот, пожалуйста.
 

Вложения

  • Fixlog.txt
    7.1 KB · Просмотры: 1
У меня еще вопрос. Когда я вставлял скрипты в АВЗ и после сделанной работы обнаружил пустоту в папке карантина, то я снова вставил первый, скрипт, а после перезагрузки второй, так как думал, что я что то не так сделал. В этом ведь ничего страшного нету?
 
Нет, ничего страшного.
Пожалуйста, не цитируйте полностью предыдущее сообщение. Используйте форму быстрого ответа внизу.

Что сейчас с "тормозами"?
 
Определённо лучше, спасибо. Не знаю, можно ли сделать что то ещё, остаётся ощущение какой то незаконченности, может было бы хорошо ещё раз пройтись автологгером и проверить все ли хорошо?
А можно поинтересоваться, что не так было в моем компьютере?
 
было бы хорошо ещё раз пройтись
Пройдёмся этим:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
вот, пожалуйста.
 

Вложения

  • AdwCleaner[S00].txt
    7.4 KB · Просмотры: 2
Предустановленное ПО не трогайте (не отмечайте галочками). Остальное чистим:
  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 
А что, если у меня одни предустановленные программы?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу