• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Нагрузка на CPU падает после открытия Диспетчера Задач

Статус
В этой теме нельзя размещать новые ответы.

Wgis

Новый пользователь
Сообщения
7
Реакции
0
Баллы
3
Здравствуйте, аналогичная проблема, только нет зависаний с пк. Вроде повторил что советовали, как проверить на излечение?
Проблема

Внимание !!! База поcледний раз обновлялась 01.03.2016 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 17.07.2020 04:08:45
Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 01.03.2016 12:37
Загружены микропрограммы эвристики: 412
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 790760
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 10.0.18363, "Windows 10 Enterprise", дата инсталляции 12.05.2020 22:34:42 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7591CF90->76589AD0
Функция kernel32.dll:ReadConsoleInputExW (1131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7591CFC3->76589B00
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (291) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542370->6DF63150
Функция ntdll.dll:NtMakeTemporaryObject (410) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetInformationFile (592) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542090->6DF632B0
Функция ntdll.dll:NtSetSystemTime (617) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetValueKey (624) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542420->6DF63320
Функция ntdll.dll:ZwCreateFile (1805) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542370->6DF63150
Функция ntdll.dll:ZwMakeTemporaryObject (1922) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetInformationFile (2104) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542090->6DF632B0
Функция ntdll.dll:ZwSetSystemTime (2129) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetValueKey (2136) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542420->6DF63320
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->7598E550->6DF63040
Функция user32.dll:SetWindowsHookExW (2395) перехвачена, метод ProcAddressHijack.GetProcAddress ->759909B0->6DF63390
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->75593F84->7658C3F0
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->75594EAB->75B5C880
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->73AEC10A->666BA000
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->73AEC139->666BA380
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 19
Анализатор - изучается процесс 3888 C:\Program Files (x86)\Razer\RzUpdateEngineService\RzUpdateEngineService.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 6764 C:\Program Files (x86)\Google\Update\1.3.35.452\GoogleCrashHandler.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 11048 C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Количество загруженных модулей: 251
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 53 TCP портов и 53 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
[микропрограмма лечения]> изменен параметр 1201 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
[микропрограмма лечения]> изменен параметр 1201 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
>>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные - исправлено
>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
[микропрограмма лечения]> изменен параметр 1001 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
[микропрограмма лечения]> изменен параметр 1001 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
>>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса - исправлено
>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
[микропрограмма лечения]> изменен параметр 1004 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
[микропрограмма лечения]> изменен параметр 1004 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
>>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX - исправлено
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
[микропрограмма лечения]> изменен параметр 2201 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
[микропрограмма лечения]> изменен параметр 2201 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
>>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX - исправлено
>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
[микропрограмма лечения]> изменен параметр 1804 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
[микропрограмма лечения]> изменен параметр 1804 ключа HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
>>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME - исправлено
>> Разрешен автозапуск с HDD
[микропрограмма лечения]> изменен параметр NoDriveTypeAutoRun ключа HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
>>> Разрешен автозапуск с HDD - исправлено
>> Разрешен автозапуск с сетевых дисков
[микропрограмма лечения]> изменен параметр NoDriveTypeAutoRun ключа HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
>>> Разрешен автозапуск с сетевых дисков - исправлено
>> Разрешен автозапуск со сменных носителей
[микропрограмма лечения]> изменен параметр NoDriveTypeAutoRun ключа HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
>>> Разрешен автозапуск со сменных носителей - исправлено
Проверка завершена
Просканировано файлов: 270, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 17.07.2020 04:10:47
Сканирование длилось 00:02:04
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум Помощь в удалении вирусов
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис VirusInfo - VirusDetector - бесплатный онлайн-сервис антивирусной проверки компьютера (beta)
Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 17.07.2020 04:12:41
Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 16.07.2020 16:00
Загружены микропрограммы эвристики: 416
Загружены микропрограммы ИПУ: 10
Загружены цифровые подписи системных файлов: 1134471
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 10.0.18363, "Windows 10 Enterprise", дата инсталляции 12.05.2020 22:34:42 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7591CF90->76589AD0
Функция kernel32.dll:ReadConsoleInputExW (1131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7591CFC3->76589B00
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (291) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542370->6DF63150
Функция ntdll.dll:NtMakeTemporaryObject (410) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetInformationFile (592) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542090->6DF632B0
Функция ntdll.dll:NtSetSystemTime (617) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetValueKey (624) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542420->6DF63320
Функция ntdll.dll:ZwCreateFile (1805) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542370->6DF63150
Функция ntdll.dll:ZwMakeTemporaryObject (1922) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetInformationFile (2104) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542090->6DF632B0
Функция ntdll.dll:ZwSetSystemTime (2129) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetValueKey (2136) перехвачена, метод ProcAddressHijack.GetProcAddress ->77542420->6DF63320
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->7598E550->6DF63040
Функция user32.dll:SetWindowsHookExW (2395) перехвачена, метод ProcAddressHijack.GetProcAddress ->759909B0->6DF63390
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->75593F84->7658C3F0
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->75594EAB->75B5C880
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->73AEC10A->666BA000
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->73AEC139->666BA380
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 19
Количество загруженных модулей: 251
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 54 TCP портов и 54 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 270, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 17.07.2020 04:13:19
Сканирование длилось 00:00:40
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум Помощь в удалении вирусов
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис VirusInfo - VirusDetector - бесплатный онлайн-сервис антивирусной проверки компьютера (beta)
 
Последнее редактирование:

Wgis

Новый пользователь
Сообщения
7
Реакции
0
Баллы
3
Ранее устанавливал RDPWrapper, потом обновился до PRO и забыл о нём....
call:Install codeload.github.com
call:Install support.kaspersky.ru
call:Install kaspersky.ru
call:Install virusinfo.info
call:Install forum.kasperskyclub.ru
call:Install cyberforum.ru
call:Install soft-file.ru
call:Install www.360totalsecurity.com
call:Install cezurity.com
call:Install www.dropbox.com
call:Install 193.228.54.23
call:Install spec-komp.com
call:Install eset.ua
call:Install panel.koronavirusfuck.xyz
call:Install 360totalsecurity.com
call:Install www.esetnod32.ru
call:Install www.comss.ru
call:Install blog-pc.ru
call:Install www.securrity.ru
call:Install vellisa.ru
call:Install download-software.ru
call:Install drweb-cureit.ru
call:Install softpacket.ru
call:Install www.kaspersky.com
call:Install kaspersky.ru
call:Install www.avast.ua
call:Install www.avast.ru
call:Install zillya.ua
call:Install safezone.ua
call:Install vms.drweb.ru
call:Install www.drweb.ua
call:Install free.drweb.ru
call:Install biblprog.org.ua
call:Install free-software.com.ua
call:Install free.dataprotection.com.ua
call:Install www.drweb.com
call:Install www.softportal.com
call:Install www.nashnet.ua
call:Install softlist.com.ua
call:Install cyberforum.ru
call:Install it-doc.info
call:Install esetnod32.ru
call:Install blog-bridge.ru
call:Install remontka.pro
call:Install securos.org.ua
call:Install pc-helpp.com
call:Install softdroid.net
call:Install kaspersky.ru
call:Install malwarebytes.com
call:Install ru.vessoft.com
call:Install AlpineFile.ru
call:Install malwarebytes-anti-malware.ru.uptodown.com
call:Install ProgramDownloadFree.com
call:Install download.cnet.com
call:Install soft.mydiv.net
call:Install spyware-ru.com
call:Install remontcompa.ru
call:Install www.hitmanpro.com
call:Install hitman-pro.ru.uptodown.com
call:Install www.bleepingcomputer.com
call:Install soft.oszone.net
call:Install krutor.org
call:Install RuTracker.org
call:Install www.greatis.com
call:Install unhackme.ru.uptodown.com
call:Install programy.com.ua
call:Install rsload.net
call:Install softobase.com
call:Install programdownloadfree.com
call:Install www.besplatnoprogrammy.ru
call:Install unhackme.en.softonic.com
call:Install unhackme.com
call:Install unhackme.ru
call:Install nnm-club.name
call:Install vgrom.com
call:Install moneropool.com
call:Install mine.moneropool.com
call:Install xmr.cryptopool.org
call:Install pool.monero.org
call:Install minexmr.com
call:Install monero.crypto-pool.fr
call:Install dwarfpool.com
call:Install disk-space.ru
call:Install moneropool.com
call:Install mine.moneropool.com
call:Install xmr.cryptopool.org
call:Install pool.monero.org
call:Install minexmr.com
call:Install monero.crypto-pool.fr
call:Install dwarfpool.com
call:Install file7.ru
call:Install disk-space.ru
call:Install ufille.ru
call:Install rgho.st
call:Install yadi.su
call:Install catcut.net
call:Install fsdisk.ru
call:Install rpfile.ru
call:Install cheats.file-a.ru
call:Install file-space.org
call:Install sfailo.ru
call:Install sendspace.com
call:Install www.sendspace.com
call:Install fille-7.ru
call:Install loufile.ru
call:Install file-seven.com
call:Install file-a.ru
call:Install fail-7.ru
call:Install 1-kk.ru
call:Install rufile.net
call:Install filexpwx.space
call:Install sfile.net
call:Install mdiskfile.com
call:Install mega.nz
call:Install dfile.su
call:Install rgfail.ru
call:Install rudwnl.ru
call:Install dfile.info
call:Install flles.ru
call:Install pool.minexmr.to
call:Install spec-komp.com
call:Install ska4ay.pl
call:Install ska4ay.ru
call:Install ska4ay.club
call:Install ska4ay.net
call:Install ska4ay.org
call:Install ska4ay.com
call:Install ska4ay.pro
call:Install ska4ay.pw
call:Install ska4ay.online

call:Install skachaty.pl
call:Install skachaty.ru
call:Install skachaty.club
call:Install skachaty.net
call:Install skachaty.org
call:Install skachaty.com
call:Install skachaty.pro
call:Install skachaty.pw
call:Install skachaty.online

call:Install skachay.pl
call:Install skachay.ru
call:Install skachay.club
call:Install skachay.net
call:Install skachay.org
call:Install skachay.com
call:Install skachay.pro
call:Install skachay.pw
call:Install skachay.website
call:Install skachay.online

call:Install ska4aty.pl
call:Install ska4aty.ru
call:Install ska4aty.club
call:Install ska4aty.net
call:Install ska4aty.org
call:Install ska4aty.com
call:Install ska4aty.pro
call:Install ska4aty.pw
call:Install ska4aty.online


:Install
setlocal enableextensions enabledelayedexpansion
set sHostFile=%SystemRoot%\System32\drivers\etc\hosts
echo.>>"%sHostFile%"
set sHost=%~1
if defined sHost (
for /f "usebackq eol=# tokens=1,2" %%i in ("%sHostFile%") do (
if /i "%%j" equ "%sHost%" (
set /a bFound = 1
set sAddress=%%i
)
)
if defined bFound (
echo.Host [%sHost%] ^(!sAddress!^) already present in [%sHostFile%]
) else (
echo.Add host [%sHost%] ^(127.0.0.1^) into [%sHostFile%]
echo.127.0.0.1 %sHost%>>"%sHostFile%"
)
) else (
echo.Usage: "%~nx0" ^<hostname^>
)
endlocal
GoTo:EOF

PAUSE
 

Wgis

Новый пользователь
Сообщения
7
Реакции
0
Баллы
3
Лог CureIT
 

Вложения

  • cureit.log
    30.5 KB · Просмотры: 13

Wgis

Новый пользователь
Сообщения
7
Реакции
0
Баллы
3
Готово
 

Вложения

  • CollectionLog-2020.07.20-00.14.zip
    88.2 KB · Просмотры: 9

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,239
Реакции
2,191
Баллы
643
"Пофиксите" в HijackThis:
Код:
O7 - Policy: Permissions on key are restricted - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft -
O7 - Policy: Permissions on key are restricted - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates -
O22 - Task: \Microsoft\Windows\Wininet\Cleaner - C:\Programdata\WindowsTask\winlogon.exe (file missing)

Перезагрузите компьютер вручную.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой пункт "90 days files".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Wgis

Новый пользователь
Сообщения
7
Реакции
0
Баллы
3
Готово
 

Вложения

  • Addition.txt
    54 KB · Просмотры: 7
  • FRST.txt
    302.2 KB · Просмотры: 8

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,239
Реакции
2,191
Баллы
643
Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-3098900913-1344794076-2106538861-1001\...\MountPoints2: {d723a241-aa34-11ea-99b8-a692fd9ef75f} - "H:\Startme.exe" 
    HKU\S-1-5-21-3098900913-1344794076-2106538861-1001\...\MountPoints2: {dac5ec98-abd9-11ea-99bb-8315921bfedf} - "H:\AutoRun.exe" 
    CHR StartupUrls: Default -> "hxxp://xn----etbbilbdlej3ce8a0e.xn--p1ai/","hxxp://ifirework.ru/","hxxp://www.mystartsearch.com/?type=hp&ts=1417262821&from=smt&uid=WDCXWD5000AADS-00S9B0_WD-WCAV9758171981719","hxxp://www.luckysearches.com/?type=hppp&ts=1429968266&from=cmi&uid=TOSHIBAXMQ01ABF050_Y4ORCEA5TXXY4ORCEA5T","hxxp://googla.com.ua/q","hxxp://yaxnet.ru/"
    CHR HKU\S-1-5-21-3098900913-1344794076-2106538861-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh]
    2020-05-24 10:15 - 2020-07-17 03:51 - 000000000 __SHD C:\ProgramData\Doctor Web
    2020-05-24 10:15 - 2020-05-24 10:19 - 000000000 __SHD C:\ProgramData\Setup
    2020-05-24 10:15 - 2020-05-24 10:16 - 000000000 __SHD C:\ProgramData\WindowsTask
    2020-05-24 10:15 - 2020-05-24 10:16 - 000000000 __SHD C:\ProgramData\RealtekHD
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\ProgramData\RunDLL
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\ProgramData\Norton
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\ProgramData\McAfee
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\ProgramData\grizzly
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\ProgramData\ESET
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\ProgramData\AVAST Software
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\ProgramData\360safe
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\Program Files\SpyHunter
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\Program Files\Malwarebytes
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\Program Files\Kaspersky Lab
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\Program Files\ESET
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\Program Files\Enigma Software Group
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\Program Files\COMODO
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\Program Files\Common Files\McAfee
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\Program Files\Cezurity
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\Program Files\ByteFence
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\Program Files\AVG
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\Program Files\AVAST Software
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\Program Files (x86)\Panda Security
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\Program Files (x86)\Cezurity
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\Program Files (x86)\AVG
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\Program Files (x86)\360
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\KVRT_Data
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 __SHD C:\AdwCleaner
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 ____D C:\Windows\speechstracing
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 ____D C:\ProgramData\System32
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 ____D C:\ProgramData\MB3Install
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 ____D C:\ProgramData\Malwarebytes
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 ____D C:\ProgramData\install
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 ____D C:\ProgramData\Indus
    2020-05-24 10:15 - 2020-05-24 10:15 - 000000000 ____D C:\ProgramData\Avira
    2020-05-13 05:54 - 2020-05-23 23:05 - 000000000 ____D C:\ProgramData\IObit
    FirewallRules: [{58281FF4-DB28-49A0-8C93-4401C5959797}] => (Block) LPort=445
    FirewallRules: [{704671FE-D5E4-45D6-BEE9-59A533CFE13B}] => (Block) LPort=445
    FirewallRules: [{FAE0B763-E918-4CA8-8059-97F0116E3779}] => (Block) LPort=139
    FirewallRules: [{C69F1100-6780-4FB0-A550-2D6796AED9D3}] => (Block) LPort=139
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Wgis

Новый пользователь
Сообщения
7
Реакции
0
Баллы
3
Готово
 

Вложения

  • Fixlog.txt
    9.4 KB · Просмотры: 5

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,239
Реакции
2,191
Баллы
643
Что сейчас с проблемой?
 

Wgis

Новый пользователь
Сообщения
7
Реакции
0
Баллы
3
Вроде не беспокоит, сайты ранее не открывались из-за подмененного хоста...
Нагрузку не замечал, не пользуюсь софтами для мониторинга...
Вы что скажете? Что в логах вычитали?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу