• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Нестабильное поведение компьютера

Terentiy

Новый пользователь
Сообщения
10
Симпатии
1
#1
Добрый день, в последнее время компьютер стал вести себя нестабильно: периодически зависают все окна, клавиатура не отвечает, остается подвижным только указатель мыши. Компьютер несколько раз подвергался вирусному заражению, вирусы были обезврежены cureit’ом, возможно, остались следы заражения.
 

Вложения

akok

Команда форума
Администратор
Сообщения
14,561
Симпатии
12,028
#2
Я вижу следы AVast и антивирус Baidu, удалите лишнее.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.2.15408.216\QMUdisk.sys', '');
 QuarantineFile('C:\WINDOWS\System32\ihctrl32.dll', '');
 QuarantineFile('C:\WINDOWS\System32\wsaudio.dll', '');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.2.15408.216\QMUdisk.sys', '32');
 DeleteFile('C:\WINDOWS\System32\ihctrl32.dll', '32');
 DeleteFile('C:\WINDOWS\System32\wsaudio.dll', '32');
 DeleteService('QMUdisk');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wsaudio\Parameters', 'ServiceDll');
 BC_DeleteSvc('QMUdisk');
 BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

Sandor

Ассоциация VN/VIP
Сообщения
4,167
Симпатии
1,500
#4
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками все найденное - нажмите "Поместить выделенные объекты в карантин" ("Quarantine Selected").

Подробнее читайте в руководстве.


После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
 

Terentiy

Новый пользователь
Сообщения
10
Симпатии
1
#5
Переместил все в карантин. Новый лог по содержанию пуст.
 

Вложения

Sandor

Ассоциация VN/VIP
Сообщения
4,167
Симпатии
1,500
#6
Сделайте свежий CollectionLog Автологером и сообщите что сейчас из проблем беспокоит.
 

Terentiy

Новый пользователь
Сообщения
10
Симпатии
1
#7
Баги проявлялись во время работы время от времени. Со времени после обращения вызвать их появление пока что не удавалось.
 

Вложения

Sandor

Ассоциация VN/VIP
Сообщения
4,167
Симпатии
1,500
#8
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. (Только версию скачайте эту).
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Sandor

Ассоциация VN/VIP
Сообщения
4,167
Симпатии
1,500
#10
1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome
      и нажмите Ok.
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Ассоциация VN/VIP
Сообщения
4,167
Симпатии
1,500
#12
отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt (где x - любая цифра)
Это тоже покажите.

Далее:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Toolbar: HKU\S-1-5-21-57989841-776561741-1801674531-1003 -> No Name - {13CFD375-F90A-4BEB-83C4-9CEFE08EC9A5} -  No File
    CHR HomePage: Default -> mail.ru/cnt/11956636
    CHR StartupUrls: Default -> "hxxp://go.mail.ru/?chverfix=1&fr=chverfix_sg"
    C:\Documents and Settings\Mike\Application Data\Opera Software\Opera Stable\Extensions\dcnopnlodagacagplbnimfokkomdhnio
    S2 ihctrl32; C:\WINDOWS\System32\svchost.exe [14336 2008-04-15] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    S1 BDEnhanceBoost; system32\drivers\BDEnhanceBoost.sys [X]
    AV: 百度杀毒 (Enabled - Up to date) {0E1F41F2-EA45-46c0-8860-B93C2A890530}
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Terentiy

Новый пользователь
Сообщения
10
Симпатии
1
#13
Вчерашний отчет AdwCleaner’а и сегодняшний FRST прилагаю.
 

Вложения

Terentiy

Новый пользователь
Сообщения
10
Симпатии
1
#15
О, стало еще лучше. Такое субъективное ощущение, что загружается и работает быстрее. Со времени начала лечения пока что никаких зависаний вызвать не удалось.
 

Sandor

Ассоциация VN/VIP
Сообщения
4,167
Симпатии
1,500
#16
Тогда завершаем:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 

Sandor

Ассоциация VN/VIP
Сообщения
4,167
Симпатии
1,500
#18
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 08.04.2014, Ваша операционная система может быть уязвима к новым типам угроз
------------------------------- [ HotFix ] --------------------------------
HotFix KB3197835 Внимание! Скачать обновления
HotFix KB4012598 Внимание! Скачать обновления
HotFix KB4012583 Внимание! Скачать обновления
HotFix KB4022747 Внимание! Скачать обновления
HotFix KB4024323 Внимание! Скачать обновления
HotFix KB4025218 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.1.44332 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AppleProduction ] ---------------------------
Bonjour v.3.0.0.10 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
iTunes v.12.1.3.6 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
Служба Bonjour (Bonjour Service) - Служба работает
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.08) - Russian v.11.0.08 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Opera 12.02 v.12.02 Внимание! Скачать обновления
----------------------------- [ EmailClient ] -----------------------------
The Bat! v4.2.36.4 Русская Версия v.4.2.36.4 Внимание! Скачать обновления

Malwarebytes, версия 3.3.1.2183 можно деинсталлировать.

Рекомендации после удаления вредоносного ПО
 
Сверху Снизу