Решена Ноутбук стал сильно шуметь и тормозить
- Автор темы HP_Andrey
- Дата начала
- Статус
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
TerminateProcessByName('c:\users\hp\appdata\local\programs\transmission\transmission-qt.exe');
SetServiceStart('Transmission', 4);
QuarantineFile('C:\Program Files (x86)\BayioKoEHcCpC\XsIidly.dll', '');
QuarantineFile('C:\Program Files (x86)\PrRHHpsGxQEuyNXpirR\jgKBcBQ.dll', '');
QuarantineFile('C:\Program Files (x86)\ulQXJxdiHxSU2\OwEWTsZUwasMo.dll', '');
QuarantineFile('C:\ProgramData\CkwGJrrKifVmWVVB\IxIrMgK.wsf', '');
QuarantineFile('C:\ProgramData\robotdemo\robotdemo.exe', '');
QuarantineFile('C:\Users\HP\AppData\Local\Programs\Transmission\Qt5Core.dll', '');
QuarantineFile('c:\users\hp\appdata\local\programs\transmission\transmission-qt.exe', '');
DeleteFile('C:\Program Files (x86)\BayioKoEHcCpC\XsIidly.dll', '64');
DeleteFile('C:\Program Files (x86)\PrRHHpsGxQEuyNXpirR\jgKBcBQ.dll', '64');
DeleteFile('C:\Program Files (x86)\ulQXJxdiHxSU2\OwEWTsZUwasMo.dll', '64');
DeleteFile('C:\ProgramData\CkwGJrrKifVmWVVB\IxIrMgK.wsf', '64');
DeleteFile('C:\ProgramData\robotdemo\robotdemo.exe', '32');
DeleteFile('c:\users\hp\appdata\local\programs\transmission\transmission-qt.exe', '32');
DeleteFile('C:\Users\HP\AppData\Local\Programs\Transmission\transmission-qt.exe', '64');
DeleteService('Transmission');
DeleteSchedulerTask('gULkKqTXv');
DeleteSchedulerTask('rNfsrCYQpNqfOcrfNNU2');
DeleteSchedulerTask('TuyZYeeiWhwys2');
DeleteSchedulerTask('wgPoVvFawHYrCSXOC2');
DeleteSchedulerTask('ZpEVDmIlefcqtj');
DeleteFileMask('c:\program files (x86)\transmission', '*', false);
DeleteFileMask('c:\programdata\robotdemo', '*', false);
DeleteDirectory('c:\program files (x86)\transmission');
DeleteDirectory('c:\programdata\robotdemo');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.После перезагрузки, выполните такой скрипт:
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{52c062fa-99dd-4cf3-90e2-b359a9071aa5}: [NameServer] = 163.172.35.26
O17 - HKLM\System\CCS\Services\Tcpip\..\{52c062fa-99dd-4cf3-90e2-b359a9071aa5}: [NameServer] = 178.175.133.61
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ - C:\Program Files\Avast Software\Avast\x86\ashShell.dll
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Подробнее читайте в этом руководстве.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Edge HKLM-x32\...\Edge\Extension: [odbmjgikedenicicookngdckhkjbebpd] 2022-08-10 20:36 - 2022-08-10 20:36 - 000000000 ____D C:\ProgramData\txRNTvlVphtjBBV 2022-07-28 19:50 - 2022-08-10 20:33 - 000000000 ____D C:\ProgramData\CkwGJrrKifVmWVVB 2022-07-28 19:50 - 2022-08-10 20:33 - 000000000 ____D C:\Program Files (x86)\ulQXJxdiHxSU2 2022-07-28 19:50 - 2022-08-10 20:33 - 000000000 ____D C:\Program Files (x86)\PrRHHpsGxQEuyNXpirR 2022-07-28 19:50 - 2022-08-10 20:33 - 000000000 ____D C:\Program Files (x86)\BayioKoEHcCpC 2022-07-28 19:50 - 2022-07-28 19:50 - 000003008 _____ C:\Windows\system32\Tasks\fNuIyawitAoDEGu2 2022-07-28 19:50 - 2022-07-28 19:50 - 000000000 ____D C:\Program Files (x86)\vsJnmafXoMUn 2022-07-28 19:49 - 2022-07-28 19:50 - 000000000 ____D C:\Program Files (x86)\omepHXTcU ContextMenuHandlers1: [avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Нет файла ContextMenuHandlers3: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Нет файла ContextMenuHandlers6: [avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Нет файла AlternateDataStreams: C:\ProgramData:iSpring Solutions [128] AlternateDataStreams: C:\ProgramData:MHD [254] AlternateDataStreams: C:\ProgramData:NT [40] AlternateDataStreams: C:\ProgramData:NT2 [718] AlternateDataStreams: C:\Users\All Users:iSpring Solutions [128] AlternateDataStreams: C:\Users\All Users:MHD [254] AlternateDataStreams: C:\Users\All Users:NT [40] AlternateDataStreams: C:\Users\All Users:NT2 [718] AlternateDataStreams: C:\Users\Все пользователи:iSpring Solutions [128] AlternateDataStreams: C:\Users\Все пользователи:MHD [254] AlternateDataStreams: C:\Users\Все пользователи:NT [40] AlternateDataStreams: C:\Users\Все пользователи:NT2 [718] AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128] AlternateDataStreams: C:\ProgramData\Application Data:MHD [254] AlternateDataStreams: C:\ProgramData\Application Data:NT [40] AlternateDataStreams: C:\ProgramData\Application Data:NT2 [718] AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40] AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [718] AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhjhhlik [0] AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhioihinfh [0] AlternateDataStreams: C:\Users\HP\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\HP\Application Data:iSpring Solutions [128] AlternateDataStreams: C:\Users\HP\Application Data:NT [40] AlternateDataStreams: C:\Users\HP\Application Data:NT2 [718] AlternateDataStreams: C:\Users\HP\Local Settings:MHD [268] AlternateDataStreams: C:\Users\HP\AppData\Local:MHD [268] AlternateDataStreams: C:\Users\HP\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\HP\AppData\Roaming:iSpring Solutions [128] AlternateDataStreams: C:\Users\HP\AppData\Roaming:NT [40] AlternateDataStreams: C:\Users\HP\AppData\Roaming:NT2 [718] AlternateDataStreams: C:\Users\HP\AppData\Local\Application Data:MHD [268] AlternateDataStreams: C:\Users\HP\AppData\Local\Temp:MHD [286] AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [3420] EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Нашел у себя в процессах эту штуку
bin.exe
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Вроде VKDJ но стоит перестраховаться.
Подробнее читайте в этом руководстве.
- Скачайте AdwCleaner и сохраните его на Рабочем столе.
- Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Запустить проверку") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 16,835
- Решения
- 1
- Реакции
- 3,516
Сделайте очистку таким образом:
Подробнее читайте в этом руководстве.
- Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
- В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
- Сбросить политики IE
- Сбросить политики Chrome
- Убедитесь, что закрыты все браузеры.
- В меню Информационная панель нажмите Запустить проверку. В разделе "Предустановленное ПО" ничего не отмечайте галочками.
- По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
- Прикрепите отчет к своему следующему сообщению.
- (Обратите внимание - C и S - это разные буквы).
Подробнее читайте в этом руководстве.
- Сообщения
- 16,835
- Решения
- 1
- Реакции
- 3,516
Отлично!
Проделайте завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
Проделайте завершающие шаги:
1.
- Пожалуйста, запустите adwcleaner.exe
- В меню Параметры прокрутите вниз и выберите Удалить.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
- Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
- Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
- Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
- Прикрепите этот файл к своему следующему сообщению.
- Статус
Похожие темы
- Закрыта
