Решена Общее торможение компьютера...

  • Автор темы Автор темы Razey
  • Дата начала Дата начала

Razey

Опытный участник
Сообщения
729
Реакции
33
Здравствуйте!

Пользователь ноутбука жалуется на общение торможение, мол "начал больше лагать, чем раньше, надо бы его почистить"...
Предполагаю заражение, тем более, что HJT не смог нормально отработать и был принудительно завершен.
Логи во вложении.
 

Вложения

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\acer\appdata\local\oneclick\oneclickapp.64.exe');
 TerminateProcessByName('c:\users\acer\appdata\local\oneclick\oneclickbandhandler.64.exe');
 QuarantineFileF('c:\users\acer\appdata\local\oneclick', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\users\acer\appdata\local\oneclick\oneclickapp.64.exe', '');
 QuarantineFile('c:\users\acer\appdata\local\oneclick\oneclickbandhandler.64.exe', '');
 DeleteFile('c:\users\acer\appdata\local\oneclick\oneclickapp.64.exe', '');
 DeleteFile('c:\users\acer\appdata\local\oneclick\oneclickbandhandler.64.exe', '');
 DeleteFile('C:\Users\Acer\AppData\Local\OneClick\OneClickApp.64.exe', '32');
 DeleteFile('C:\Users\Acer\AppData\Local\OneClick\OneClickApp.64.exe', '64');
 DeleteFileMask('c:\users\acer\appdata\local\oneclick', '*', true);
 DeleteDirectory('c:\users\acer\appdata\local\oneclick');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','OneClick', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','OneClick', '64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Здравствуйте!

Логи AVZ выполнил
Лог AdwCleaner'a во вложении. Quarantine.zip на указанный почтовый ящик отправил.

С Новым Годом Вас, akok.

P.S. После выполнения 1-го скрипта (и перезагрузки) отключил основной антивирус и запустил avz.exe. При этом avz.exe был"убит" включившимся встроенным антивирусом в windows 10 (видимо, зловред "внедрился" в avz.exe во время его запуска). После этого скачал отдельно AVZ с официального сайта, отключил встроенный антивирус и после этого удалось выполнить скрипт № 2.
 

Вложения

С Новым Годом!
Насчет внедрения это вряд ли, для адваре это не свойственно, а вот для защитника Windows да, он охоч блокировать неизвестные файлы. Помните какой был детект?

  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Насчет внедрения это вряд ли, для адваре это не свойственно, а вот для защитника Windows да, он охоч блокировать неизвестные файлы. Помните какой был детект?
Спасибо за разъяснения... Нет, детект не помню...

Все вышеперечисленное выполнил, логи во вложении.
 

Вложения

100.83.254.190 и 100.83.254.30 знакомы?

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Trojan:Win32/Cloxer.D - сработала облачная защита на исполняемый файл AVZ
 
Тогда так. Если пропадет сеть, то перенастройте вручную.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Tcpip\Parameters: [DhcpNameServer] 100.83.254.30 100.83.254.190
    Tcpip\..\Interfaces\{c0648bfe-651a-4333-bfe1-065564bdf30b}: [DhcpNameServer] 100.83.254.30 100.83.254.190
    Tcpip\..\Interfaces\{c22c0a7b-de5b-436b-b7ef-2a622fac76c4}: [DhcpNameServer] 100.83.254.30 100.83.254.190
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Что с проблемами?
 
Здравствуйте!

Благодарю всех, кто лечил данный комп - видимо, все хорошо, т.к. пользователь вот уже денька 3-4 мне даже не звонил... Можно закрывать тему.
 
Хорошо бы еще финальные шаги проделать. Сообщите, есть ли такая возможность.
 
Назад
Сверху Снизу