Решена Регулярное отключение интернета, медленный интернет, сторонние DNS.

Статус
В этой теме нельзя размещать новые ответы.

diagnoz

Активный пользователь
Сообщения
44
Реакции
4
Баллы
48
Здравствуйте. С недавних пор начались проблемы с интернетом. Грешили на провайдера, там все нормально, да и попробовали на других провайдерах - проблема та же. Регулярно пропадает и заново происходит переподключение, да и скорость стала хуже. Плюс ко всему обнаружил в IE, перенаправление домашней страницы на izogreb.ru, Shortener да и в свойствах TCP\IP увидел прописанные альтернативные DNS, которые вы увидите в логе. спасибо за помощь.
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,301
Реакции
1,805
Баллы
563
Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:
Video and Audio Plugin UBar
YoutubeAdBlock
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files\gvekltxujie\jhuvmlxcmb.exe');
 TerminateProcessByName('c:\windows\system32\appframehost.exe');
 StopService('AppFrameHost');
 StopService('netfilter2');
 QuarantineFile('c:\program files\gvekltxujie\jhuvmlxcmb.exe', '');
 QuarantineFile('C:\Program Files\gVEKLTxUjIE\kQhKsit.dll', '');
 QuarantineFile('C:\Program Files\OGqwJxyzdjgEZIvrFER\GsWMsha.dll', '');
 QuarantineFile('C:\Program Files\Tortoise SVN\TortoiseSVN.dll', '');
 QuarantineFile('C:\Users\User\AppData\Local\yc\Application\yc.exe', '');
 QuarantineFile('C:\Users\User\AppData\LocalLow\DuckGo\duckgo.dll', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\curl\curl.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\curl\curl_7_54.exe', '');
 QuarantineFile('c:\windows\system32\appframehost.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\r17behtKYXxF.sys', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{E97E5BDE-3B97-45BA-8045-54B176474039}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "boQbXxbEJPaDgWztw" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "boQbXxbEJPaDgWztw2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "DuckGo Task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "jVVcebPoCjhHKmi" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "jVVcebPoCjhHKmi2" /F', 0, 15000, true);
 DeleteFile('c:\program files\gvekltxujie\jhuvmlxcmb.exe', '32');
 DeleteFile('C:\Program Files\gVEKLTxUjIE\kQhKsit.dll', '32');
 DeleteFile('C:\Program Files\OGqwJxyzdjgEZIvrFER\GsWMsha.dll', '32');
 DeleteFile('C:\Program Files\Tortoise SVN\TortoiseSVN.dll', '32');
 DeleteFile('C:\Users\User\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico');
 DeleteFile('C:\Users\User\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk');
 DeleteFile('C:\Users\User\AppData\Local\yc\Application\yc.exe', '32');
 DeleteFile('C:\Users\User\AppData\LocalLow\DuckGo\duckgo.dll', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\curl\curl.exe', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\curl\curl_7_54.exe', '32');
 DeleteFile('c:\windows\system32\appframehost.exe', '32');
 DeleteFile('C:\Windows\system32\drivers\r17behtKYXxF.sys', '32');
 DeleteService('AppFrameHost');
 DeleteService('netfilter2');
 DelBHO('{96AF5545-BC30-4E5D-8E36-836D000A1455}');
 DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}');
 DelBHO('{E4625B55-9401-4B40-B5BA-9134A41BFAA0}');
 DelCLSID('{CBF88FC2-F150-4F29-BC80-CE30EFD1B62C}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'dzjjhmnsjn');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ycAutoLaunch_E945EC6410C7CE86DF55E29C29AFA8B8');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{CBF88FC2-F150-4F29-BC80-CE30EFD1B62C}');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

diagnoz

Активный пользователь
Сообщения
44
Реакции
4
Баллы
48
Sandor, выполнил и отправил архив. Антивирусное ПО, кстати, не установлено совсем на данном ПК, от этого и все проблемы скорее всего.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,301
Реакции
1,805
Баллы
563
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
17,459
Реакции
13,368
Баллы
2,203
  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
17,459
Реакции
13,368
Баллы
2,203
Что с проблемами?
 

diagnoz

Активный пользователь
Сообщения
44
Реакции
4
Баллы
48
Да, в целом проблема решилась, все нежелательное ПО удалено, да вот есть еще проблема, но возможно и не с этим связанная, скайп периодически теряет соединение и заново переподключается, но при этом сам интернет работает. Спасибо огромное за помощь!

Дополнительно, просканирую DrWeB CureIT в Безопасном режиме, ну и установлю антивирусное ПО.

После перезагрузки, скайп также перестал терять соединение. Сторонние антивирусные утилиты также не обнаружили никаких угроз. Проблема решена. Еще раз спасибо вам за помощь.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,301
Реакции
1,805
Баллы
563
Еще, пожалуйста, соберите такие логи:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

diagnoz

Активный пользователь
Сообщения
44
Реакции
4
Баллы
48
Здравствуйте. лог прилагаю. Странно, скайп снова переподключается сам по себе. Firefox, отбирает почти все ресурсы, что сказывается на работе ПК в целом, хотя открыта только одна вкладка этого сайта. Антивирус установил Avast Internet Security.
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,301
Реакции
1,805
Баллы
563
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    GroupPolicy: Restriction - Windows Defender <==== ATTENTION
    S2 UbarCalloutDriver; \??\C:\Program Files\UBar\UbarDriver.sys [X]
    2017-12-06 08:59 - 2017-12-14 16:56 - 000000000 ____D C:\Users\User\AppData\Roaming\curl
    2017-12-06 08:58 - 2017-12-14 16:56 - 000000000 ____D C:\Users\User\AppData\LocalLow\DuckGo
    2017-12-06 08:58 - 2017-12-06 09:00 - 000000000 ____D C:\Users\User\AppData\Local\DuckGo
    2017-12-06 08:56 - 2017-12-06 20:36 - 000000000 ____D C:\Users\User\AppData\Local\yc
    2017-12-06 08:53 - 2017-12-06 08:53 - 000000000 ____D C:\Users\User\AppData\Local\Chromium
    2017-12-06 08:52 - 2017-12-06 08:58 - 000000000 ____D C:\Users\User\AppData\Local\unityp
    2017-12-06 08:51 - 2017-12-14 16:57 - 000000000 ____D C:\Program Files\Tortoise SVN
    2017-12-06 08:47 - 2017-12-13 22:15 - 000000000 ____D C:\Users\User\AppData\LocalLow\ZUAwrnxgIZhKc
    ShellIconOverlayIdentifiers: [TortoiseOverlay] -> {CBF88FC2-F150-4F29-BC80-CE30EFD1B62C} =>  -> No File
    FirewallRules: [{F5CA5128-92E6-4F42-8042-7125CF9C66E1}] => (Allow) C:\Program Files\UBar\ubar.exe
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

diagnoz

Активный пользователь
Сообщения
44
Реакции
4
Баллы
48
Выполнил.

Выяснил, что проблема в общей загрузке системы, не в браузерах вовсе. любой запущенный процесс (не важно какой) начинает нагружать CPU на 100%.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,459
Реакции
13,368
Баллы
2,203
В безопасном режиме проблема с нагрузкой повторяется?
 

diagnoz

Активный пользователь
Сообщения
44
Реакции
4
Баллы
48
Да. ситуация аналогичная.
 

akok

Команда форума
Администратор
Сообщения
17,459
Реакции
13,368
Баллы
2,203
Тогда копнем поглубже
Подготовьте лог UVS

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки.
  3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  4. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  5. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0.5 [http://dsrt.dyndns.org]
    v400c
    adddir %SystemRoot%
    crimg
  6. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  7. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
  8. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS
 

diagnoz

Активный пользователь
Сообщения
44
Реакции
4
Баллы
48
Касательно общей производительности и нагруженности процессора, были такие предположения, да, и замена процессора похоже решила проблему. Потребление его ресурсов упало, процессы не используют очень сильно. подъемы при запуске есть, но тут же сразу и спады и все приходит в норму. комфорт в работе вернулся. понаблюдаю...
 
Последнее редактирование:
  • Like
Реакции: akok

akok

Команда форума
Администратор
Сообщения
17,459
Реакции
13,368
Баллы
2,203
Значит проблема была железная, но все равно подготовьте лог UVS (лучше лишний раз перестраховаться). Отпишитесь потом как результаты.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу