Решена Утилита сравнения файлов DOS 5 и процесс Transmission daemon нагружают пк

[Tigurius]

Доброго времени суток!
Во время игры обнаружил что причиной внезапного падения производительности являются два процесса "Утилита сравнения файлов Dos 5" и "Transmission" с подпроцессом "Tramsission daemon". Беглый поиск по интернету выдал этот форум и несколько тем с решением этой проблемы.
Прикрепляю два лога (используются два пользователя - один мой, второй младшей сестры - и думается мне стоит скинуть результаты каждого)

 

[Arkalik]

@Tigurius, Здравствуйте!

1. Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.



Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Not Admin\AppData\Local\Programs\ivanovsasha224\543c6cd1e8.msi','');
 DeleteFile('C:\Users\Not Admin\AppData\Local\Programs\ivanovsasha224\543c6cd1e8.msi','64');
 DeleteSchedulerTask('AdLock Update Task-S-1-5-21-2248884725-781828400-4080104598-1002');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 ExecuteRepair(9);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

3. "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = gig.su
O4 - MountPoints2: HKCU\..\{95db9c36-fc45-11ed-afda-b42e99f65f0a}\shell\AutoRun\command: (default) = F:\setup.exe (file missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O17 - DHCP DNS 2: 195.177.124.2
O17 - DHCP DNS 3: 195.177.124.226
O22 - Tasks: AdLock Update Task-S-1-5-21-2248884725-781828400-4080104598-1002 - C:\Windows\System32\msiexec.exe /i "C:\Users\Not Admin\AppData\Local\Programs\ivanovsasha224\543c6cd1e8.msi" /quiet CHROME=1 (sign: 'Microsoft')

4. Cоберите новый CollectionLog Автологером.

 

[Tigurius]

Вот, проблема все ещё присутствует

Upd: напрочь забыл отключить брандмауэр перед выполнением инструкций, отключить и переделать всё?

 

[Arkalik]

@Tigurius,
1. Выполните такой скрипт в AVZ:

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('c:\users\not admin\appdata\local\programs\transmission\transmission-qt.exe','');
 DeleteFile('c:\users\not admin\appdata\local\programs\transmission\transmission-qt.exe','32');
 DeleteFileMask('c:\users\not admin\appdata\local\programs\transmission', '*', true);
 DeleteDirectory('c:\users\not admin\appdata\local\programs\transmission');
RebootWindows(true);
end.

Компьютер перезагрузится.

2. Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

 

[Tigurius]

Отчёт FRSТ.

 

[Tigurius]

И такой вопрос - стоит ли делать что либо во втором пользователе? Там как минимум другой пользователь в Google Chrome, другой набор расширений в браузере и другой набор ярлыков на рабочем столе

 

[Sandor]

Нет. Достаточно того, чтобы пользователь, от имени которого выполняются действия, обладал правами администратора. Дождитесь ответа коллеги.

 

[Tigurius]

Нет. Достаточно того, чтобы пользователь, от имени которого выполняются действия, обладал правами администратора. Дождитесь ответа коллеги.

Понял. Буду ждать.

 

[Arkalik]

@Tigurius,
1) Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  AdBlock Shield 1.0.0.0 (HKU\S-1-5-21-2248884725-781828400-4080104598-1002\...\{65ac4cff-04ee-4cc9-a7d6-5f70a0cc5cc0}) (Version: 1.0.0.0 - ivanovsasha224) Hidden
  AlternateDataStreams: C:\Windows\tracing:? [16]
  AlternateDataStreams: C:\ProgramData\TEMP:5F59E8EA [159]
  FirewallRules: [{C5DCC9D8-048E-4316-9281-B5091E813B1C}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
  FirewallRules: [{BD715734-65DD-4FC5-B600-43736BC7C90F}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Tcpip\Parameters: [DhcpNameServer] 192.168.88.1 195.177.124.2 195.177.124.226
  Tcpip\..\Interfaces\{2d088df5-06f9-4ddf-8667-4128024df680}: [DhcpNameServer] 192.168.88.1 195.177.124.2 195.177.124.226
  Unlock: C:\Program Files\RDP Wrapper
  Unlock: C:\Program Files (x86)\360
  Unlock: C:\ProgramData\WindowsTask
  Unlock: C:\ProgramData\ReaItekHD
  Unlock: C:\ProgramData\Setup
  Unlock: C:\ProgramData\Windows Tasks Service
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

2. После скрипта удалите через Установку программ
AdBlock Shield 1.0.0.0

 

[Tigurius]

@Arkalik, не смог обнаружить AdBlock Shield 1.0.0.0 для удаления...

 

[Arkalik]

@Tigurius, Что сейчас с проблемой? Если проблема не решено
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
Как подготовить лог Universal Virus Sniffer (UVS)

 

[Tigurius]

@Arkalik, Насколько я могу судить проблема более не проявляет себя после запуска последнего скрипта AVZ и создания логов FRST. На всякий случай я сделаю лог UVS но уже вечером так как сейчас уже банально засыпаю сидя за пк.

 

[Arkalik]

@Tigurius, Хорошо. Вечером жду логи uVS.
Сейчас выполните еще такой скрипт в FRST:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
C:\Program Files\RDP Wrapper
C:\Program Files (x86)\360
C:\ProgramData\WindowsTask
C:\ProgramData\ReaItekHD
C:\ProgramData\Setup
C:\ProgramData\Windows Tasks Service
Reboot:
End::

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

2. Программу AdBlock Shield 1.0.0.0 удалите принудительно через Geek Uninstaller

 

[Tigurius]

@Arkalik, вот лог, гик так же не обнаружил указанную софтину

 

[Tigurius]

Ещё пытался поймать или вспомнить или хотя бы нагуглить но не смог, в первые шаги вместе с проблемой был ещё один новый процесс, именовался Rino..... Suppose, наблюдался исключительно после первых скриптов AVZ и только один раз

 

[Tigurius]

@Arkalik, прошу прощения что задержался, образ UVS

 

[Arkalik]

@Tigurius,
1. Ничего вредоносного в логе uVS не заметно, для удаление программы AdBlock Shield 1.0.0.0 выполните скрипт в uVS:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
BREG
exec "C:\Users\Not Admin\AppData\Local\Package Cache\{65ac4cff-04ee-4cc9-a7d6-5f70a0cc5cc0}\setup-win32-bundle.exe"  /uninstall

Во время выполнение скрипта если появится окно с запросом на удаление программы, соглашайтесь.

2. Сообщите что сейчас с проблемой.

 

[Tigurius]

@Arkalik, AdBlock Shield наконец удалился, проблема более не наблюдается.
На всякий заранее создал логи UVS, FRST и Autologger.
Upd: виноват, отправил дважды лог UVS вместо FRST

 

[Arkalik]

@Tigurius, На этом все.
1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Tigurius]

@Arkalik, SecurityCheck лог