Решена Вирус шифруется и жрет ЦП до 100%

[каллоус]

Скорее всего блок по IP.

Да, так и пишет

 

[akok]

Добавил зеркало

Farbar Recovery Scan Tool

Farbar Recovery Scan Tool, или FRST, представляет собой портативное приложение, предназначенное для работы в Windows XP, Windows Vista и Windows 7/8/10/11 в обычном или безопасном режиме для диагностики проблем с вредоносным ПО.Обновляется...

www.safezone.cc

 

[каллоус]

Мне нужно еще раз просканировать другой версией этой программы и прислать вам логи?

Логи Farbar почему сделали версией полуторагодичной давности, скачанной с зеркала?

 

[Sandor]

Да, именно так. Выше ссылка, программу скачиваете здесь же.

 

[каллоус]

Да, именно так. Выше ссылка, программу скачиваете здесь же.

cделал, ниже прикрепляю

 

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

App-Torrent-Igruha 4.2.17
MediaGet
Кнопка "Яндекс" на панели задач

Далее:
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  Task: {8A91304E-9C86-4107-8C2A-425D5E7C2123} - System32\Tasks\ваыавыа => shutdown  (Нет файла)
  C:\Users\Царев\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
  C:\Users\Царев\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdpnafocfehpjfiphhoejnghlkomllll
  CHR HKU\S-1-5-21-2179537028-1936793739-4066677394-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
  FirewallRules: [{1F192A21-1746-4EA0-963F-7DB89EF6BCED}] => (Allow) C:\Users\Царев\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{E94D8BC2-E63C-441D-B4AC-9345FD1F0A30}] => (Allow) C:\Users\Царев\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{2430F5BA-B812-4E32-A3CD-ADBF2AC94A50}] => (Allow) C:\Users\Царев\MediaGet2\QtWebEngineProcess.exe (The Qt Company Oy -> The Qt Company Ltd.)
  FirewallRules: [{EA8C0CD2-37B4-417C-BD97-4D0B393C94C4}] => (Allow) C:\Users\Царев\MediaGet2\QtWebEngineProcess.exe (The Qt Company Oy -> The Qt Company Ltd.)
  FirewallRules: [{CD354C61-F787-4917-A534-3F17A0B31AC9}] => (Allow) LPort=32683
  FirewallRules: [{0BFF22F7-88CE-43F9-835B-15F171ACB7A2}] => (Allow) LPort=26822
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[каллоус]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:


Далее:
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  Task: {8A91304E-9C86-4107-8C2A-425D5E7C2123} - System32\Tasks\ваыавыа => shutdown  (Нет файла)
  C:\Users\Царев\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
  C:\Users\Царев\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdpnafocfehpjfiphhoejnghlkomllll
  CHR HKU\S-1-5-21-2179537028-1936793739-4066677394-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
  FirewallRules: [{1F192A21-1746-4EA0-963F-7DB89EF6BCED}] => (Allow) C:\Users\Царев\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{E94D8BC2-E63C-441D-B4AC-9345FD1F0A30}] => (Allow) C:\Users\Царев\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{2430F5BA-B812-4E32-A3CD-ADBF2AC94A50}] => (Allow) C:\Users\Царев\MediaGet2\QtWebEngineProcess.exe (The Qt Company Oy -> The Qt Company Ltd.)
  FirewallRules: [{EA8C0CD2-37B4-417C-BD97-4D0B393C94C4}] => (Allow) C:\Users\Царев\MediaGet2\QtWebEngineProcess.exe (The Qt Company Oy -> The Qt Company Ltd.)
  FirewallRules: [{CD354C61-F787-4917-A534-3F17A0B31AC9}] => (Allow) LPort=32683
  FirewallRules: [{0BFF22F7-88CE-43F9-835B-15F171ACB7A2}] => (Allow) LPort=26822
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Готово

 

[Sandor]

Что сейчас с проблемой?

 

[каллоус]

Что сейчас с проблемой?

все также

 

[Sandor]

при открытии диспетчера задач процесс пропадает и спадает нагрузка на ЦП

Если вы про кратковременный скачок загрузки при старте Диспетчера, то это нормальное явление.

 

[каллоус]

Если вы про кратковременный скачок загрузки при старте Диспетчера, то это нормальное явление.

То-есть я зря думал что это вирус?

 

[Sandor]

Именно так

Если других проблем не наблюдаете, в завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[каллоус]

Именно так

Если других проблем не наблюдаете, в завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

сделал, ниже файл

 

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------
AMD Software v.22.11.1 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9007 Внимание! Скачать обновления
Telegram Desktop v.4.5 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
uTorrent Web v.1.3.0 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u351-windows-x64.exe - Windows Offline (64-bit))^
---------------------------- [ UnwantedApps ] -----------------------------
MediaGet Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопка "Яндекс" на панели задач v.3.7.7.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
platforms-privacy v.1.070622 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


По возможности исправьте перечисленное.

Читайте Рекомендации после удаления вредоносного ПО