Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Вредоносная программа тормозит ПК (http://forum.oszone.net/showthread.php?t=354020)

Игорь069 15-08-2023 00:25 3013932
Вредоносная программа тормозит ПК
 
Скачал пиратскую программу, теперь начались проблемы. Система тормозит, браузер сам закрывается. Пробовал чистить утилитой от Доктор Веб, но она не смогла всё вылечить. На форуме подсказали как создать тему. Запустить AutoLogger.exe удалось только в безопасном режиме. Пойдёт ли так, не знаю, но запустить по другому не смог, сразу закрывается.

Sandor 15-08-2023 08:12 3013938
Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером (уже в нормальном режиме).

Игорь069 15-08-2023 22:09 3013989
С горем пополам вроде получилось. AV block remover удалось запустить только в безопасном режиме с поддержкой сетевых драйверов. CollectionLog в нормальном режиме запустится не смог, пришлось тоже в безопасном запустить.

Sandor 16-08-2023 10:14 3014003
Странно.
Попробуйте запустить ещё раз AVbr, только из нормального режима. Не получится, запустите из безопасного и прикрепите его новый отчёт.

Игорь069 16-08-2023 14:28 3014020
Сегодня получилось запуститься из нормального режима. И снова утилита спрашивала, знаю ли я пользователя John. Я нажал не знаю и удалил.

Sandor 16-08-2023 14:31 3014021
Да, вижу.
Соберите, пожалуйста, новый CollectionLog Автологером и тоже пробуйте из нормального режима.

Игорь069 16-08-2023 20:44 3014031
В нормальном так и не получилось, сколько не пробовал. Закрывается утилита сразу. В безопасном только.

Игорь069 17-08-2023 07:51 3014047
Это сделал сегодня утром. А Logi сделать в нормальном режиме так и не удалось.

Sandor 17-08-2023 09:25 3014054
Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Цитата:
Unchecky v1.2
VdhCoApp 1.6.3
Далее:
"Пофиксите" в HijackThis:
Код:
O1 - Hosts: Reset contents to default
O22 - Tasks: \Microsoft\Windows\SysFilesL\RecoveryHosts - C:\ProgramData\Microsoft\Windows\vmhNtJ0\SysFilesL.bat (not signed)
O22 - Tasks: \Microsoft\Windows\SysFilesL\RecoveryTask - C:\Programdata\ReaItekHD\taskhostw.exe (not signed)
O22 - Tasks: \Microsoft\Windows\SysFilesL\vmhNtJ0 - C:\Programdata\ReaItekHD\taskhost.exe (not signed)
O22 - Tasks: \Microsoft\Windows\Wininet\Hor - C:\ProgramData\Microsoft\Windows\vmhNtJ0\Game.exe -ppidar (not signed)
O22 - Tasks: \Microsoft\Windows\Wininet\winser - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (invalid sign)
O22 - Tasks: \Microsoft\Windows\Wininet\winsers - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (invalid sign)
Перезагрузите компьютер.

Ещё раз запустите AVbr, покажите новый лог и ещё раз соберите CollectionLog Автологером. Пробуйте сначала в нормальном режиме

Игорь069 17-08-2023 14:02 3014071
Фиксить получилось только в безопасном режиме. Остальное удалось в нормальном.

Sandor 17-08-2023 14:09 3014072
Хорошо, уже значительно лучше, но еще есть с чем поработать.

Браузером Атом пользуетесь? Если нет, деинсталлируйте его.
Программу
Цитата:
prohibited-preventing
тоже удалите.

"Пофиксите" в HijackThis:
Код:
R3 - HKCU\..\URLSearchHooks: (no name) - {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - (no file)
O4 - HKCU\..\: [] = d41d8cd98f00b204e9800998ecf8427e (file missing)
O4 - HKCU\Control Panel\Desktop: [SCRNSAVE.EXE] = C:\Windows\SysWOW64\NFS3DU~1.SCR (file missing)
O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\ReaItekHD\taskhostw.exe (file missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: prohibited-preventing - C:\ProgramData\prospect-placing\bin.exe /H (file missing)
Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Игорь069 17-08-2023 21:39 3014097
Программу prohibited-preventing пришлось удалять в безопасном режиме, и частями. После того как пофиксил, система заметно лучше стала работать, даже через браузер зашёл и сейчас пишу. До этого заходил с 10-ки, на 7-ке вообще не получалось.

Игорь069 18-08-2023 07:37 3014115
Решил с утра сделать снова проверку компа. Может и не надо было, но на всякий случай.

Sandor 18-08-2023 08:09 3014116
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    CHR DefaultSearchURL: Default -> hxxp://s64.tupoisk.ru/?q={searchTerms}
    CHR HKLM-x32\...\Chrome\Extension: [gjaojbkkfpedgefidkagjeibcbfnakke] - hxxps://fastproxy.app/service/update2/crx?partner=02
    2023-08-14 13:15 - 2023-08-14 13:15 - 000000000 __SHD C:\Users\Игорь\AppData\Roaming\Sysfiles
    2023-08-14 13:15 - 2023-08-14 13:15 - 000000000 __SHD C:\ProgramData\princeton-produce
    2023-08-14 13:15 - 2023-08-14 13:15 - 000000000 __SHD C:\Program Files\QuickCPU
    2023-08-14 13:15 - 2023-08-14 13:15 - 000000000 __SHD C:\Program Files\NETGATE
    2023-08-14 13:15 - 2023-08-14 13:15 - 000000000 __SHD C:\Program Files (x86)\GPU Temp
    2023-08-14 13:15 - 2023-08-14 13:15 - 000000000 ____D C:\Program Files\CPUID
    2023-08-14 13:15 - 2023-08-14 13:15 - 000000000 ____D C:\Program Files (x86)\MSI
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [636]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [636]
    AlternateDataStreams: C:\Users\Все пользователи:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи:NT2 [636]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [636]
    AlternateDataStreams: C:\ProgramData\TEMP:1ED915E2 [156]
    AlternateDataStreams: C:\ProgramData\TEMP:9F7673DF [149]
    FirewallRules: [{E1143162-E6BF-4363-A6D0-7ABA36FAF7A3}] => (Allow) C:\Users\Игорь\MediaGet2\mediaget.exe => Нет файла
    FirewallRules: [{9310E80F-8423-4D5A-A26E-1245962A5A9F}] => (Allow) C:\Users\Игорь\MediaGet2\mediaget.exe => Нет файла
    FirewallRules: [{F1255BDF-6F63-4315-BC87-E5E92A619CE6}] => (Allow) C:\Users\Игорь\MediaGet2\QtWebEngineProcess.exe => Нет файла
    FirewallRules: [{A004E4E0-13DB-47E6-92E9-2A6B0C28CE05}] => (Allow) C:\Users\Игорь\MediaGet2\QtWebEngineProcess.exe => Нет файла
    FirewallRules: [{03B509AB-3220-4FB5-B259-B71343F45D0B}] => (Allow) LPort=12972
    FirewallRules: [{33706F92-0299-4A8B-BC12-E074B6AEA687}] => (Allow) LPort=14714
    FirewallRules: [{EEB46D2F-7E10-4932-A58A-AD21120D79A4}] => (Allow) LPort=31931
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Игорь069 18-08-2023 13:26 3014137
Сделал.

Sandor 18-08-2023 13:28 3014138
Хорошо. В итоге - что с проблемой?

Игорь069 18-08-2023 13:41 3014140
Да, вроде всё работает без проблем. Сейчас надо уехать, а вечером обкатаю по полной и отпишусь.

Sandor 18-08-2023 13:43 3014141
Хорошо, и проделайте завершающие шаги:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Игорь069 18-08-2023 19:48 3014163
Вложений: 1
Сделал.

Sandor 19-08-2023 09:31 3014177
Исправьте по возможности:
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Автоматическое обновление отключено (-1)
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4565354 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
AMD Software v.21.5.2 Внимание! Скачать обновления
OpenOffice 4.1.11 v.4.111.9808 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 21.07 (x64) v.21.07 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
GIMP 2.10.22 v.2.10.22 Внимание! Скачать обновления
paint.net v.4.3.10 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
Audacity 2.3.0 v.2.3.0 Внимание! Скачать обновления
K-Lite Codec Pack 16.8.0 Full v.16.8.0 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
FreeU v.61.0.3163.69 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Browser Configuration Utility v.1.1.11.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Читайте Рекомендации после лечения.

Игорь069 19-08-2023 10:45 3014183
Хорошо, буду исправлять. Огромное спасибо за помощь в решении проблемы!


Время: 14:56.

Время: 14:56.
© OSzone.net 2001-