что-то "жрет" оперативную память

[regist 617]

Выполните скрипт в uVS
 

;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG

zoo %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.5.17490.219\QMUDISK.SYS
delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.5.17490.219\QMUDISK.SYS
zoo %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.5.17490.219\SOFTAAL.SYS
delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.5.17490.219\SOFTAAL.SYS
zoo %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\PLUGINS\SREPAIRDRV
delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\PLUGINS\SREPAIRDRV
zoo %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.5.17490.219\TSNETHLP.SYS
delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.5.17490.219\TSNETHLP.SYS
deldir  %SystemDrive%\PROGRAM FILES\TENCENT\
delref HTTP://GO.MAIL.RU/DISTIB/EP/?PRODUCT_ID=%7B74E2B6F3-9CAA-4F07-8B26-43F8AD5C979C%7D&GP=811022
delref HTTP://GO.MAIL.RU/SEARCH?Q={SEARCHTERMS}&IEVERFIX=1&FR=IEVERFIX_DSE
delref HTTP://MAIL.RU/CNT/10445?GP=811021
delref HTTP://UTROM.ORG/?SUBACC=3
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.111\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.99\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DKEKDLKMDPIPIHONAPOLEOPFEKMAPADH\2.0.2.15_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JAOCGOKLEDFMFEBEFGBEOKDODBBDJHDD\1.262_0\«ÐизÑалÑнÑе Ðакладки» Ð¾Ñ MAIL.RU
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGKNPFANCPEAMEJMCOOEDLJJNADDLDHG\2.0.2_1\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO\1.0.8_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CLPDGMDKDNIJJBGMNAJOLNBNJEJOEOGM\1.250_0\«ВИЗУАЛЬНЫЕ ЗАКЛАДКИ» ОТ MAIL.RU
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HPCGHCDJNEHPKDECAFLPEDHKLIMNEJIA\2.0.0.11_2\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.1.30_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OOEBKLGPFNBCNPOKAHMDIDGBMLCDEPKM\3.1_0\电脑管家上网防护
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.15\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.11\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.5\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.26.9\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.27.5\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.1\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.13\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.15\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.5\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.30.3\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.31.5\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.32.7\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.3\PSUSER.DLL
delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\WEBREP\FF
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGKNPFANCPEAMEJMCOOEDLJJNADDLDHG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCLPDGMDKDNIJJBGMNAJOLNBNJEJOEOGM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
zoo %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA1352\CH\MEDIAVIEWV1ALPHA1352.CRX
delall %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA1352\CH\MEDIAVIEWV1ALPHA1352.CRX
zoo %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA1352\FF
delall %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA1352\FF
delref H:\AUTORUN.EXE
delref L:\AUTORUN.EXE
delref F:\AUTORUN.EXE
apply
czoo
restart


 

После этого проверьте есть ли улучшения и если получится соберите лог из обычного режима.

[ArCtic 0]

как мне тут карантин передать? сверху нет кнопки такой

[regist 617]

В данном случае карантин не нужен. Файлы в карантине от китайского антивируса, на который никто детекты добавлять не будет.  А как следствие нет смысла их рассылать на анализ, так как ничего нового там нет.

[ArCtic 0]

с подключенным кабелем Ethernet не делался лог, сделал без кабеля

CollectionLog-2017.08.16-13.11.zip

[regist 617]

Вижу самочуствие уже намного лучше .

O7 - TroubleShoot: HKLM\..\%TEMP% - C:\TEMP (environment value is altered)
O7 - TroubleShoot: HKLM\..\%TMP% - C:\TEMP (environment value is altered)

путь используемый для Temp сами поменяли?

 

Download Master - как понимаю уже удалён?

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

2) Удалите остатки avast, по инструкции в статье https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

 

3) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (file missing)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (file missing)
O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - (no file)
O8 - Extra context menu item: Закачать при помощи Download Master - (no file)
O9 - Extra button: (no name) - HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O21 - ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

 

4)

Менеджер браузеров [20170321]-->MsiExec.exe /X{36E317A1-1384-4FC5-92CD-D4731B651859}

советую удалить.

 

5) Сделайте свежий лог AdwCleaner-а  и свежий лог uVS (уже из под живой системы).

Пока ещё осталисть остатки от Tencent, надо добить его.

[ArCtic 0]

путь используемый для Temp сами поменяли?

 

комп не мой, возможно и меняли

https://virusinfo.info/virusdetector/report.php?md5=88C2C368CDA65D35229697D0D49BE9D1

avast удалил

пофиксил

 

 

Менеджер браузеров [20170321]-->MsiExec.exe /X{36E317A1-1384-4FC5-92CD-D4731B651859}

удалить не могу, тк его нет в списке программ

 

 

лог uVS

так же не сохраняет. Пк до сих пор на перезагрузку не идет, нужно только выключать.

AdwCleanerC0.txt

AdwCleanerS0.txt

[regist 617]

 

 

так же не сохраняет.

ок, тогда попробуем

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[ArCtic 0]

готово.

что же все же делать с обжорством оперативки и невозможностью перезагрузить компьютер?

еще свойства системы не открываются.

Addition.txt

FRST.txt

Shortcut.txt

[regist 617]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-1713242843-1804538326-512431306-1000\...\MountPoints2: {23ae37bb-6f67-11e7-90fe-001e907d421c} - H:\.\Driver\DriverInstaller.exe -eject
  HKU\S-1-5-21-1713242843-1804538326-512431306-1000\...\MountPoints2: {c24aab2f-b53b-11e6-bc0e-001e907d421c} - H:\timeUpdater.exe
  SearchScopes: HKLM -> 0633EE93-D776-472f-A0FF-E1416B8B2E3A URL =
  SearchScopes: HKU\S-1-5-21-1713242843-1804538326-512431306-1000 -> Software URL =
  ShortcutWithArgument: C:\Users\USER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\2b02036fb889104e\«Визуальные Закладки» от Mail.Ru.lnk -> C:\Users\USER\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mail.ru
  FirewallRules: [{A200BE84-3394-418F-8B02-211F22A7D2AA}] => (Allow) C:\TEMP\is-D3NOJ.tmp\thorn_setup.tmp
  FirewallRules: [{3DAF74A4-B381-4AFD-9597-A9EA896F35CC}] => (Allow) C:\TEMP\is-D3NOJ.tmp\thorn_setup.tmp
  FirewallRules: [{F372A8C3-990A-413D-920F-B2B3ABD152DE}] => (Allow) C:\TEMP\is-KARLN.tmp\thorn_setup.tmp
  FirewallRules: [{4DC423C2-F2F5-4C9E-BAED-29A78551315F}] => (Allow) C:\TEMP\is-KARLN.tmp\thorn_setup.tmp
  FirewallRules: [{740391FB-56FA-4806-8A8E-B2220A1CFC4B}] => (Allow) C:\Users\USER\AppData\Roaming\QB\QQBrowser.exe
  FirewallRules: [{2DE20198-CFC5-49AB-82DF-65D7D3589A6F}] => (Allow) C:\Users\USER\AppData\Roaming\QB\QQBrowser.exe
  FirewallRules: [{D6C08DE5-3640-4D55-B768-701634461FF6}] => (Allow) C:\Users\USER\AppData\Roaming\QB\BugReport.exe
  FirewallRules: [{B7C5E5FC-9DEC-42FE-8025-DFBD72AD8E52}] => (Allow) C:\Users\USER\AppData\Roaming\QB\BugReport.exe
  FirewallRules: [{36A6B41E-B14B-4B18-89EE-E4D15DAD517A}] => (Allow) C:\Users\USER\AppData\Roaming\QB\9.3.7387.400\qqbrowser.exe
  FirewallRules: [{0FF2393B-9D03-4C4C-BCB3-9F737C758BFD}] => (Allow) C:\Users\USER\AppData\Roaming\QB\9.3.7387.400\qqbrowser.exe
  FirewallRules: [{F2CB6A5B-5521-4F4D-8CC6-82CA433BAC80}] => (Allow) C:\program files\common files\tencent\qqdownload\131\tencentdl.exe
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

+

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 SetServiceStart('TSSK', 4);
 StopService('TSSK');
 StopService('TsQBDrv');
 DeleteFile('C:\Windows\system32\drivers\TsQBDrv.sys', '32');
 DeleteFile('C:\Windows\system32\tssk.sys', '32');
 DeleteService('TsQBDrv');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

[ArCtic 0]

готово

FRST.txt

[regist 617]

я другое просил.

[ArCtic 0]

пардон

CollectionLog-2017.08.16-21.07.zip

[regist 617]

 

 

Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

а это где?

+ Обязательно смените браузер по умолчанию.

 

Мозиллу советую удалить с зачисткой профиля и поставить заново.

[ArCtic 0]

вот

Fixlog.txt

[regist 617]

1. Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
2. • Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
   • Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)
     

  [*]Введите sfc /scannow и нажмите Энтер. [*]Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка. [*]После того как закончится проверка в командной строке введите команду:

findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt

[*]После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.

 

+ проверьте можете создать точку восстановления системы?