Максим Рожнов 0 Опубликовано 16 мая, 2019 Share Опубликовано 16 мая, 2019 Добрый день, в последнее время стал часто виснуть компьютер процессов вместо 60 - 117, вылазит периодически реклама на рабочем столе и подгружается несколько процессов Google chrome. Логи подгрузил, прошу помочь. CollectionLog-2019.05.16-17.53.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 16 мая, 2019 Share Опубликовано 16 мая, 2019 Здравствуйте. Выполните скрипт в AVZ из папки Autologger begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Max\AppData\Local\Temp\csrss\scheduled.exe',''); QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys',''); SetServiceStart('WinmonProcessMonitor', 4); DeleteService('WinmonProcessMonitor'); SetServiceStart('WinmonFS', 4); DeleteService('WinmonFS'); SetServiceStart('Winmon', 4); DeleteService('Winmon'); SetServiceStart('WinDefender', 4); DeleteService('WinDefender'); QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys',''); QuarantineFile('C:\Windows\System32\drivers\Winmon.sys',''); TerminateProcessByName('c:\windows\windefender.exe'); QuarantineFile('c:\windows\windefender.exe',''); TerminateProcessByName('c:\users\max\appdata\local\temp\csrss\lsa64.exe'); QuarantineFile('c:\users\max\appdata\local\temp\csrss\lsa64.exe',''); TerminateProcessByName('c:\users\max\appdata\local\temp\csrss\smb\e7.exe'); QuarantineFile('c:\users\max\appdata\local\temp\csrss\smb\e7.exe',''); TerminateProcessByName('c:\windows\rss\csrss.exe'); TerminateProcessByName('c:\users\max\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe'); QuarantineFile('c:\users\max\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe',''); QuarantineFile('c:\windows\rss\csrss.exe',''); DeleteFile('c:\windows\rss\csrss.exe','32'); DeleteFile('c:\users\max\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe','32'); DeleteFile('c:\users\max\appdata\local\temp\csrss\smb\e7.exe','32'); DeleteFile('c:\users\max\appdata\local\temp\csrss\lsa64.exe','32'); DeleteFile('c:\windows\windefender.exe','32'); DeleteFile('C:\Windows\System32\drivers\Winmon.sys','64'); DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys','64'); DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WanderingCherry','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WanderingCherry','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x64'); DeleteSchedulerTask('all-journalnethilxozsm'); DeleteSchedulerTask('AVAST Software\Avast settings backup'); DeleteSchedulerTask('csrss'); DeleteSchedulerTask('lsa64'); DeleteSchedulerTask('ScheduledUpdate'); DeleteFile('C:\Users\Max\AppData\Local\Temp\csrss\scheduled.exe','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Цитата Ссылка на сообщение Поделиться на другие сайты
Максим Рожнов 0 Опубликовано 20 мая, 2019 Автор Share Опубликовано 20 мая, 2019 Здравствуйте. Выполните скрипт в AVZ из папки Autologger begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Max\AppData\Local\Temp\csrss\scheduled.exe',''); QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys',''); SetServiceStart('WinmonProcessMonitor', 4); DeleteService('WinmonProcessMonitor'); SetServiceStart('WinmonFS', 4); DeleteService('WinmonFS'); SetServiceStart('Winmon', 4); DeleteService('Winmon'); SetServiceStart('WinDefender', 4); DeleteService('WinDefender'); QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys',''); QuarantineFile('C:\Windows\System32\drivers\Winmon.sys',''); TerminateProcessByName('c:\windows\windefender.exe'); QuarantineFile('c:\windows\windefender.exe',''); TerminateProcessByName('c:\users\max\appdata\local\temp\csrss\lsa64.exe'); QuarantineFile('c:\users\max\appdata\local\temp\csrss\lsa64.exe',''); TerminateProcessByName('c:\users\max\appdata\local\temp\csrss\smb\e7.exe'); QuarantineFile('c:\users\max\appdata\local\temp\csrss\smb\e7.exe',''); TerminateProcessByName('c:\windows\rss\csrss.exe'); TerminateProcessByName('c:\users\max\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe'); QuarantineFile('c:\users\max\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe',''); QuarantineFile('c:\windows\rss\csrss.exe',''); DeleteFile('c:\windows\rss\csrss.exe','32'); DeleteFile('c:\users\max\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe','32'); DeleteFile('c:\users\max\appdata\local\temp\csrss\smb\e7.exe','32'); DeleteFile('c:\users\max\appdata\local\temp\csrss\lsa64.exe','32'); DeleteFile('c:\windows\windefender.exe','32'); DeleteFile('C:\Windows\System32\drivers\Winmon.sys','64'); DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys','64'); DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WanderingCherry','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WanderingCherry','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x64'); DeleteSchedulerTask('all-journalnethilxozsm'); DeleteSchedulerTask('AVAST Software\Avast settings backup'); DeleteSchedulerTask('csrss'); DeleteSchedulerTask('lsa64'); DeleteSchedulerTask('ScheduledUpdate'); DeleteFile('C:\Users\Max\AppData\Local\Temp\csrss\scheduled.exe','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Добрый день, спасибо! Загрузил ответ в вирус инфо: Файл сохранён как 190520_100717_quarantine_5ce27c554b508.zip Размер файла 24706193 MD5 2eb4f6a12fdbcc04977dabedb7f1b272 Документ с новыми логами во вложении. CollectionLog-2019.05.20-14.10.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 20 мая, 2019 Share Опубликовано 20 мая, 2019 Не нужно полностью цитировать выдаваемые Вам рекомендации. Для ответа достаточно области внизу экрана. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Максим Рожнов 0 Опубликовано 21 мая, 2019 Автор Share Опубликовано 21 мая, 2019 Добрый день, архив во вложении. proverka.rar Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 21 мая, 2019 Share Опубликовано 21 мая, 2019 1. Выделите следующий код: Start:: CreateRestorePoint: 2019-04-30 16:54 - 2019-05-20 13:42 - 002393568 _____ () C:\ProgramData\appdata.dat 2019-04-30 16:54 - 2019-05-20 13:42 - 002393568 _____ () C:\Users\Все пользователи\appdata.dat 2017-08-08 11:31 - 2017-08-08 11:31 - 000000000 _____ () C:\Users\Max\AppData\Roaming\eGUiKSAmJi 2019-04-30 16:54 - 2019-05-18 01:42 - 000000001 _____ () C:\Users\Max\AppData\Roaming\lsa64.log FirewallRules: [{39840AB8-6119-48DA-87CB-7F22D250B219}] => (Allow) C:\Windows\rss\csrss.exe No File FirewallRules: [{060A8543-1DBD-4A49-8B29-D933B0A4B48D}] => (Allow) C:\Users\Max\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File FirewallRules: [{7E02003F-3770-4256-9159-F4180E163801}] => (Allow) C:\Users\Max\AppData\Local\Temp\csrss\lsa64.exe No File FirewallRules: [{F039FA18-65A0-42BD-833E-8E0EB611D330}] => (Allow) C:\Users\Max\AppData\Local\Temp\csrss\lsa64.exe No File FirewallRules: [{E1274B21-4824-4355-9AC2-B323DCB94724}] => (Allow) C:\Users\Max\AppData\Local\Temp\csrss\lsa64.exe No File FirewallRules: [{65204896-B719-4895-B58D-BC3A1C77C4CB}] => (Allow) C:\Users\Max\AppData\Local\Temp\csrss\lsa64.exe No File FirewallRules: [{2C7918AC-C7B8-4EF4-A097-7BA8CDD551F7}] => (Allow) C:\Users\Max\AppData\Local\Temp\csrss\lsa64.exe No File FirewallRules: [{6412E0F7-5B2E-496B-B910-A830006837EC}] => (Allow) C:\Users\Max\AppData\Local\Temp\csrss\lsa64.exe No File FirewallRules: [{989CE703-60BD-4D38-804D-63DCD0C8A890}] => (Allow) C:\Users\Max\AppData\Local\Temp\csrss\lsa64.exe No File FirewallRules: [{3895CB9B-10E1-499D-A654-E4C3ADFDB6FD}] => (Allow) C:\Users\Max\AppData\Local\Temp\csrss\lsa64.exe No File FirewallRules: [{EBB6A24D-C680-49FC-84F4-A46E5A02669F}] => (Allow) C:\Users\Max\AppData\Local\Temp\csrss\lsa64.exe No File FirewallRules: [{26370432-3FDB-4DC2-8195-465EF519C6D5}] => (Allow) C:\Users\Max\AppData\Local\Temp\csrss\lsa64.exe No File C:\Users\Max\AppData\Local\Temp\csrss C:\Users\Max\AppData\Roaming\EpicNet Inc FirewallRules: [{DA892CF9-9AD8-454A-AAD1-94FF64C07F03}] => (Allow) C:\Users\Max\AppData\Local\Temp\csrss\lsa64.exe No File FirewallRules: [{A10CE93C-1C4C-4DBE-9FFE-CBD28D55010E}] => (Allow) C:\Users\Max\AppData\Local\Temp\csrss\lsa64.exe No File FirewallRules: [{ECFB34F3-1BD9-4282-BC60-A82033D8E359}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe No File FirewallRules: [{E0C2DB85-7EB2-410F-9C33-E13A074A6C6B}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe No File Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Цитата Ссылка на сообщение Поделиться на другие сайты
Максим Рожнов 0 Опубликовано 22 мая, 2019 Автор Share Опубликовано 22 мая, 2019 Добрый день, во вложении. Добрый день, во вложении. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 22 мая, 2019 Share Опубликовано 22 мая, 2019 Проблема решена? Цитата Ссылка на сообщение Поделиться на другие сайты
Максим Рожнов 0 Опубликовано 22 мая, 2019 Автор Share Опубликовано 22 мая, 2019 (изменено) Частично решилось, вместо 180 стало 107-110 процессов, ещё по многу дублируется гугл хром - 15 процессов висит и загружает на 50% процессор, иногда реклама выскакивает на всех сайтах одна и та же. Изменено 22 мая, 2019 пользователем Максим Рожнов Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 22 мая, 2019 Share Опубликовано 22 мая, 2019 В современных браузерах каждая новая вкладка или расширение - отдельный процесс в памяти. Цитата Ссылка на сообщение Поделиться на другие сайты
Максим Рожнов 0 Опубликовано 23 мая, 2019 Автор Share Опубликовано 23 мая, 2019 Спасибо за помощь! Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 26 мая, 2019 Share Опубликовано 26 мая, 2019 Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.