Перейти к содержанию
Правила раздела
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Подозрение на заражение вирусом, реклама, зависания системы.

Fin37

Автор Fin37
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Fin37

Fin37

Опубликовано
Опубликовано

Добрый день. С ноутбуком следующая проблема: очень сильные зависания системы и тормоза, даже без нагрузки и в простое. Очень долгая загрузка, долгая работа с буфером обмена, долгий запуск приложений. В браузере наблюдается время от времени реклама казино и подобных вещей. Также реклама в виде всплывающих сообщений в углу появляется сразу после загрузки системы.

 

На ноутбуке используется Ammy Admin и Team Viewer. Намеренно настроено VPN соединение и подключение к удаленному рабочему столу.

 

Логи прикрепляю к сообщению. Спасибо :)

CollectionLog-2019.10.06-18.34.zip

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
Task: {04737B41-2A23-471B-9206-B918A6E572BD} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {122365F8-FB3A-471F-9B75-BD05FB74B154} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {217573AA-B082-4F86-8CDE-37827B92FA3E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {22669B81-23AA-4403-B0CB-C9EFBB23202A} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {32CEC24B-5B23-40FF-A343-BCE49C509C5F} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
Task: {501787E3-6C26-4E38-8839-B11371E535D7} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {620FFE05-22EB-43A5-B736-876D0DBA93FE} - System32\Tasks\DriverScanner => C:\Program Files (x86)\Uniblue\DriverScanner\dsmonitor.exe <==== ATTENTION
Task: {68640A3F-64B9-4F5F-9281-F471F1EF8611} - \nethost task -> No File <==== ATTENTION
Task: {6F4471B9-2D27-4524-AB0D-2D456A31B9D2} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {787FBD7E-C438-4334-8161-4755423D9CAA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {9B37DCCF-06CC-4B68-BC70-B228D061D092} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {A2BA8F99-35C0-4178-B759-3A3D63A93DF2} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION
Task: {C2D874D0-AE74-4986-ACDA-90CD4FA3EC08} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {C7BB9774-3AA1-4EBA-B5A3-AF334F751C43} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
Task: {D263471D-12DB-47CE-AD3B-B19A6442A3D3} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {D61C808D-31FD-449B-B38D-B4BA2BB65B2A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {F1C4EADF-1B9C-4215-90B7-7BA5ED15454A} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: C:\WINDOWS\Tasks\DriverScanner.job => C:\Program Files (x86)\Uniblue\DriverScanner\dsmonitor.exe <==== ATTENTION
HKU\S-1-5-21-786942387-2308158581-4263791392-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://kenago.ru/?utm_content=4ed0e557fd56cef8622d0acf53599b1d&utm_source=startpm&utm_term=A53C936891BA78354B082D14A6EB4686
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
Toolbar: HKU\S-1-5-21-786942387-2308158581-4263791392-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-786942387-2308158581-4263791392-1001 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
FirewallRules: [UDP Query User{D4B504E2-77C5-4D2F-8636-B3AE909AE8DF}C:\users\алина\desktop\anydesk.exe] => (Allow) C:\users\алина\desktop\anydesk.exe No File
FirewallRules: [TCP Query User{F375F8E8-D20A-43F0-B620-65D19374F885}C:\users\алина\desktop\anydesk.exe] => (Allow) C:\users\алина\desktop\anydesk.exe No File
FirewallRules: [{7B02AB49-2F6E-4A8B-89A9-6D0B8300EE25}] => (Allow) C:\Users\Алина\AppData\Local\MediaGet2\mediaget.exe No File
FirewallRules: [{6D66B99F-E0DD-4B42-88BF-F47B0FC95464}] => (Allow) C:\Users\Алина\AppData\Local\MediaGet2\mediaget.exe No File
FirewallRules: [{1F98E7F1-30B8-463A-AF2F-EFBF51A12014}] => (Allow) C:\Users\Алина\AppData\Roaming\Dropbox\bin\Dropbox.exe No File
FirewallRules: [{63EB81A3-CA9F-4260-827D-04C36F6233FE}] => (Allow) C:\Users\Алина\AppData\Roaming\Dropbox\bin\Dropbox.exe No File
FirewallRules: [UDP Query User{AD9CA76A-F313-4356-AF0F-C7E639B59D87}C:\program files (x86)\r.g. mechanics\outlast\binaries\win64\olgame.exe] => (Block) C:\program files (x86)\r.g. mechanics\outlast\binaries\win64\olgame.exe No File
FirewallRules: [TCP Query User{B2413B26-22DE-4474-99F4-1E3419F15E55}C:\program files (x86)\r.g. mechanics\outlast\binaries\win64\olgame.exe] => (Block) C:\program files (x86)\r.g. mechanics\outlast\binaries\win64\olgame.exe No File
FirewallRules: [UDP Query User{A130581D-72FA-4DBB-8885-34B9AD4EF22B}C:\users\алина\appdata\local\mail.ru\аллоды онлайн\bin\gamecenterlight\gamecenter@mail.ru.exe] => (Allow) C:\users\алина\appdata\local\mail.ru\аллоды онлайн\bin\gamecenterlight\gamecenter@mail.ru.exe No File
FirewallRules: [TCP Query User{1581ECFD-D52A-4BA9-AC54-4056216AB338}C:\users\алина\appdata\local\mail.ru\аллоды онлайн\bin\gamecenterlight\gamecenter@mail.ru.exe] => (Allow) C:\users\алина\appdata\local\mail.ru\аллоды онлайн\bin\gamecenterlight\gamecenter@mail.ru.exe No File
FirewallRules: [UDP Query User{0A4DBE09-61B8-4107-B7CA-BE5A67F9A625}C:\users\алина\appdata\local\mail.ru\gamecenter\gamecenter@mail.ru.exe] => (Allow) C:\users\алина\appdata\local\mail.ru\gamecenter\gamecenter@mail.ru.exe No File
FirewallRules: [TCP Query User{ECC0E4AE-7F65-427F-B202-3D45D41128DF}C:\users\алина\appdata\local\mail.ru\gamecenter\gamecenter@mail.ru.exe] => (Allow) C:\users\алина\appdata\local\mail.ru\gamecenter\gamecenter@mail.ru.exe No File
FirewallRules: [UDP Query User{29956913-3A45-4849-ACD8-FA4D70AEB0C1}C:\users\алина\appdata\local\mail.ru\аллоды онлайн\bin\gamecenterlight\gamecenter@mail.ru.exe] => (Block) C:\users\алина\appdata\local\mail.ru\аллоды онлайн\bin\gamecenterlight\gamecenter@mail.ru.exe No File
FirewallRules: [TCP Query User{4C85D1E1-ED6F-43BD-8C32-BAD1E7F16C7F}C:\users\алина\appdata\local\mail.ru\аллоды онлайн\bin\gamecenterlight\gamecenter@mail.ru.exe] => (Block) C:\users\алина\appdata\local\mail.ru\аллоды онлайн\bin\gamecenterlight\gamecenter@mail.ru.exe No File
FirewallRules: [UDP Query User{04B3C919-3FE5-431E-BF5C-B501BB6BD9BF}C:\users\алина\appdata\local\mail.ru\gamecenter\gamecenter@mail.ru.exe] => (Block) C:\users\алина\appdata\local\mail.ru\gamecenter\gamecenter@mail.ru.exe No File
FirewallRules: [TCP Query User{82311BDB-AF99-45BE-B820-91C40400A8E2}C:\users\алина\appdata\local\mail.ru\gamecenter\gamecenter@mail.ru.exe] => (Block) C:\users\алина\appdata\local\mail.ru\gamecenter\gamecenter@mail.ru.exe No File
FirewallRules: [{EF20B458-4F0C-43B9-8A08-16D210364706}] => (Allow) C:\Program Files\Intel\WiFi\bin\PanDhcpDns.exe No File
FirewallRules: [{148E0B18-4BCB-4945-8EFA-72B77BD6063D}] => (Allow) C:\Program Files\Intel Corporation\Intel WiDi\WiDiApp.exe No File
FirewallRules: [{9E5277C7-0EAC-420E-BBF8-D980C6BF8C8D}] => (Allow) C:\Program Files (x86)\Visual Protect Service\VSProtector.exe No File
FirewallRules: [TCP Query User{8F092454-9A9D-421A-AAE9-854426325138}C:\users\алина\appdata\roaming\dropbox\bin\dropbox.exe] => (Block) C:\users\алина\appdata\roaming\dropbox\bin\dropbox.exe No File
FirewallRules: [UDP Query User{FBE4EFC1-4150-4D5C-9CC2-316BE4990B2F}C:\users\алина\appdata\roaming\dropbox\bin\dropbox.exe] => (Block) C:\users\алина\appdata\roaming\dropbox\bin\dropbox.exe No File
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Fin37

Fin37

Опубликовано
  • Автор
Опубликовано

Рекламы не наблюдается. Тормознутость при запуске приложений и работе с ними еще ощущается. Достаточно сильно.

Fin37

Fin37

Опубликовано
  • Автор
Опубликовано

Маленькое дополнение, реклама, все же, продолжает появляться. Пример во вложении.

post-55945-0-14903200-1570463865_thumb.jpg

thyrex

thyrex

Опубликовано
Опубликовано

Браузер при этом запущен како-нибудь?

Fin37

Fin37

Опубликовано
  • Автор
Опубликовано

Скорее всего реклама шла от Хрома или Яндекса. Поковыряли настройки, надеюсь, все пройдет окончательно.

thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sxhwre
      Очень сильно просел интернет, маленькая скорость загрузки, предполагаю что у меня вирус
      Автор sxhwre
      CollectionLog-2026.06.06-23.09.zip
      забыл более подробно написать о проблеме, как бы стыдно щас не было но это началось после того как я скачал игру с интернета
    • Zhenya__
      Ноутбук на 10-15 секунд, раз в 3-4 минуты глючит. На постоянной основе немного глючит
      Автор Zhenya__
      WinDef пожаловался на это Trojan:Win32/Malgent!MSR. Я решил обратиться за помощью сюда и узнать как его удалить, нашёл инструкцию по тому как обращаться, скачал программу и проверил ноутбук. Трояна он не нашёл, но нашёл что то другое, и когда я нажал на удалить всё зависло минут на 5 и ноут выключился. После всего этого ноут тупит, прогу не могу найти, а инструкция пропала. Про троян - WinDef его удалял, но он снова появлялся. Каюсь, хотел скачать чит на роблокс, это и есть Xeno(качал с официального сайта)

    • Altair Studio
      Компьютер жестко виснет и пропадает инет, как будто агент ИИ работает
      Автор Altair Studio
      Добрый день.
      Месяца 2 борюсь с явным умышленным проникновением ко мпен в локальную сеть и ПК. То интернет пропадет то какие то непонятные траблы с учетными записями да много всего не упомнишь, операционку менял раза 4 как будто в сам биос перепрошили программу или я не знаю как. 
      CollectionLog-2026.06.03-06.46.zip
    • Golem555
      Компьютер начал сильно загружаться
      Автор Golem555
      Компьютер опять начал сильно загружаться, просматривал на что уходит мощность и афигел
      CollectionLog-2026.06.01-20.25.zip
    • Инс
      Вирус перемещает случайные файлы в TMP, а потом удаляет
      Автор Инс
      Суть:
      - вирусняк переносит случайные файлы, надёрганные отовсюду кластерами, в папку Тmp(папка временных файлов винды из настроек переменных сред), а оттуда уже удаляет через какое-то время(~минута), прям в реалтайме
      - в автозагрузке пусто
      - планировщик заданий чистый(единственно задачи винды не песочил)
      - в системных службах тоже ничего подозрительного
      - диспетчер задач ничего опасного не показывает
      - двеб и касперский ничего не находят, касперский вообще никак не реагирует на то что прям при нём файлы куда-то перемещаются и удаляются
      - вирус запускается сам по себе непонятно от чего, но 100% запуск если включить поиск по диску, например "дата создания ‎25.‎05.‎2026"
      - при этом в первую очередь удаляет игры, папки мод и сохранки (бедный Зомбоид, который я последний раз запускал лет 5 назад, раздербанил почти в 0)
      Что это вообще такое?
       
      Вин7, установлена лет 10 как, всякое было, но чтоб вот так - первый раз. Я подобное видел только на ХП, думал что на Вин7 нельзя просто вот взять и поудалять чё хошь, без желания пользователя.
      Пока что заблокировал удаление тем что убрал запись в папке Tmp, вирус стучится туда(видно про монитору ресурсов диспетчера), но не может удалить файлы.
      Прежде чем заметил не знаю сколько всего удалило вирусом, но точно на моих глазах он удалил на 3гб, прежде чем я окончательно сообразил что происходит, заметил вообще потому что он удалил несколько ярлыков с рабочего стола и я пошёл искать что это такое.
      CollectionLog-2026.05.25-14.44.zip
×
×
  • Создать...