Перейти к содержанию
Правила раздела

Вирус который закрывает ProgramData и сильно замедляет компьютер. При этом выскакивает сообщение что невозможно найти файл tor.exe по определенному пути. Подскажите как удалить? Ресурс компа упал в разы!

Руслан098

Автор Руслан098
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Руслан098

Руслан098

Опубликовано
Опубликовано

Вирус. Который сильно замедляет компьютер. При этом сворачивает папку ProgramData, также. Вворачивает браузер и сильно упал ресуркомпа!

помогите пожалуйста.

Cleaner не помогает

Руслан098

Руслан098

Опубликовано
  • Автор
Опубликовано

report2.logreport1.log

cureit.7z

CollectionLog-2024.04.17-11.31.zip

16.04.2024 в 01:12, thyrex сказал:

 Порядок оформления запроса о помощи

Логи прикрепите к следующему сообщению в текущей теме, новую создавать не нужно.

cureit.7z

CollectionLog-2024.04.17-11.31.zip

 

я подчистил немного систему...Вроде не выскакивают никакие сообщения, но память грузит до 90%... производитетльность и скорость загрузок в интернете упала

Sandor

Sandor

Опубликовано
Опубликовано

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Отвечайте, пожалуйста, в нижнем поле быстрого ответа. Чрезмерное цитирование предыдущего сообщения затрудняет читаемость темы.

Руслан098

Руслан098

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Отвечайте, пожалуйста, в нижнем поле быстрого ответа. Чрезмерное цитирование предыдущего сообщения затрудняет читаемость темы.

 

AV_block_remove_2024.04.16-00.42.log

Sandor

Sandor

Опубликовано
Опубликовано
1 час назад, Sandor сказал:

После перезагрузки системы соберите новый CollectionLog Автологером.

Теперь это, пожалуйста.

Sandor

Sandor

Опубликовано
Опубликовано
2 часа назад, Sandor сказал:

Отвечайте, пожалуйста, в нижнем поле быстрого ответа. Чрезмерное цитирование предыдущего сообщения затрудняет читаемость темы.

Напоминаю :)

 

Продолжим.

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O6 - IE Policy: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKU\S-1-5-19\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKU\S-1-5-20\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = 0
O15 - HKCU\..\ProtocolDefaults:  - [@ivt] protocol is in Unknown Zone, should be Intranet Zone
O15 - HKCU\..\ProtocolDefaults:  - [file] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [ftp] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [http] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [https] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [knownfolder] protocol is in Unknown Zone, should be My Computer Zone
O15 - HKCU\..\ProtocolDefaults:  - [shell] protocol is in Unknown Zone, should be My Computer Zone
O22 - Tasks: \System\SystemCheck - C:\Users\User\AppData\Roaming\Microsoft\Windows\reaItek.exe -SystemCheck (file missing)
O26 - Debugger: HKLM\..\CompatTelRunner.exe: [Debugger] = C:\Windows\system32\systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\mobsync.exe: [Debugger] = C:\Windows\system32\systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\mpcmdrun.exe: [Debugger] = C:\Windows\System32\systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\MsMpEng.exe: [Debugger] = C:\Windows\system32\systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\SecurityHealthService.exe: [Debugger] = C:\Windows\system32\systray.exe (sign: 'Microsoft')

Перезагрузите компьютер.

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;windowsdefender
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\Software\Policies\...\system: [EnableSmartScreen] 0
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
Edge HKU\S-1-5-21-1038597940-895112078-3853071530-1002\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [jcpgbnbdnakoblgfkbgggankeidkfcdl]
Edge HKLM-x32\...\Edge\Extension: [jcpgbnbdnakoblgfkbgggankeidkfcdl]
CHR HKU\S-1-5-21-1038597940-895112078-3853071530-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
2024-04-15 14:40 - 2024-04-15 14:40 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
2024-04-15 14:40 - 2024-04-15 14:40 - 000000000 __SHD C:\Program Files (x86)\Wise
Unlock: C:\Program Files\ReasonLabs
FirewallRules: [{F838703D-94BA-4DDB-8A59-0458EC23B74B}] => (Allow) LPort=1688
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Hjj1111
      Помогите удалить вирус Program Data
      Автор Hjj1111
      Доброго времени суток, столкнулся с неприятным вирусом, на протяжении долгого времени не мог побороть его, в итоге переустановил Windows, но он к сожалению остался. Помогите пожалуйста решить неприятную проблему. Сканировал Касперским, он ничего не нашёл, но по факту вирус есть (некоторые папки самопроизвольно восстанавливаются, некоторые добавляются) 
      P.s Также в Параметрах некоторые параметры контролирует организация или что-то в этом роде, заскринить не успел, всё пропало, но windows defender блокирует


      CollectionLog-2025.10.06-20.24.zip
    • godstar
      updater.exe файл-вирус, также майнер
      Автор godstar
      После установки винды где то в начале года я поставил кмс авто для активации винды. Позже я начался пользоваться авторансом что бы убирать с автозапуска все ненужные мне программы. И я заметил во вкладке сервисах сервис гугла(я гуглом не пользуюсь, хромом тем более. онли майкрософт edge) фото я прикреплю. и дело в том что его отключаешь, а он обратно включается. я просто не замечал этого и каждый раз отключал его. Сейчас руки дошли и я все таки решил чекнуть что за файл. Он находится в ProgramData\Google\Chrome и там этот файл updater.exe. Я удалял файл, удалял эту папку, но через пару секунд она возвращалась. Закинул этот файл на вирустотал, а там 56 из 72 показатель. Я увидел там и надписи про майнеры, и трояны... Позже я нашел уже такое же обсуждение на эту же тему но она мне никак не помогла. Позже я полез в диспетчер задач и в монитор ресурсов и когда я удаляю папку то через пару секунд запускается powershell вместе с comhost. В общем и целом мне нужна ваша помощь удалить этот вирус. Все фотографии я прикрепил: 
    • Zhuraulik
      [РЕШЕНО] Помогите удалить вирус.
      Автор Zhuraulik
      При попытке очистить место для установки программы, диск "c" постоянно был переполнен. Просматривал папки, пока не наткнулся на папку programdata, при нажатии на которую проводник закрывался. В поисковике нашёл похожую проблему, но при попытке перейти на сайт с загрузкой антивируса, закрывался браузер. В том числе и данный сайт. Скачал всё через смартфон и перекинув на флешку запустил логер. Прикрепляю данные его работы.CollectionLog-2024.09.18-10.50.zip
    • anastasia001
      у меня 2 вопроса касаемо vpn сервисов и Tor - так ли они опасны ?
      Автор anastasia001
      Привет.
       
      У меня 2 вопроса касаемо vpn сервисов.
       
      Дело в том что я не могу зайти на фейсбук! мой сотовый оператор блокирует вход в это приложение.  Прочитала про vpn.  Но устанавливать и использовать vpn на айфоне  не хочу - не доверяю что то я таким приложениям интуитивно даже учитывая что они есть в appstore и вроде как apple их должны (?) проверять на зловредность, а почитав отзывы о том что у некоторых украли пароли то перехотелось ещё сильнее поэтому не решилась устанавливать vpn приложения на смартфон и не рисковать авторизациями всех своих соцсетей которые там есть и решила искать способ зайти на фейсбук но используя компьютер (на компе у моего браузера Firefox после каждого сеанса  куки чистятся автоматически при закрытии) Поэтому решила что так меньше шансов украсть куки с паролями от соцсетей ! Так в поисках новых способов зайти на фейсбук почитала про браузер Tor (это типа тоже vpn своего рода правильно я понимаю?!)
      Я скачала этот браузер Tor на официальном сайте ! но пока не залогинилась в фейсбуке.
       
      У меня 2 вопроса !
      1) Если зайти через tor (скаченный на официальном сайте)  на фейсбук и авторизироваться то какой шанс потерять страницу в результате того что мою учетную запись украдут держатели этого браузера ? А если я залогинюсь и затем включу в настройках двухфакторную аунтификацию то злоумышленники уже не смогут ничего сделать с сохраненными куками ?

      2) Запуск браузера Tor не даст никому доступ к моему компьютеру ,рабочему столу ,папкам ? Он если и может что то своровать то только куки браузера  ?
    • linktab
      Не работает Kaspersky protection в TOR
      Автор linktab
      Почему перестал работать Kaspersky protection  в браузере TOR?
       
×
×
  • Создать...