Перейти к содержанию
Правила раздела
Викторина по домашним продуктам "Лаборатории Касперского"

Вирус который закрывает ProgramData и сильно замедляет компьютер. При этом выскакивает сообщение что невозможно найти файл tor.exe по определенному пути. Подскажите как удалить? Ресурс компа упал в разы!

Руслан098

Автор Руслан098,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

Руслан098

Руслан098 0

Опубликовано
Опубликовано

Вирус. Который сильно замедляет компьютер. При этом сворачивает папку ProgramData, также. Вворачивает браузер и сильно упал ресуркомпа!

помогите пожалуйста.

Cleaner не помогает

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 418

Опубликовано
Опубликовано

 Порядок оформления запроса о помощи

Логи прикрепите к следующему сообщению в текущей теме, новую создавать не нужно.

Ссылка на сообщение
Поделиться на другие сайты
Руслан098

Руслан098 0

Опубликовано
  • Автор
Опубликовано

report2.logreport1.log

cureit.7z

CollectionLog-2024.04.17-11.31.zip

16.04.2024 в 01:12, thyrex сказал:

 Порядок оформления запроса о помощи

Логи прикрепите к следующему сообщению в текущей теме, новую создавать не нужно.

cureit.7z

CollectionLog-2024.04.17-11.31.zip

 

я подчистил немного систему...Вроде не выскакивают никакие сообщения, но память грузит до 90%... производитетльность и скорость загрузок в интернете упала

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 303

Опубликовано
Опубликовано

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Отвечайте, пожалуйста, в нижнем поле быстрого ответа. Чрезмерное цитирование предыдущего сообщения затрудняет читаемость темы.

Ссылка на сообщение
Поделиться на другие сайты
Руслан098

Руслан098 0

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Отвечайте, пожалуйста, в нижнем поле быстрого ответа. Чрезмерное цитирование предыдущего сообщения затрудняет читаемость темы.

 

AV_block_remove_2024.04.16-00.42.log

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 303

Опубликовано
Опубликовано
1 час назад, Sandor сказал:

После перезагрузки системы соберите новый CollectionLog Автологером.

Теперь это, пожалуйста.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 303

Опубликовано
Опубликовано
2 часа назад, Sandor сказал:

Отвечайте, пожалуйста, в нижнем поле быстрого ответа. Чрезмерное цитирование предыдущего сообщения затрудняет читаемость темы.

Напоминаю :)

 

Продолжим.

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O6 - IE Policy: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKU\S-1-5-19\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKU\S-1-5-20\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = 0
O15 - HKCU\..\ProtocolDefaults:  - [@ivt] protocol is in Unknown Zone, should be Intranet Zone
O15 - HKCU\..\ProtocolDefaults:  - [file] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [ftp] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [http] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [https] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [knownfolder] protocol is in Unknown Zone, should be My Computer Zone
O15 - HKCU\..\ProtocolDefaults:  - [shell] protocol is in Unknown Zone, should be My Computer Zone
O22 - Tasks: \System\SystemCheck - C:\Users\User\AppData\Roaming\Microsoft\Windows\reaItek.exe -SystemCheck (file missing)
O26 - Debugger: HKLM\..\CompatTelRunner.exe: [Debugger] = C:\Windows\system32\systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\mobsync.exe: [Debugger] = C:\Windows\system32\systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\mpcmdrun.exe: [Debugger] = C:\Windows\System32\systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\MsMpEng.exe: [Debugger] = C:\Windows\system32\systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\SecurityHealthService.exe: [Debugger] = C:\Windows\system32\systray.exe (sign: 'Microsoft')

Перезагрузите компьютер.

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 303

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;windowsdefender
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\Software\Policies\...\system: [EnableSmartScreen] 0
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
Edge HKU\S-1-5-21-1038597940-895112078-3853071530-1002\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [jcpgbnbdnakoblgfkbgggankeidkfcdl]
Edge HKLM-x32\...\Edge\Extension: [jcpgbnbdnakoblgfkbgggankeidkfcdl]
CHR HKU\S-1-5-21-1038597940-895112078-3853071530-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
2024-04-15 14:40 - 2024-04-15 14:40 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
2024-04-15 14:40 - 2024-04-15 14:40 - 000000000 __SHD C:\Program Files (x86)\Wise
Unlock: C:\Program Files\ReasonLabs
FirewallRules: [{F838703D-94BA-4DDB-8A59-0458EC23B74B}] => (Allow) LPort=1688
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Zhuraulik
      [РЕШЕНО] Помогите удалить вирус.
      От Zhuraulik
      При попытке очистить место для установки программы, диск "c" постоянно был переполнен. Просматривал папки, пока не наткнулся на папку programdata, при нажатии на которую проводник закрывался. В поисковике нашёл похожую проблему, но при попытке перейти на сайт с загрузкой антивируса, закрывался браузер. В том числе и данный сайт. Скачал всё через смартфон и перекинув на флешку запустил логер. Прикрепляю данные его работы.CollectionLog-2024.09.18-10.50.zip
    • anastasia001
      у меня 2 вопроса касаемо vpn сервисов и Tor - так ли они опасны ?
      От anastasia001
      Привет.
       
      У меня 2 вопроса касаемо vpn сервисов.
       
      Дело в том что я не могу зайти на фейсбук! мой сотовый оператор блокирует вход в это приложение.  Прочитала про vpn.  Но устанавливать и использовать vpn на айфоне  не хочу - не доверяю что то я таким приложениям интуитивно даже учитывая что они есть в appstore и вроде как apple их должны (?) проверять на зловредность, а почитав отзывы о том что у некоторых украли пароли то перехотелось ещё сильнее поэтому не решилась устанавливать vpn приложения на смартфон и не рисковать авторизациями всех своих соцсетей которые там есть и решила искать способ зайти на фейсбук но используя компьютер (на компе у моего браузера Firefox после каждого сеанса  куки чистятся автоматически при закрытии) Поэтому решила что так меньше шансов украсть куки с паролями от соцсетей ! Так в поисках новых способов зайти на фейсбук почитала про браузер Tor (это типа тоже vpn своего рода правильно я понимаю?!)
      Я скачала этот браузер Tor на официальном сайте ! но пока не залогинилась в фейсбуке.
       
      У меня 2 вопроса !
      1) Если зайти через tor (скаченный на официальном сайте)  на фейсбук и авторизироваться то какой шанс потерять страницу в результате того что мою учетную запись украдут держатели этого браузера ? А если я залогинюсь и затем включу в настройках двухфакторную аунтификацию то злоумышленники уже не смогут ничего сделать с сохраненными куками ?

      2) Запуск браузера Tor не даст никому доступ к моему компьютеру ,рабочему столу ,папкам ? Он если и может что то своровать то только куки браузера  ?
    • linktab
      Не работает Kaspersky protection в TOR
      От linktab
      Почему перестал работать Kaspersky protection  в браузере TOR?
       
    • Sapfira
      Непонятные папки в ProgramData
      От Sapfira
      Обнаружила в папке ProgramData кучу (68 штук) папок с короткими и непонятными названиями.
      К чему они относятся неизвестно, все они пустые.

       
      Можно их удалять?
    • fartovii
      касперский выжирает ресурсы при бэкапе
      От fartovii
      Нужна консультация.
      Есть виртуальный сервер 2012 r2
      Проблема со скоростями работы дисковой подсистемы и её загрузкой и нагрузкой системы при:
      - бэкапах файловой системы с серверов srvu10,11 на ленту (используется HP Data Protector)
      - копировании больших объёмов данных между томами или между серверами (встроенными средствами ОС, например  тем же Robocopy)
       
      В частности, когда последний раз переливали большие объёмы с помощью Robocopy, то загрузка процессоров достигала 90-95%, и загрузка дисковой подсистемы была до 100%, а после останова Касперского нагрузка на процессора падала до 45-50%, при том что Robocopy вроде как добавлен в исключения.
       
      Что сделано:
      1. Вынесены в отдельный контейнер сервера которые делают бэкап и файловые сервера.
      2. Отключена эвристика
      3. Добавлены исключения
      Виртуальные диски
      C:\Windows\System32\winevt (каталог с логами)
      На всех дисках исключить из проверки каталоги:
      RecoveryBin (данные Undelete)
      System Volume Information (данные дедупликации)
      Процессы:
      C:\Program Files\OmniBack\bin\omniinet.exe (резервное копирование HP Data Protector сервис)
      C:\Program Files\OmniBack\bin\vbda.exe (резервное копирование HP Data Protector дисковый агент)
      C:\Program Files\Condusiv Technologies\Undelete\UdServe.exe (сервис Undelete)
      C?Windows\System32\Robocopy.exe (синхронизация и копирование данных)
      C?Windows\System32\VSSVC.exe (сервис теневого копирования VSS)
      C?Windows\System32\ddpeval.exe (утилиты дедупликации)
       
      Какие есть мысли?
       
       
       
       
       
×
×
  • Создать...