Перейти к содержанию

Вирус который закрывает ProgramData и сильно замедляет компьютер. При этом выскакивает сообщение что невозможно найти файл tor.exe по определенному пути. Подскажите как удалить? Ресурс компа упал в разы!


Рекомендуемые сообщения

Вирус. Который сильно замедляет компьютер. При этом сворачивает папку ProgramData, также. Вворачивает браузер и сильно упал ресуркомпа!

помогите пожалуйста.

Cleaner не помогает

Ссылка на сообщение
Поделиться на другие сайты

 Порядок оформления запроса о помощи

Логи прикрепите к следующему сообщению в текущей теме, новую создавать не нужно.

Ссылка на сообщение
Поделиться на другие сайты

report2.logreport1.log

cureit.7z

CollectionLog-2024.04.17-11.31.zip

16.04.2024 в 01:12, thyrex сказал:

 Порядок оформления запроса о помощи

Логи прикрепите к следующему сообщению в текущей теме, новую создавать не нужно.

cureit.7z

CollectionLog-2024.04.17-11.31.zip

 

я подчистил немного систему...Вроде не выскакивают никакие сообщения, но память грузит до 90%... производитетльность и скорость загрузок в интернете упала

Ссылка на сообщение
Поделиться на другие сайты

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Отвечайте, пожалуйста, в нижнем поле быстрого ответа. Чрезмерное цитирование предыдущего сообщения затрудняет читаемость темы.

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Отвечайте, пожалуйста, в нижнем поле быстрого ответа. Чрезмерное цитирование предыдущего сообщения затрудняет читаемость темы.

 

AV_block_remove_2024.04.16-00.42.log

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:

После перезагрузки системы соберите новый CollectionLog Автологером.

Теперь это, пожалуйста.

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, Sandor сказал:

Отвечайте, пожалуйста, в нижнем поле быстрого ответа. Чрезмерное цитирование предыдущего сообщения затрудняет читаемость темы.

Напоминаю :)

 

Продолжим.

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O6 - IE Policy: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKU\S-1-5-19\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKU\S-1-5-20\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = 0
O15 - HKCU\..\ProtocolDefaults:  - [@ivt] protocol is in Unknown Zone, should be Intranet Zone
O15 - HKCU\..\ProtocolDefaults:  - [file] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [ftp] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [http] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [https] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [knownfolder] protocol is in Unknown Zone, should be My Computer Zone
O15 - HKCU\..\ProtocolDefaults:  - [shell] protocol is in Unknown Zone, should be My Computer Zone
O22 - Tasks: \System\SystemCheck - C:\Users\User\AppData\Roaming\Microsoft\Windows\reaItek.exe -SystemCheck (file missing)
O26 - Debugger: HKLM\..\CompatTelRunner.exe: [Debugger] = C:\Windows\system32\systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\mobsync.exe: [Debugger] = C:\Windows\system32\systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\mpcmdrun.exe: [Debugger] = C:\Windows\System32\systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\MsMpEng.exe: [Debugger] = C:\Windows\system32\systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\SecurityHealthService.exe: [Debugger] = C:\Windows\system32\systray.exe (sign: 'Microsoft')

Перезагрузите компьютер.

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;windowsdefender
    HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
    HKLM\Software\Policies\...\system: [EnableSmartScreen] 0
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    Edge HKU\S-1-5-21-1038597940-895112078-3853071530-1002\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [jcpgbnbdnakoblgfkbgggankeidkfcdl]
    Edge HKLM-x32\...\Edge\Extension: [jcpgbnbdnakoblgfkbgggankeidkfcdl]
    CHR HKU\S-1-5-21-1038597940-895112078-3853071530-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
    2024-04-15 14:40 - 2024-04-15 14:40 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
    2024-04-15 14:40 - 2024-04-15 14:40 - 000000000 __SHD C:\Program Files (x86)\Wise
    Unlock: C:\Program Files\ReasonLabs
    FirewallRules: [{F838703D-94BA-4DDB-8A59-0458EC23B74B}] => (Allow) LPort=1688
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Zhuraulik
      От Zhuraulik
      При попытке очистить место для установки программы, диск "c" постоянно был переполнен. Просматривал папки, пока не наткнулся на папку programdata, при нажатии на которую проводник закрывался. В поисковике нашёл похожую проблему, но при попытке перейти на сайт с загрузкой антивируса, закрывался браузер. В том числе и данный сайт. Скачал всё через смартфон и перекинув на флешку запустил логер. Прикрепляю данные его работы.CollectionLog-2024.09.18-10.50.zip
    • anastasia001
      От anastasia001
      Привет.
       
      У меня 2 вопроса касаемо vpn сервисов.
       
      Дело в том что я не могу зайти на фейсбук! мой сотовый оператор блокирует вход в это приложение.  Прочитала про vpn.  Но устанавливать и использовать vpn на айфоне  не хочу - не доверяю что то я таким приложениям интуитивно даже учитывая что они есть в appstore и вроде как apple их должны (?) проверять на зловредность, а почитав отзывы о том что у некоторых украли пароли то перехотелось ещё сильнее поэтому не решилась устанавливать vpn приложения на смартфон и не рисковать авторизациями всех своих соцсетей которые там есть и решила искать способ зайти на фейсбук но используя компьютер (на компе у моего браузера Firefox после каждого сеанса  куки чистятся автоматически при закрытии) Поэтому решила что так меньше шансов украсть куки с паролями от соцсетей ! Так в поисках новых способов зайти на фейсбук почитала про браузер Tor (это типа тоже vpn своего рода правильно я понимаю?!)
      Я скачала этот браузер Tor на официальном сайте ! но пока не залогинилась в фейсбуке.
       
      У меня 2 вопроса !
      1) Если зайти через tor (скаченный на официальном сайте)  на фейсбук и авторизироваться то какой шанс потерять страницу в результате того что мою учетную запись украдут держатели этого браузера ? А если я залогинюсь и затем включу в настройках двухфакторную аунтификацию то злоумышленники уже не смогут ничего сделать с сохраненными куками ?

      2) Запуск браузера Tor не даст никому доступ к моему компьютеру ,рабочему столу ,папкам ? Он если и может что то своровать то только куки браузера  ?
    • linktab
      От linktab
      Почему перестал работать Kaspersky protection  в браузере TOR?
       
    • Sapfira
      От Sapfira
      Обнаружила в папке ProgramData кучу (68 штук) папок с короткими и непонятными названиями.
      К чему они относятся неизвестно, все они пустые.

       
      Можно их удалять?
    • fartovii
      От fartovii
      Нужна консультация.
      Есть виртуальный сервер 2012 r2
      Проблема со скоростями работы дисковой подсистемы и её загрузкой и нагрузкой системы при:
      - бэкапах файловой системы с серверов srvu10,11 на ленту (используется HP Data Protector)
      - копировании больших объёмов данных между томами или между серверами (встроенными средствами ОС, например  тем же Robocopy)
       
      В частности, когда последний раз переливали большие объёмы с помощью Robocopy, то загрузка процессоров достигала 90-95%, и загрузка дисковой подсистемы была до 100%, а после останова Касперского нагрузка на процессора падала до 45-50%, при том что Robocopy вроде как добавлен в исключения.
       
      Что сделано:
      1. Вынесены в отдельный контейнер сервера которые делают бэкап и файловые сервера.
      2. Отключена эвристика
      3. Добавлены исключения
      Виртуальные диски
      C:\Windows\System32\winevt (каталог с логами)
      На всех дисках исключить из проверки каталоги:
      RecoveryBin (данные Undelete)
      System Volume Information (данные дедупликации)
      Процессы:
      C:\Program Files\OmniBack\bin\omniinet.exe (резервное копирование HP Data Protector сервис)
      C:\Program Files\OmniBack\bin\vbda.exe (резервное копирование HP Data Protector дисковый агент)
      C:\Program Files\Condusiv Technologies\Undelete\UdServe.exe (сервис Undelete)
      C?Windows\System32\Robocopy.exe (синхронизация и копирование данных)
      C?Windows\System32\VSSVC.exe (сервис теневого копирования VSS)
      C?Windows\System32\ddpeval.exe (утилиты дедупликации)
       
      Какие есть мысли?
       
       
       
       
       
×
×
  • Создать...