Вирус который закрывает ProgramData и сильно замедляет компьютер. При этом выскакивает сообщение что невозможно найти файл tor.exe по определенному пути. Подскажите как удалить? Ресурс компа упал в разы!

[Руслан098]

Вирус. Который сильно замедляет компьютер. При этом сворачивает папку ProgramData, также. Вворачивает браузер и сильно упал ресуркомпа!

помогите пожалуйста.

Cleaner не помогает

[thyrex]

 Порядок оформления запроса о помощи

Логи прикрепите к следующему сообщению в текущей теме, новую создавать не нужно.

[Руслан098]

report2.logreport1.log

cureit.7z

CollectionLog-2024.04.17-11.31.zip

16.04.2024 в 01:12, thyrex сказал:

 Порядок оформления запроса о помощи

Логи прикрепите к следующему сообщению в текущей теме, новую создавать не нужно.

cureit.7z

CollectionLog-2024.04.17-11.31.zip

 

я подчистил немного систему...Вроде не выскакивают никакие сообщения, но память грузит до 90%... производитетльность и скорость загрузок в интернете упала

[Sandor]

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Отвечайте, пожалуйста, в нижнем поле быстрого ответа. Чрезмерное цитирование предыдущего сообщения затрудняет читаемость темы.

[Руслан098]

1 час назад, Sandor сказал:

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Отвечайте, пожалуйста, в нижнем поле быстрого ответа. Чрезмерное цитирование предыдущего сообщения затрудняет читаемость темы.

 

AV_block_remove_2024.04.16-00.42.log

[Sandor]

1 час назад, Sandor сказал:

После перезагрузки системы соберите новый CollectionLog Автологером.

Теперь это, пожалуйста.

[Руслан098]

21 минуту назад, Sandor сказал:

Теперь это, пожалуйста.

 

CollectionLog-2024.04.17-14.57.zip report1.log report2.log

AV_block_remove_2024.04.17-14.39.log

[Sandor]

2 часа назад, Sandor сказал:

Отвечайте, пожалуйста, в нижнем поле быстрого ответа. Чрезмерное цитирование предыдущего сообщения затрудняет читаемость темы.

Напоминаю

 

Продолжим.

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O6 - IE Policy: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKU\S-1-5-19\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKU\S-1-5-20\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = 0
O15 - HKCU\..\ProtocolDefaults:  - [@ivt] protocol is in Unknown Zone, should be Intranet Zone
O15 - HKCU\..\ProtocolDefaults:  - [file] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [ftp] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [http] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [https] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [knownfolder] protocol is in Unknown Zone, should be My Computer Zone
O15 - HKCU\..\ProtocolDefaults:  - [shell] protocol is in Unknown Zone, should be My Computer Zone
O22 - Tasks: \System\SystemCheck - C:\Users\User\AppData\Roaming\Microsoft\Windows\reaItek.exe -SystemCheck (file missing)
O26 - Debugger: HKLM\..\CompatTelRunner.exe: [Debugger] = C:\Windows\system32\systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\mobsync.exe: [Debugger] = C:\Windows\system32\systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\mpcmdrun.exe: [Debugger] = C:\Windows\System32\systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\MsMpEng.exe: [Debugger] = C:\Windows\system32\systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\SecurityHealthService.exe: [Debugger] = C:\Windows\system32\systray.exe (sign: 'Microsoft')

Перезагрузите компьютер.

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

[Руслан098]

FRST.txtAddition.txtAV_block_remove_2024.04.17-14.39.log

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;windowsdefender
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKLM\Software\Policies\...\system: [EnableSmartScreen] 0
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  Edge HKU\S-1-5-21-1038597940-895112078-3853071530-1002\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [jcpgbnbdnakoblgfkbgggankeidkfcdl]
  Edge HKLM-x32\...\Edge\Extension: [jcpgbnbdnakoblgfkbgggankeidkfcdl]
  CHR HKU\S-1-5-21-1038597940-895112078-3853071530-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
  2024-04-15 14:40 - 2024-04-15 14:40 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
  2024-04-15 14:40 - 2024-04-15 14:40 - 000000000 __SHD C:\Program Files (x86)\Wise
  Unlock: C:\Program Files\ReasonLabs
  FirewallRules: [{F838703D-94BA-4DDB-8A59-0458EC23B74B}] => (Allow) LPort=1688
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.