dpc:maleware.url chrome.exe

[jokka]

Ноутбук у друга очень долго делает даже самые простые задачи. Зашел в диспетчер задач там диск загружен на 100%. Запустил Dr.Web Curel, программа выявила вирус chrome.exe, попытался удалить, но ничего не вышло. 

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему не нужно создавать, продолжайте здесь.

[jokka]

 

CollectionLog-2025.02.26-16.09.zip

[Sandor]

Во время сбора логов все остальные запущенные программы (особенно антивирусные, в вашем случае - CureIt от Dr.Web) следует закрывать и выгружать.

 

1.

Деинсталлируйте устаревшую и уязвимую версию Java 8 Update 51 (64-bit). Если точно знаете для чего нужна, позже установите актуальную.

 

2.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hedwi', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hedwi', '64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(false);
end.

 

Компьютер перезагрузится.

 

3.

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

 

[jokka]

К сожалению, не помогло

CollectionLog-2025.02.26-18.50.zip

[Sandor]

Мы только начали.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[jokka]

 

Addition.txt FRST.txt

[Sandor]

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы удалите старые и соберите новые логи FRST.txt и Addition.txt
 

[jokka]

 

FRST.txt AV_block_remove_2025.02.27-15.14.log Addition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  AutoConfigURL: [S-1-5-21-381925318-1786437966-2957221163-1001] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
  ManualProxies: 0hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
  C:\Users\hedwi\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ipjbhjmcbgmdjfiichbgbmpmgonokpkb
  FF Extension: (Домашняя страница Mail.Ru) - C:\Users\hedwi\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2022-04-29] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/go_ffhp_update.json]
  FF Extension: (Поиск Mail.Ru) - C:\Users\hedwi\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2022-04-29] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/searchff/update.json]
  C:\Users\hedwi\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
  CHR HKU\S-1-5-21-381925318-1786437966-2957221163-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
  AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`vovtfe.qpsu.obnfjhjkhkjq [0]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [4306]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2024.lnk:D6CCC992C2 [4306]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audacity.lnk:09A0A90EF3 [4306]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [4306]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [4306]
  FirewallRules: [{C8FE8260-342B-42AA-B367-EA13F465EDC7}] => (Allow) LPort=32682
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[jokka]

Fixlog.txt

[Sandor]

Скрипт отработал успешно.

Как сейчас обстановка?

[jokka]

Диск все еще нагружен на 100%, разгрузился на какое-то время и снова заполнился 

Изменено 27 февраля пользователем jokka

[Sandor]

Нагрузка постоянная или временная?

Если первое, какой именно процесс грузит больше всех?

[jokka]

Оно висело 100% около получаса, но при этом ни у одной задачи не было огромной нагрузки, максимум система была 25 мб/с