запустил больной экзешник

[kibmatar]

сразу к делу:
виндовс 7
скачал с жутко подозрительного сайта фигню 

Сообщение от модератора Elly

Ссылка удалена

после запуска засомневался и быстренько ребутнул
восстанавливал один раз систему на вчерашнюю дату http://puu.sh/pyctD.png , проверил каспером комп дважды (полная и быстрая проверки), и не помогло; да и вирусов не было
 
проблема следующая: начало сильно грузить память системы, и не чем-то посторонним (посторонние процессы мною найдены не были, и в автозагрузке все чисто)
http://puu.sh/pyse7.png
 
вкладки в хроме начинают жрать по полторы тысячи памяти
до этого нормальная нагрузка работы была 1 200мб при шести открытых вкладках в хроме, а теперь когда 5 вкладок открываешь памяти жрет 3к. в Диспетчере овердофига процессов с хрома, и я так полагаю что приложения хромовские отдельным образом еще потреблять память стали
http://puu.sh/pynNB.png
тоесть еще вчера такой режим работы грузил 1 250! а теперь 3к
http://puu.sh/pynRK.png
переустановка хрома не помогла, чистки кешей тоже
 

[Elly]

Не нужно размещать ссылки на "жутко подозрительные сайты".

Выполните правила.

[kibmatar]

зная причину в лицо можно объективно решить проблему

[Elly]

@kibmatar, Вы хотите это обсудить? Тогда прочитайте правила форума, с которыми согласились при регистрации.

[kibmatar]

есть идеи что можно предпринять? не хотелось бы переустанавливать винду

[Elly]

есть идеи что можно предпринять?

Я вам во втором сообщении темы написала что нужно сделать.

Выполните правила.

[kibmatar]

аа, я понял) сразу не догадался, ну вобщем логи прикрепил, и начальный пост поправляю

CollectionLog-2016.06.19-20.22.zip

[kibmatar]

спамит процессы как-то

http://puu.sh/pyIN9.png

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\{ACA758D8-1384-4E0B-AC5F-388C95B3D86F}\{B1977AB0-137B-41BD-8ADC-92A3427177E3}.tmp', '');
 QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\{ACA758D8-1384-4E0B-AC5F-388C95B3D86F}\{68CD4A83-8E50-4547-89BD-2A6D73520B6D}.tmp', '');
 QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\{ACA758D8-1384-4E0B-AC5F-388C95B3D86F}\{9A3937D7-AA7B-4CA4-82B0-B9EDF7307BCA}.tmp', '');
 QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\{ACA758D8-1384-4E0B-AC5F-388C95B3D86F}\{B6B8B93C-BFE5-4060-9B5D-641087701BC9}.tmp', '');
 QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\{ACA758D8-1384-4E0B-AC5F-388C95B3D86F}\{B8F46F3C-1D86-4E06-AA83-54F33141802D}.tmp', '');
 QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\{ACA758D8-1384-4E0B-AC5F-388C95B3D86F}\{9B889791-196A-4EB2-8C03-B1BD0F26AE7B}.tmp', '');
 QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\{ACA758D8-1384-4E0B-AC5F-388C95B3D86F}\{5C25C959-B200-4A10-86D6-5FE4EF1E9551}.tmp', '');
 QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\{ACA758D8-1384-4E0B-AC5F-388C95B3D86F}\{E6D9939F-87E6-4A87-83E0-5B5972BF6E87}.tmp', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Yandex\Reversed\steam.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Steam-S-1-8-22-9865GUI" /F', 0, 15000, true);
 DeleteFile('C:\Users\836D~1\AppData\Local\Temp\{ACA758D8-1384-4E0B-AC5F-388C95B3D86F}\{B1977AB0-137B-41BD-8ADC-92A3427177E3}.tmp', '32');
 DeleteFile('C:\Users\836D~1\AppData\Local\Temp\{ACA758D8-1384-4E0B-AC5F-388C95B3D86F}\{68CD4A83-8E50-4547-89BD-2A6D73520B6D}.tmp', '32');
 DeleteFile('C:\Users\836D~1\AppData\Local\Temp\{ACA758D8-1384-4E0B-AC5F-388C95B3D86F}\{9A3937D7-AA7B-4CA4-82B0-B9EDF7307BCA}.tmp', '32');
 DeleteFile('C:\Users\836D~1\AppData\Local\Temp\{ACA758D8-1384-4E0B-AC5F-388C95B3D86F}\{B6B8B93C-BFE5-4060-9B5D-641087701BC9}.tmp', '32');
 DeleteFile('C:\Users\836D~1\AppData\Local\Temp\{ACA758D8-1384-4E0B-AC5F-388C95B3D86F}\{B8F46F3C-1D86-4E06-AA83-54F33141802D}.tmp', '32');
 DeleteFile('C:\Users\836D~1\AppData\Local\Temp\{ACA758D8-1384-4E0B-AC5F-388C95B3D86F}\{9B889791-196A-4EB2-8C03-B1BD0F26AE7B}.tmp', '32');
 DeleteFile('C:\Users\836D~1\AppData\Local\Temp\{ACA758D8-1384-4E0B-AC5F-388C95B3D86F}\{5C25C959-B200-4A10-86D6-5FE4EF1E9551}.tmp', '32');
 DeleteFile('C:\Users\836D~1\AppData\Local\Temp\{ACA758D8-1384-4E0B-AC5F-388C95B3D86F}\{E6D9939F-87E6-4A87-83E0-5B5972BF6E87}.tmp', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Yandex\Reversed\steam.exe', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[kibmatar]

однако не помогло

все так же виснет система

при 4 открытых вкладках:

касперски вирус ремувал тул ничего повторно не дал, 0 вирусов.

гружу автологер

 

вот

ClearLNK-20.06.2016_23-15.log

CollectionLog-2016.06.20-23.19.zip

Изменено 20 июня, 2016 пользователем kibmatar

[Sandor]

все так же виснет система при 4 открытых вкладках:

Такое количество процессов chrome даже при одной открытой вкладке - нормально.

При запущенном Хроме нажмите комбинацию Shift+Esc и увидите его диспетчер процессов.

 

В логах чисто, скриптом был удален майнер. Ответ из вирлаба пришел?

[kibmatar]

я в первый раз думал что не помогло и карантин_зип на адрес ньювирус не скидывал, сеичас повторно выпустил скрипт и скинул, но наверное это уже не то

наверное что-то все еще грызет хром, ну не могут же пару вкладок есть 2к памяти. пару дней назад раньше пяток станиц загружал 500мб от силы

[Sandor]

но наверное это уже не то

Конечно не то. Пожалуйста, выполняйте именно то, что написано.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[kibmatar]

прощу прощения за тупость, на ньювирус я первичный отчет формата зип не выслал, а потом обнаружил что он оказывается самоуничтожается спустя какое-то время, поэтому вот... второй на ньювирус почту слать уже смысла не было, простите меня

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Не переживайте так))

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM Group Policy restriction on software: C:\Users\Администратор\AppData\Roaming\Yandex\Reversed <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <====== ATTENTION
ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\ProgramData\MEGAsync\ShellExtX64.dll No File
ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\ProgramData\MEGAsync\ShellExtX64.dll No File
ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\ProgramData\MEGAsync\ShellExtX64.dll No File
ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\ProgramData\MEGAsync\ShellExtX32.dll No File
ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\ProgramData\MEGAsync\ShellExtX32.dll No File
ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\ProgramData\MEGAsync\ShellExtX32.dll No File
2016-06-19 15:28 - 2016-06-19 15:28 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ContentProtector
2016-06-19 15:26 - 2016-06-19 15:35 - 00000000 ____D C:\Users\Администратор\AppData\Local\Mail.Ru
2016-06-19 15:26 - 2016-06-19 15:35 - 00000000 ____D C:\Program Files\ContentProtector
2016-06-19 15:26 - 2016-06-19 15:28 - 00000000 ____D C:\Users\Администратор\AppData\LocalLow\Unity
2016-06-19 15:26 - 2016-06-19 15:28 - 00000000 ____D C:\Users\Администратор\AppData\Local\Unity
2016-06-19 15:26 - 2016-06-19 15:28 - 00000000 ____D C:\Program Files (x86)\Mail.Ru
2016-06-19 15:26 - 2016-06-19 15:27 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\MailProducts
2016-06-19 15:25 - 2016-06-19 15:28 - 00000000 ____D C:\Users\Все пользователи\Mail.Ru
2016-06-19 15:25 - 2016-06-19 15:28 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\Checkers
2016-06-19 15:25 - 2016-06-19 15:28 - 00000000 ____D C:\ProgramData\Mail.Ru
2016-06-19 15:25 - 2016-06-19 15:27 - 00000000 ____D C:\Users\Администратор\AppData\Local\ZetaGamesViewer
AlternateDataStreams: C:\Windows\system32\Drivers\xlrhwjrl.sys:changelist [1586]
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.