Нагружается процессор на 100 процентов и лагает в играг attrib.exe

[John Sannikov]

attrib.exe отключается сразу как включу диспетчер и нагрузка прекращается, dr web cureit удалил btc.mine цифры не помню , но все равно осталась attrib.exe

CollectionLog-2017.11.10-18.14.zip

[Sandor]

Здравствуйте!

 

Архив не полный, переделайте, пожалуйста.

[John Sannikov]

Здравствуйте!

 

Архив не полный, переделайте, пожалуйста.

CollectionLog-2017.11.10-18.33.zip

[Sandor]

О пропущенном шаге я знаю. Логов в архиве все еще не хватает. Для того, чтоб понять почему:

Выполните скрипт в AVZ (Файл - Выполнить скрипт) (утилита находится в папке ...\Autologger\AVZ):

 

var PathAutoLogger, CMDLine : string;

 begin
 clearlog;
 PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
 AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
 SaveLog(PathAutoLogger+'report3.log');
 if FolderIsEmpty(PathAutoLogger+'CrashDumps')
    then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
    else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
 AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
 end.

архив Report.7z из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.

[John Sannikov]

О пропущенном шаге я знаю. Логов в архиве все еще не хватает. Для того, чтоб понять почему:

Выполните скрипт в AVZ (Файл - Выполнить скрипт) (утилита находится в папке ...\Autologger\AVZ):

 

var PathAutoLogger, CMDLine : string;

 begin
 clearlog;
 PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
 AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
 SaveLog(PathAutoLogger+'report3.log');
 if FolderIsEmpty(PathAutoLogger+'CrashDumps')
    then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
    else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
 AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
 end.

архив Report.7z из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.

 

Report.7z

[Sandor]

Пожалуйста, не цитируйте полностью сообщение, используйте форму "Ответить" внизу темы.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\Users\John Sannikov\AppData\Roaming\Microsoft\Windows\Helper.exe');
 QuarantineFile('C:\PROGRA~3\2cf9f308\17bd0f57.dll', '');
 QuarantineFile('C:\ProgramData\system32\SystemHost.exe', '');
 QuarantineFile('C:\Users\John Sannikov\AppData\Roaming\Microsoft\Windows\Helper.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{60B5DF8A-0DD8-1954-D1E7-F2F97328676A}" /F', 0, 15000, true);
 DeleteFile('C:\PROGRA~3\2cf9f308\17bd0f57.dll', '32');
 DeleteFile('C:\ProgramData\system32\SystemHost.exe', '32');
 DeleteFile('C:\Users\John Sannikov\AppData\Roaming\Microsoft\Windows\Helper.exe', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[John Sannikov]

Пожалуйста, не цитируйте полностью сообщение, используйте форму "Ответить" внизу темы.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\Users\John Sannikov\AppData\Roaming\Microsoft\Windows\Helper.exe');
 QuarantineFile('C:\PROGRA~3\2cf9f308\17bd0f57.dll', '');
 QuarantineFile('C:\ProgramData\system32\SystemHost.exe', '');
 QuarantineFile('C:\Users\John Sannikov\AppData\Roaming\Microsoft\Windows\Helper.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{60B5DF8A-0DD8-1954-D1E7-F2F97328676A}" /F', 0, 15000, true);
 DeleteFile('C:\PROGRA~3\2cf9f308\17bd0f57.dll', '32');
 DeleteFile('C:\ProgramData\system32\SystemHost.exe', '32');
 DeleteFile('C:\Users\John Sannikov\AppData\Roaming\Microsoft\Windows\Helper.exe', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:

Helper.exe - not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

еще раз сделал

CollectionLog-2017.11.10-19.05.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[John Sannikov]

вот

откатил драйвер видеокарты , теперь работает все нормально

и процессор больше не нагружается 

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction <==== ATTENTION
  2017-09-18 03:33 - 2017-09-18 03:33 - 007327744 _____ () C:\Users\John Sannikov\AppData\Local\agent.dat
  2017-09-18 03:33 - 2017-09-18 03:33 - 000070800 _____ () C:\Users\John Sannikov\AppData\Local\Config.xml
  2017-09-18 03:31 - 2017-09-18 03:31 - 000140800 _____ () C:\Users\John Sannikov\AppData\Local\installer.dat
  2017-09-18 03:33 - 2017-09-18 03:33 - 000005568 _____ () C:\Users\John Sannikov\AppData\Local\md.xml
  2017-09-18 03:33 - 2017-09-18 03:33 - 000126464 _____ () C:\Users\John Sannikov\AppData\Local\noah.dat
  2017-09-18 03:33 - 2017-09-18 03:33 - 000278508 _____ () C:\Users\John Sannikov\AppData\Local\Santrax.bin
  2017-09-18 03:33 - 2017-09-18 03:33 - 001899389 _____ () C:\Users\John Sannikov\AppData\Local\Zummaplus.tst
  Task: {B007F318-6FF3-45EC-86DC-4EB56CAEE31B} - \{7E0C0A47-7809-047A-7D11-0C787804110D} -> No File <==== ATTENTION
  Task: {CF22CAF0-07D4-4657-9806-D7CFB2FCA056} - \{74F2754B-C359-C2E0-3C09-9462A0AED1D8} -> No File <==== ATTENTION
  Task: {FED12161-2661-4060-A908-D01DEBFE3D16} - System32\Tasks\System\SystemCheck => C:\Users\John Sannikov\AppData\Roaming\Microsoft\Windows\Helper.exe
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[John Sannikov]

вот

Fixlog.txt

[Sandor]

Что с проблемой?

[John Sannikov]

отлично , уже не нагружается , спасибо за помощь )

[Sandor]

Пожалуйста, не пропадайте. Появятся разработчики Autologger и уточнят некоторые моменты.

 

В завершение:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[John Sannikov]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 10.11.2017 20:05:23

Path starting: C:\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: John Sannikov

VersionXML: 4.74is-05.11.2017

___________________________________________________________________________

 

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)

Дата установки ОС: 06.09.2017 17:49:07

Статус лицензии: Windows® 7, Ultimate edition Постоянная активация прошла успешно.

Режим загрузки: Normal

Браузер по умолчанию: C:\Users\John Sannikov\AppData\Local\Yandex\YandexBrowser\Application\browser.exe

Системный диск: C: ФС: [NTFS] Емкость: [465.7 Гб] Занято: [336.2 Гб] Свободно: [129.5 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.18792 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен (Уровень 1)

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Автоматическое обновление отключено

Дата установки обновлений: 2017-09-15 09:39:54

Центр обновления Windows (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

------------------------------- [ HotFix ] --------------------------------

HotFix KB3156013 Внимание! Скачать обновления

HotFix KB3153171 Внимание! Скачать обновления

HotFix KB3178034 Внимание! Скачать обновления

HotFix KB3185911 Внимание! Скачать обновления

HotFix KB3184122 Внимание! Скачать обновления

HotFix KB3192391 Внимание! Скачать обновления

HotFix KB3197867 Внимание! Скачать обновления

HotFix KB3205394 Внимание! Скачать обновления

HotFix KB4012212 Внимание! Скачать обновления

HotFix KB4019263 Внимание! Скачать обновления

HotFix KB4022722 Внимание! Скачать обновления

HotFix KB4015546 Внимание! Скачать обновления

HotFix KB4025337 Внимание! Скачать обновления

HotFix KB4034679 Внимание! Скачать обновления

HotFix KB4041678 Внимание! Скачать обновления

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Windows Defender (выключен и устарел)

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.50 (64-разрядная) v.5.50.0

TeamViewer 12 v.12.0.83369

TeamViewer 12 (TeamViewer) - Служба работает

--------------------------------- [ P2P ] ---------------------------------

BitTorrent v.7.10.0.43917 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 27 PPAPI v.27.0.0.183

------------------------------- [ Browser ] -------------------------------

Yandex v.17.9.1.768 Внимание! Скачать обновления

^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Google Chrome v.61.0.3163.100 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

--------------------------- [ RunningProcess ] ----------------------------

C:\Users\John Sannikov\AppData\Local\Yandex\YandexBrowser\Application\browser.exe v.17.9.1.768

browser.exe

------------------ [ AntivirusFirewallProcessServices ] -------------------

Защитник Windows (WinDefend) - Служба работает

----------------------------- [ End of Log ] ------------------------------