Станислав Пушкаревский 0 Опубликовано 25 февраля, 2018 Share Опубликовано 25 февраля, 2018 День назад обнаружил подозрительную нагрузку на оперативную память, при включении компьютера нагрузка на ОЗУ 20% и ниже не опускается(все программы выключены). Просканировал утилитой Spy Hunter 4, нашелся bitcoin miner, утилита удалила. Перезагрузил компьютер те же 20%, сканировал Dr. Web, так же нашел майнер только уже в другом файле, вылечил, перезагрузил пк - опять же 20% загрузки ОЗУ. Просканировал Kasperskiy Internet Security, ничего не обнаружил, сканировал повторно Dr. Web и SpyHunter, так же ничего не видят. CollectionLog-2018.02.25-22.06.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 25 февраля, 2018 Share Опубликовано 25 февраля, 2018 Просьба соберите логи этой версией Автологера, а папку со скаченной удалите. Заметил, что у вас для неюникодных программ стоит китайский упрощённый язык. Так что на всякий случай спрошу, Tencent сами ставили? И раз MBAM стоит, то уже покажите его лог сканирования. И я так понимаю, что всё найденное им вы уже сами поудаляли? Цитата Ссылка на сообщение Поделиться на другие сайты
Станислав Пушкаревский 0 Опубликовано 25 февраля, 2018 Автор Share Опубликовано 25 февраля, 2018 (изменено) Просьба соберите логи этой версией Автологера, а папку со скаченной удалите. Заметил, что у вас для неюникодных программ стоит китайский упрощённый язык. Так что на всякий случай спрошу, Tencent сами ставили? И раз MBAM стоит, то уже покажите его лог сканирования. И я так понимаю, что всё найденное им вы уже сами поудаляли? Tencent устанавливал сам. Сканировал вашей версией, при запуске не просит открыть браузеры и когда заканчивает сканирование, то не оставляет лог файл. Удалил MBAM, и скорее всего все логи, после сканирования. В окне лога вашего Автологера при запуске: Executing script from file Script error: 'BEGIN' expected, position [66:1] Script is executed Изменено 25 февраля, 2018 пользователем Станислав Пушкаревский Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 26 февраля, 2018 Share Опубликовано 26 февраля, 2018 Tencent устанавливал сам. сейчас он уже удалён? Хвосты от него до сих пор видно. По Автологеру, папку со старым удалили? Может скрипты от старого подхватило. Ещё попробуйте в первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу Shift. Цитата Ссылка на сообщение Поделиться на другие сайты
Станислав Пушкаревский 0 Опубликовано 26 февраля, 2018 Автор Share Опубликовано 26 февраля, 2018 (изменено) Нажал клавишу "ОК" через шифт в логе выдает тоже самое(Снимок). Tencent удален, да. Изменено 26 февраля, 2018 пользователем Станислав Пушкаревский Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 26 февраля, 2018 Share Опубликовано 26 февраля, 2018 1) Пожалуйста, сделайте экспорт этого ключа реестра HKLM\SYSTEM\CurrentControlSet\Control\Nls\Language и прикрепите его. 2) Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Цитата Ссылка на сообщение Поделиться на другие сайты
Станислав Пушкаревский 0 Опубликовано 26 февраля, 2018 Автор Share Опубликовано 26 февраля, 2018 1)Файл .reg не прикреплялся, поэтому архив. 2)Все прикрепил, но что делать с AutorunsVTchecker? Он сейчас работает и проверяет на VT Language.zip DEF-ПК_2018-02-26_21-18-53.7z Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 26 февраля, 2018 Share Опубликовано 26 февраля, 2018 что делать с AutorunsVTchecker? Он сейчас работает и проверяет на VT Подождать пока закончит . 1) Остатки MBAM удалите https://support.malwarebytes.com/docs/DOC-1112 2) - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите. 3) SPY HUNTER - удалите. 4) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG deldir %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QZONE deldir %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\135 deldir %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQMUSIC\QZONEMUSIC deldir %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\12.9.19161.223 deldir %SystemDrive%\USERS\DEF\APPDATA\ROAMING\TENCENT\WEBGAMEPLUGIN\1.0.4.3 deldir %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\TXSSO\1.2.5.23\BIN dirzooex %SystemDrive%\USERS\DEF\APPDATA\ROAMING\PACCOIN bl 1C4DFF257563CCC9D1F146019895577D 315392 zoo %SystemRoot%\SYSWOW64\TXGYMAILACTIVEX.DLL delall %SystemRoot%\SYSWOW64\TXGYMAILACTIVEX.DLL delref %Sys32%\DRIVERS\MBAMSWISSARMY.SYS delref %SystemDrive%\PROGRAM FILES (X86)\AUTOIT3\AUTOIT V3 WEBSITE.URL zoo %SystemDrive%\USERS\DEF\APPDATA\LOCAL\VIRTUALSTORE\ISSCH\ISSCH.EXE delall %SystemDrive%\USERS\DEF\APPDATA\LOCAL\VIRTUALSTORE\ISSCH\ISSCH.EXE deldir %SystemDrive%\USERS\DEF\APPDATA\ROAMING\PACCOIN dirzooex %SystemDrive%\USERS\DEF\APPDATA\ROAMING\PACCOINCORE deldir %SystemDrive%\USERS\DEF\APPDATA\ROAMING\PACCOINCORE czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. 5) Сделайте свежий лог uVS. Цитата Ссылка на сообщение Поделиться на другие сайты
Станислав Пушкаревский 0 Опубликовано 26 февраля, 2018 Автор Share Опубликовано 26 февраля, 2018 Все сделал по инструкции лог пункта 2 и 5 в закрепе ClearLNK-27.02.2018_01-00.log DEF-ПК_2018-02-27_01-11-55.7z Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 27 февраля, 2018 Share Опубликовано 27 февраля, 2018 1) Выполните скрипт в uVS ;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG ;------------------------autoscript--------------------------- bl 790067CCE9C1337DB9EE0007181635D0 1046520 zoo %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\17.11.1.990\SERVICE_UPDATE.EXE delall %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\17.11.1.990\SERVICE_UPDATE.EXE zoo %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QZONE\NPQQPHOTODRAWEX.DLL delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QZONE\NPQQPHOTODRAWEX.DLL zoo %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQMUSIC\QZONEMUSIC\NPQZONEMUSIC.DLL delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQMUSIC\QZONEMUSIC\NPQZONEMUSIC.DLL zoo %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\12.9.19161.223\QMUDISK64.SYS delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\12.9.19161.223\QMUDISK64.SYS zoo %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\12.9.19161.223\SOFTAAL64.SYS delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\12.9.19161.223\SOFTAAL64.SYS zoo %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\12.9.19161.223\TSNETHLPX64.SYS delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\12.9.19161.223\TSNETHLPX64.SYS apply ;------------------------------------------------------------- ;---------command-block--------- zoo %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\PACCOIN\PACCOIN-QT.EXE delall %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\PACCOIN\PACCOIN-QT.EXE delref %SystemDrive%\PROGRA~2\PYTHON26\PYTHONW.EXE apply czoo restart 2) Удалите AutoLogger, что вы раньше качали и папку от него. 3) Скачайте заново этот, попробуйте собрать логи. 4) Если получится, то архив с логами прикрепите. Если нет, то из папки AutoLogger файлы report1.log и report2.log заархивируйте и прикрепите. Цитата Ссылка на сообщение Поделиться на другие сайты
Станислав Пушкаревский 0 Опубликовано 27 февраля, 2018 Автор Share Опубликовано 27 февраля, 2018 Лог в закрепе. Скрипт выполнил CollectionLog-2018.02.27-14.36.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 27 февраля, 2018 Share Опубликовано 27 февраля, 2018 Просто из любопыства, диск A:\ это что? Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. и заодно отпишитесь, что там с проблемой. Цитата Ссылка на сообщение Поделиться на другие сайты
Станислав Пушкаревский 0 Опубликовано 27 февраля, 2018 Автор Share Опубликовано 27 февраля, 2018 (изменено) Диск А - это HDD диск, который я поменял на SSD. Все те же 20% при загрузке компьютера, и не изменялось. AdwCleanerS0.txt Изменено 27 февраля, 2018 пользователем Станислав Пушкаревский Цитата Ссылка на сообщение Поделиться на другие сайты
Станислав Пушкаревский 0 Опубликовано 28 февраля, 2018 Автор Share Опубликовано 28 февраля, 2018 @regist Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 28 февраля, 2018 Share Опубликовано 28 февраля, 2018 Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.