Прошу проверить из-за замедления работы ПК

[Mrak]

Заметил слишком высокую нагрузку на процессор в диспетчере задач при простое (более 50% бывает, хотя раньше не более 5-10%). Решил проверить курилкой (т.к. уже стоит лицензионный КИС 18 с паронаидальными настройками и ранее делались многократные быстрые проверки, 2 полных).

 

Проверить с помощью курилки не смог, т.к. после появления вот этого:

возник синий экран 

и пришлось ПК кнопкой перезагружать.

 

Логи прилагаю. Прошу помочь.

CollectionLog-2018.03.03-13.31.zip

[Sandor]

Здравствуйте!

 

Раньше был установлен Symantec? Если да, пройдитесь соотв. утилитой:

Чистка системы после некорректного удаления антивируса.

 

Далее:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

[Mrak]

Остатки нортона пришлось удалять дважды (при первой попытке перезагрузиться комп завис).

 

Логи новые прилагаю. Надеюсь, что правильно сделал.

СЕРГЕЙ-ПК_2018-03-03_14-09-44.7z

 

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

Забыл сделать синхронно. Сейчас передалаю и 2ой пакет логов прикреплю вместо первого.

Этот лог делался синхронно с работающей  AutorunsVTchecker

 

 СЕРГЕЙ-ПК_2018-03-03_14-18-36.7z

На момент завершения логов  AutorunsVTchecker ещё работал. По результатам работы он выдал просто окно с ОК.

[Sandor]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.0.10 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.1
  v400c
  BREG
  ;---------command-block---------
  delref %SystemDrive%\USERS\2BA0~1\APPDATA\LOCAL\TEMP\317ED71D.SYS
  delref %SystemDrive%\USERS\2BA0~1\APPDATA\LOCAL\TEMP\E8B502E.SYS
  delref HTTP://WWW.SYMANTEC.COM/REDIRECTS/SECURITY_RESPONSE/FIX_HOMEPAGE/INDEX.JSP?LG=RU&PID=NIS&PVID=21.6.0.32
  delref %SystemDrive%\USERS\МАКСИМ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 9\EXTENSIONS\AFKPFJLJJHHONJEHPKMGONIMJJGAHEAP\5.7.5_0\MUSVK - СКАЧАТЬ МУЗЫКУ С ВКОНТАКТЕ
  delref %SystemDrive%\USERS\МАКСИМ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 31\EXTENSIONS\AFKPFJLJJHHONJEHPKMGONIMJJGAHEAP\6.0.8_0\MUSVK - СКАЧАТЬ МУЗЫКУ С ВКОНТАКТЕ
  delref %SystemDrive%\USERS\МАКСИМ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 22\EXTENSIONS\AFKPFJLJJHHONJEHPKMGONIMJJGAHEAP\5.7.8_0\MUSVK - СКАЧАТЬ МУЗЫКУ С ВКОНТАКТЕ
  delref %SystemDrive%\USERS\МАКСИМ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 11\EXTENSIONS\AFKPFJLJJHHONJEHPKMGONIMJJGAHEAP\5.7.5_0\MUSVK - СКАЧАТЬ МУЗЫКУ С ВКОНТАКТЕ
  delref %SystemDrive%\USERS\МАКСИМ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\IIKFLKCANBLCCFAHDHDONEHDALIBJNIF\1.0.5_0\NORTON IDENTITY SAFE
  delref %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\IIKFLKCANBLCCFAHDHDONEHDALIBJNIF\1.0.5_0\NORTON IDENTITY SAFE
  delref %SystemDrive%\USERS\КОТЁНОК\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MKFOKFFFEHPEEDAFPEKJEDDNMNJHMCMK\2014.7.9.12_0\NORTON SECURITY TOOLBAR
  delref %SystemDrive%\USERS\МАКСИМ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\CJABMDJCFCFDMFFIMNDHAFHBLFMPJDPE\2015.5.0.121_0\NORTON SECURITY TOOLBAR
  delref %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MKFOKFFFEHPEEDAFPEKJEDDNMNJHMCMK\2014.7.10.15_0\NORTON SECURITY TOOLBAR
  delref %SystemDrive%\USERS\КОТЁНОК\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HANJIAJGNONAOBDLKLNCDJDMPBOMLHOA\3.2.44_0\СКАЧАТЬ МУЗЫКУ ВКОНТАКТЕ
  delref %SystemDrive%\USERS\2BA0~1\APPDATA\LOCAL\TEMP\WCT7A9C.TMP
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.123\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.149\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.2\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.2\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
  apply
  
  regt 28
  regt 29
  restart
  
   

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

Подробнее читайте в этом руководстве.

[Mrak]

Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

Все сделал как написано. На всякий случай вот логи:

CollectionLog-2018.03.03-15.28.zip

СЕРГЕЙ-ПК_2018-03-03_15-29-30.7z

 

Что дальше делать? Можно запускать CureIT в надежде на завершение проверки без синего экрана? Или ещё что-то требуется для лечения?

[Sandor]

Можно запускать CureIT

Судя по скрину, там много ложных срабатываний.

 

Нагрузка есть по-прежнему?

[Mrak]

 

 

Нагрузка есть по-прежнему?

Пропала. Даже при запущенных WOT нагрузка не превышает 30%. Обычное состояние в районе 1-10%. 

 

Вирусов нет? И что это было? 

[Sandor]

Вирусов нет?

Нет.

 

Перепроверьте еще расширения в Хроме, причем, желательно во всех профилях. Может некоторые и не нужны.

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Mrak]

 

Вирусов нет?

Нет.

 

Перепроверьте еще расширения в Хроме, причем, желательно во всех профилях. Может некоторые и не нужны.

Тогда что это было и грузило процессор?

 

Расширения удалил все кроме двух - блокировщика рекламы и Kaspersky Protection.

 

SecurityCheck.txt

[Sandor]

что это было и грузило процессор?

Не исключено, что как раз расширения. А также "пустые" ссылки на обновление Хрома.

 

Рекомендации после удаления вредоносного ПО

[regist]

+

"Пофиксите" в HijackThis:

O4 - HKU\S-1-5-19\..\Run: [Sidebar] = C:\Program Files\Windows Sidebar\Sidebar.exe /autoRun (file missing)
O4 - HKU\S-1-5-20\..\Run: [Sidebar] = C:\Program Files\Windows Sidebar\Sidebar.exe /autoRun (file missing)
O4 - MSConfig\startupfolder: C:^Users^Максим^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^_uninst_06306858.lnk [backup] => C:\Users\Максим\AppData\Local\Temp\_uninst_06306858.bat (2015/04/12) (file missing)
O4 - MSConfig\startupreg: CCleaner Monitoring [command] = C:\Program Files\CCleaner\CCleaner64.exe /MONITOR (file missing) (HKCU) (2015/04/12)
O4 - MSConfig\startupreg: MAgent [command] = C:\Users\Максим\AppData\Roaming\Mail.Ru\Agent\magent.exe -CU (file missing) (HKCU) (2016/11/18)
O4 - MSConfig\startupreg: Zune Launcher [command] = C:\Program Files\Zune\ZuneLauncher.exe  (file missing) (HKLM) (2013/01/05)
O4-32 - HKLM\..\Run: [IAStorIcon] = C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIconLaunch.exe "C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" 60 (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: &Отправить в OneNote - C:\Program Files (x86)\Microsoft Office\Office15\ONBttnIE.dll (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: &Экспорт в Microsoft Excel - C:\Program Files (x86)\Microsoft Office\Office15\EXCEL.EXE (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: E&xport to Microsoft Excel - C:\Program Files\Microsoft Office\Office14\EXCEL.EXE (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Se&nd to OneNote - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll (file missing)
O22 - Task: (disabled) {5EBA6023-C54E-4839-8504-437A8575FFD1} - C:\Users\Сергей\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe (file missing)
O22 - Task: (disabled) {E36CAEA5-48C1-4D60-B648-D609EEE9FEAB} - C:\Program Files (x86)\Drakensang Online\thinclient.exe (file missing)
O22 - Task: (disabled) {EDBBAAAD-7903-44CC-A8C2-0000D7D20E34} - F:\EasySetupAssistant\TL-WDR3500\EasySetupAssistant.exe (file missing)

[Mrak]

@regist, сделал. Ещё рекомендации будут? Нужно ли доктор вебом дополнительно проверять?

[regist]

 

 

Нужно ли доктор вебом дополнительно проверять?

доктор веб находит ПНП - потенционально нежелательное программу + изменненный hosts. Так что если, то просто удалите FREECODECPACK, но в списке удалённых у вас его не видно. А так зелёный доктор (эта куча детектов) именно на него ругается.

 

А так как выше написал @Sandor, вирусов у вас нет. Тот фикс, что я дал это просто почистили ссылки на уже удалённые файлы. Ибо попытка запустить файл которого уже нет, тоже может замедлять работу. Сейчас пересмотрел у вас в списке установленных программы Игровой центр@Mail.Ru, а файлов от него не видно, только записи о ни. Так что попробуйте его деинсталировать, скорее всего скажет что программа уже удалена и предложит удалить из списка.

И ещё можно через uVS слегка почистить. Выполните скрипт

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
delref %SystemDrive%\PROGRAM FILES (X86)\ADGUARD\ADGUARD.EXE
delref E:\FILES\МАКСИМ\ЗАГРУЗКИ\WINDOWSPHONE.EXE
delref H:\STARTME.EXE
delref %SystemDrive%\USERS\МАКСИМ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6799.0327\FILECOAUTHLIB.DLL
delref %SystemDrive%\USERS\МАКСИМ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6799.0327\AMD64\FILECOAUTHLIB64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DRAKENSANG ONLINE\THINCLIENT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\LINEAGEII\SYSTEM\MSXML4.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\SONY\SONY PC COMPANION\PHONEUPDATETOOLS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\SONY\SONY PC COMPANION\X64\MAPI64.EXE
delref %SystemDrive%\USERS\МАКСИМ\APPDATA\ROAMING\MAIL.RU\AGENT\MRA\DLL\MRATAG.DLL
delref %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\MAIL.RU\GAMECENTER\GAMECENTER@MAIL.RU.EXE
delref %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\MAIL.RU\GAMECENTER\NPDETECTOR.DLL
delref E:\PROGRAM FILES (X86)\TOR BROWSER\BROWSER\FIREFOX.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\57.0.2987.133\INSTALLER\CHRMSTP.EXE
delref %Sys32%\DRIVERS\VBOXNETFLT.SYS
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {18DF081C-E8AD-4283-A596-FA578C2EBDC3}\[CLSID]
apply

restart

[Mrak]

Игрового центра майл ру в списке установленных программ не нашел. 

 

Скрипт выполнил, спасибо!

 

Теперь можно успокоиться и жить радуясь?

 

Кстати, разросшаяся до 15 гб. на ССД диске папка winsxs это норма или есть скрипт, чтобы её почистить (после очистки диска штатными средствами папка все ещё большая).

[regist]

Как грамотно уменьшить размер папки WinSxS в Windows 7 SP1