regist 617 Опубликовано 5 октября, 2018 Share Опубликовано 5 октября, 2018 По поводу "7-Zip 9.20" - стоит версия 16.04. Или я не туда смотрю? Всё равно удалить? у вас стоят обе версии 7-Zip 16.04 (x64) [2017/02/10 12:49:23]-->C:\Program Files\7-Zip\Uninstall.exe 7-Zip 9.20 [20120615]-->MsiExec.exe /I{23170F69-40C1-2701-0920-000001000000} вот старую и предлагаю удалить. Раз не видите в списке установленных, то попробуйте с командной строки MsiExec.exe /I{23170F69-40C1-2701-0920-000001000000} Вышеупомянутых "Java 7 Update 17", "Java™ 6 Update 29" вообще в этом списке нет. Или где-то ручками нужно удалить? вообще должны быть видны Java 7 Update 17 [20130306]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217017FF} Java(TM) 6 Update 29 [20110315]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF} Но раз не получается, то пробуйте по инструкции https://www.java.com/ru/download/uninstalltool.jsp Unity Web Player - ставил сам, но всё же удалил ради эксперимента. раз сами, то можно было не удалять. Просто программа часто ставится в составе разных бандлов без ведома пользователя. Папку C:\MB2010\BIN вообще в упор не вижу. Может быть снова не туда смотрю? значит просто хвосты в реестре и тоже можно зачистить как мусор. Заодно посмотрите, а папка C:\PROGRAM FILES (X86)\NORMCAD\ есть или на неё тоже только хвосты в реестре? Цитата Ссылка на сообщение Поделиться на другие сайты
Artem017 0 Опубликовано 5 октября, 2018 Автор Share Опубликовано 5 октября, 2018 (изменено) Пардон за долгое молчание. Стал чистить реестр, а заодно и многое из программ по-удалял. Некоторые программы стали ругаться. Тот же Kaspersky Free начал жаловаться на отсутствие Framework 4.0. Долго возился с восстановлением этим фреймворков - куча версий. Вобщем, почти весь день убил, чтобы восстановить работу программ... По теме: выполнение операции MsiExec.exe /I{23170F69-40C1-2701-0920-000001000000} из командной строки ни к чему ни привело: То же было и с выполнением: MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217017FF} Утилита Java Uninstall Tool тоже ничего не удалила - программ Java не было. Помнится, я их уже давно самостоятельно удалял, это просто видимо хвосты в реестре остались. Чистил реестр CCleaner`ом. Там также обнаружилась ветка C:\MB2010\BIN: Папка C:\PROGRAM FILES (X86)\NORMCAD\ осталась ещё от предыдущего пользователя - это был вроде какой-то сетевой справочник. Раньше пользовались, а сейчас его уже не поддерживают. Папку NormCAD удалил. Также загрузил несколько обновлений. Критических среди них вроде не было. Основная масса предлагаемых к загрузке - это обновления для MS Office. Изменено 5 октября, 2018 пользователем Artem017 Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 5 октября, 2018 Share Опубликовано 5 октября, 2018 Сделайте свежий лог uVS. Цитата Ссылка на сообщение Поделиться на другие сайты
Artem017 0 Опубликовано 5 октября, 2018 Автор Share Опубликовано 5 октября, 2018 Сделал лог заново. URAN-289_2018-10-05_19-47-02_v4.0.21.7z Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 5 октября, 2018 Share Опубликовано 5 октября, 2018 (изменено) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v4.0.21 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG uidel MsiExec.exe /I{23170F69-40C1-2701-0920-000001000000} uidel MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217017FF} uidel MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF} ;---------command-block--------- delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {0468C085-CA5B-11D0-AF08-00609797F0E0}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {0E2877D3-2641-4970-B794-A553E295428D}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {B4F3A835-0E21-4959-BA22-42B3008E02FF}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {4853DF44-7D6B-48E9-9258-D800EEE54AF6}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {E8C77137-E224-5791-B6E9-FF0305797A13}\[CLSID] delref %SystemDrive%\PROGRA~2\COMMON~1\MI delref %SystemDrive%\PROGRAM FILES (X86)\MAXTHON5\BIN\MAXTHON.EXE apply cexec bitsadmin.exe /RESET /ALLUSERS restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может будет перезагружен. проверьте, что с проблемой. Изменено 5 октября, 2018 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
Artem017 0 Опубликовано 5 октября, 2018 Автор Share Опубликовано 5 октября, 2018 (изменено) @regist, скрипт выполнил. На первый взгляд - проблема осталась - открытый Диспетчер задач самостоятельно закрылся примерно через 5 минут и нагрузка на ЦП снова возросла. При повторном открытии Диспетчера нагрузка на ЦП падает. Конечно нужно более длительно понаблюдать, но сейчас уже поздно, так что наверно только в понедельник смогу погонять машину. Дополнение: Ан нет, диспетчер и второй раз закрылся... Правда я не отследил, тот ли самый процесс его закрывает. Но нагрузка при этом держится в районе 22-30% вместо 50-55% как раньше... Изменено 5 октября, 2018 пользователем Artem017 Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 5 октября, 2018 Share Опубликовано 5 октября, 2018 (изменено) Вот отчёт о проверке вашего подозреваемого: https://www.virustotal.com/ru/file/aa0bf8f9ddf86ba5e995463c41270ab40f41932a9c72fd1d994fcbf1014647ce/analysis/Пока считается чистым, но практически уверен, что это вирус замаскированный. Так что жду карантина. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v4.0.21 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG zoo %SystemRoot%\SYSWOW64\MICROSOFT\PROTECT\S-1-89-81\RB_1.4.12.11.EXE dirzooex %SystemRoot%\SYSWOW64\MICROSOFT\PROTECT\S-1-89-81 czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)Если архив отсутствует, то заархивруйте папку ZOOс паролем virus. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Изменено 5 октября, 2018 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
Artem017 0 Опубликовано 8 октября, 2018 Автор Share Опубликовано 8 октября, 2018 (изменено) @regist, Доброе утро! Скрипт выполнил, архив ZOO отправил. Интересно имя файла: APSDaemon.exe - с виду безобидное. Дополню "анамнез" - может быть эта информация чем-то поможет: долгое время пользовался обозревателем Maxthon. В последнее время, после обновления обозревателя, начала вылезать "штатная" реклама, мол "Подключайтесь к майнингу и майните на всех устройствах" Стал читать, что за баннер, оказывается, конечно может быть я что-то и путаю, но вроде как сами разработчики встроили майнер непосредственно в сам обозреватель. Данный факт мне стал неприятен, поэтому пришлось вернуться на Оперу. Пишу это к тому, что источником этого скрытого майнера может быть был ранее установленный Макстон? Ещё пункт - после того как я заметил повышенную нагрузку на проц, ещё до обращения на данный форум, я заметил в папке C:\Windows\Temp три файла, в именах которых были IP-адреса и расширение .exe: например 67.67.67.67.exe (именно такой был точно), и ещё пара похожих. То что файлы не мои, я был уверен. Позвонил админам, думал может они чего мутят - нет, говорят, не наши. Поиск в инете показал, что все три адреса американские. Удалить самостоятельно у меня их не получилось, так как доступа к файлам не было. И как вирус они тоже не определялись. Удалось удалить администратору при помощи UnLocker`а. Изменено 8 октября, 2018 пользователем Artem017 Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 8 октября, 2018 Share Опубликовано 8 октября, 2018 Послал файлы в вирлаб. Так что подождите пока придёт ответ от них. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 (изменено) 1) Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v4.0.5 [http://dsrt.dyndns.org] v400c adddir dirzooex %SystemRoot%\SYSWOW64\ crimg В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". 2) "Пофиксите" в HijackThis: O22 - Task: \Microsoft\Windows\Google\GoogleUpdateTaskMachineGU - C:\Windows\SysWOW64\Microsoft\Protect\S-1-89-81\RB_1.4.12.11.exe 3) Посмотрите, что находится в папке C:\Windows\SysWOW64\Microsoft\Protect\S-1-89-81\ можете например скрином или другим способом показать, какие файлы там есть. Изменено 9 октября, 2018 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
Artem017 0 Опубликовано 9 октября, 2018 Автор Share Опубликовано 9 октября, 2018 @regist, Здравствуйте! Скрипт в uVS выполнил. Также выполнил скрипт в HijackThis. Он правда ругнулся на нехватку памяти (на тот момент было чуть больше 500 Мб), но тем не менее операцию завершил. Доступа к папке C:\Windows\SysWOW64\Microsoft\Protect\S-1-89-81\ по прежнему нет: Небольшое "резюме" - перед уходом на обед, специально открыл Диспетчер задач, дабы проверить, не закроется ли он самостоятельно. Вышел из системы, прошло где-то 50 минут, вернулся, зашёл - Диспетчер работает, нагрузки на ЦП нет - нагружен на 1-2%, как и прежде. Получается победили? URAN-289_2018-10-09_11-39-51_v4.0.21.7z Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 (изменено) Получается победили? пока просто отключили запуск. Сейчас лог посмотрю и дочистим. Доступа к папке C:\Windows\SysWOW64\Microsoft\Protect\S-1-89-81\ по прежнему нет: а если перезагрузиться, то всё равно не будет? Доступа к папке C:\Windows\SysWOW64\Microsoft\Protect\S-1-89-81\ по прежнему нет: либо, давайте по другому посмотрим. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: Folder: C:\WINDOWS\SYSWOW64\MICROSOFT\PROTECT\ End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST64 от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Изменено 9 октября, 2018 пользователем regist 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Artem017 0 Опубликовано 9 октября, 2018 Автор Share Опубликовано 9 октября, 2018 а если перезагрузиться, то всё равно не будет? Перезагружался - доступа всё равно нет. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 Ещё раз выполните скрипт в FRST на этот раз такой Start:: CreateRestorePoint: Folder: C:\WINDOWS\SYSWOW64\MICROSOFT\PROTECT\S-1-89-81 End:: отчёт снова прикрепите. Цитата Ссылка на сообщение Поделиться на другие сайты
Artem017 0 Опубликовано 9 октября, 2018 Автор Share Опубликовано 9 октября, 2018 Готово! Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.