Перейти к содержанию

Нагрузка цп на 50%, после открытия диспетчера пропадает


Рекомендуемые сообщения

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\сомр\AppData\Local\Temp\csrss\scheduled.exe','');
 QuarantineFile('C:\Users\сомр\AppData\Local\Temp\csrss\lsa64install.exe','');
 QuarantineFile('C:\Users\сомр\AppData\Roaming\bo2xzonni1t\44220ixvro1.exe','');
 QuarantineFile('C:\Users\сомр\AppData\Roaming\mll1tvhubf2\abbvmcvfbkx.exe','');
 QuarantineFile('C:\Users\сомр\AppData\Roaming\dhd05xz033p\4n544atr45d.exe','');
 QuarantineFile('C:\Users\сомр\AppData\Roaming\qxrxi1rvh5i\ryg3smxfgqj.exe','');
 QuarantineFile('C:\Users\сомр\AppData\Roaming\4wsp4xpj2e1\ms2zrdvmkk3.exe','');
 QuarantineFile('C:\Program Files (x86)\Common Files\Microsoft Shared\oykvgu.dll','');
 SetServiceStart('WinmonProcessMonitor', 4);
 DeleteService('WinmonProcessMonitor');
 SetServiceStart('WinmonFS', 4);
 DeleteService('WinmonFS');
 SetServiceStart('Winmon', 4);
 DeleteService('Winmon');
 SetServiceStart('CB487305D44D', 4);
 DeleteService('CB487305D44D');
 SetServiceStart('WinDefender', 4);
 DeleteService('WinDefender');
 QuarantineFile('C:\ProgramData\localNETService\localNETService.exe','');
 DeleteService('localNETService');
 QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys','');
 QuarantineFile('C:\Windows\System32\drivers\Winmon.sys','');
 QuarantineFile('C:\Windows\CB487305D44D.sys','');
 QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','');
 TerminateProcessByName('c:\windows\windefender.exe');
 QuarantineFile('c:\windows\windefender.exe','');
 TerminateProcessByName('c:\users\сомр\appdata\local\temp\csrss\cloudnet.exe');
 TerminateProcessByName('c:\windows\rss\csrss.exe');
 QuarantineFile('c:\windows\rss\csrss.exe','');
 QuarantineFile('c:\users\сомр\appdata\local\temp\csrss\cloudnet.exe','');
 DeleteFile('c:\users\сомр\appdata\local\temp\csrss\cloudnet.exe','32');
 DeleteFile('c:\windows\rss\csrss.exe','32');
 DeleteFile('c:\windows\windefender.exe','32');
 DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','64');
 DeleteFile('C:\Windows\CB487305D44D.sys','64');
 DeleteFile('C:\Windows\System32\drivers\Winmon.sys','64');
 DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys','64');
 DeleteFile('C:\ProgramData\localNETService\localNETService.exe','64');
 DeleteFile('C:\Program Files (x86)\Common Files\Microsoft Shared\oykvgu.dll','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\oykvgu\Parameters','ServiceDll','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x64');
 DeleteFile('C:\Users\сомр\AppData\Roaming\4wsp4xpj2e1\ms2zrdvmkk3.exe','64');
 DeleteFile('C:\Users\сомр\AppData\Roaming\qxrxi1rvh5i\ryg3smxfgqj.exe','64');
 DeleteFile('C:\Users\сомр\AppData\Roaming\dhd05xz033p\4n544atr45d.exe','64');
 DeleteFile('C:\Users\сомр\AppData\Roaming\mll1tvhubf2\abbvmcvfbkx.exe','64');
 DeleteFile('C:\Users\сомр\AppData\Roaming\bo2xzonni1t\44220ixvro1.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ATI','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CloudNet','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\933480','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\9062007','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2882881','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2707930','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1402734','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FragrantPaper','x64');
 DeleteFile('C:\Users\сомр\AppData\Local\Temp\csrss\lsa64install.exe','64');
 DeleteSchedulerTask('lsa64');
 DeleteSchedulerTask('ScheduledUpdate');
 DeleteFile('C:\Users\сомр\AppData\Local\Temp\csrss\scheduled.exe','64');
 DeleteSchedulerTask('{77A6EE90-9F7B-261B-528A-C63CA1CEEEDC}');
 DeleteSchedulerTask('{B89F4090-38A6-2F4D-8851-FC33119479FB}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction - Windows Defender <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{1eb61500-2f94-41a8-8284-7fa6daf1f7f9} <==== ATTENTION (Restriction - IP)
CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
S3 cpuz140; \??\c:\windows\temp\cpuz140\cpuz140_x64.sys [X]
U2 oykvgu; no ImagePath
2019-01-03 00:46 - 2019-01-04 01:18 - 000000000 ___HD C:\Windows\rss
2019-01-03 00:46 - 2019-01-04 01:14 - 000003172 _____ C:\Windows\System32\Tasks\csrss
2019-01-03 00:44 - 2019-01-04 01:16 - 000000000 ____D C:\Users\Все пользователи\localNETService
2019-01-03 00:44 - 2019-01-04 01:16 - 000000000 ____D C:\ProgramData\localNETService
2019-01-03 00:43 - 2019-01-03 00:43 - 000621928 _____ (VideoDriver) C:\Windows\CB487305D44D.sys
2019-01-03 01:00 - 2019-01-03 01:00 - 000000128 _____ () C:\ProgramData\appdata.dat
2019-01-03 00:54 - 2019-01-03 02:38 - 000000004 _____ () C:\ProgramData\lock.dat
2019-01-03 00:54 - 2019-01-03 00:54 - 000000008 _____ () C:\ProgramData\ts.dat
2019-01-03 01:00 - 2019-01-03 01:00 - 000000128 _____ () C:\Users\Все пользователи\appdata.dat
2019-01-03 00:54 - 2019-01-03 02:38 - 000000004 _____ () C:\Users\Все пользователи\lock.dat
2019-01-03 00:54 - 2019-01-03 00:54 - 000000008 _____ () C:\Users\Все пользователи\ts.dat
C:\Windows\svchost.exe
c:\users\сомр\appdata\local\temp\csrss
Task: {3990681A-8556-4519-B72B-49AD203F201E} - \DriverScanner -> No File <==== ATTENTION
Task: {3D8DCCC2-200D-48D5-B291-45FC4324A48E} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe <==== ATTENTION
AlternateDataStreams: C:\Users\Public\AppData:CSM [476]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [470]
FirewallRules: [{20CC22B0-9010-4B05-B198-F61E734083CD}] => (Allow) C:\Windows\rss\csrss.exe No File
FirewallRules: [{21C4B015-6F20-49D4-A277-5C3BC4D57D09}] => (Allow) C:\Windows\rss\csrss.exe No File
FirewallRules: [{5CABD973-1BBF-4950-94A7-DE8C5DD4D91B}] => (Allow) C:\Users\сомр\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File
FirewallRules: [{69985D56-7083-49F5-B309-C0EF7BC59D34}] => (Allow) C:\Users\сомр\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File
FirewallRules: [{842C6C82-2227-4AAD-A335-B74E2CD76BE6}] => (Allow) C:\Users\сомр\AppData\Local\Temp\csrss\lsa64.exe No File
FirewallRules: [{24BDEE6C-BB9F-472D-ACE7-9BF3549F67A9}] => (Allow) C:\Users\сомр\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{A82D2A02-A834-4AFE-A412-A3BDED5AE6B2}] => (Allow) C:\Users\сомр\AppData\Roaming\uTorrent\uTorrent.exe No File
File: C:\Windows\Reserve Service\daemon\service.exe
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('CB487305D44D', 4);
 DeleteService('CB487305D44D');
 QuarantineFile('C:\Windows\system32\ntkrnlmp.exe','');
 QuarantineFile('C:\Windows\CB487305D44D.sys','');
 DeleteFile('C:\Windows\CB487305D44D.sys','64');
 DeleteFile('c:\windows\Fonts\svchost.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\HR1PugIpla.exe','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...