Максим Рожнов Опубликовано 16 мая, 2019 Опубликовано 16 мая, 2019 Добрый день, в последнее время стал часто виснуть компьютер процессов вместо 60 - 117, вылазит периодически реклама на рабочем столе и подгружается несколько процессов Google chrome. Логи подгрузил, прошу помочь. CollectionLog-2019.05.16-17.53.zip
thyrex Опубликовано 16 мая, 2019 Опубликовано 16 мая, 2019 Здравствуйте. Выполните скрипт в AVZ из папки Autologger begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Max\AppData\Local\Temp\csrss\scheduled.exe',''); QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys',''); SetServiceStart('WinmonProcessMonitor', 4); DeleteService('WinmonProcessMonitor'); SetServiceStart('WinmonFS', 4); DeleteService('WinmonFS'); SetServiceStart('Winmon', 4); DeleteService('Winmon'); SetServiceStart('WinDefender', 4); DeleteService('WinDefender'); QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys',''); QuarantineFile('C:\Windows\System32\drivers\Winmon.sys',''); TerminateProcessByName('c:\windows\windefender.exe'); QuarantineFile('c:\windows\windefender.exe',''); TerminateProcessByName('c:\users\max\appdata\local\temp\csrss\lsa64.exe'); QuarantineFile('c:\users\max\appdata\local\temp\csrss\lsa64.exe',''); TerminateProcessByName('c:\users\max\appdata\local\temp\csrss\smb\e7.exe'); QuarantineFile('c:\users\max\appdata\local\temp\csrss\smb\e7.exe',''); TerminateProcessByName('c:\windows\rss\csrss.exe'); TerminateProcessByName('c:\users\max\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe'); QuarantineFile('c:\users\max\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe',''); QuarantineFile('c:\windows\rss\csrss.exe',''); DeleteFile('c:\windows\rss\csrss.exe','32'); DeleteFile('c:\users\max\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe','32'); DeleteFile('c:\users\max\appdata\local\temp\csrss\smb\e7.exe','32'); DeleteFile('c:\users\max\appdata\local\temp\csrss\lsa64.exe','32'); DeleteFile('c:\windows\windefender.exe','32'); DeleteFile('C:\Windows\System32\drivers\Winmon.sys','64'); DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys','64'); DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WanderingCherry','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WanderingCherry','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x64'); DeleteSchedulerTask('all-journalnethilxozsm'); DeleteSchedulerTask('AVAST Software\Avast settings backup'); DeleteSchedulerTask('csrss'); DeleteSchedulerTask('lsa64'); DeleteSchedulerTask('ScheduledUpdate'); DeleteFile('C:\Users\Max\AppData\Local\Temp\csrss\scheduled.exe','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
Максим Рожнов Опубликовано 20 мая, 2019 Автор Опубликовано 20 мая, 2019 Здравствуйте. Выполните скрипт в AVZ из папки Autologger begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Max\AppData\Local\Temp\csrss\scheduled.exe',''); QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys',''); SetServiceStart('WinmonProcessMonitor', 4); DeleteService('WinmonProcessMonitor'); SetServiceStart('WinmonFS', 4); DeleteService('WinmonFS'); SetServiceStart('Winmon', 4); DeleteService('Winmon'); SetServiceStart('WinDefender', 4); DeleteService('WinDefender'); QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys',''); QuarantineFile('C:\Windows\System32\drivers\Winmon.sys',''); TerminateProcessByName('c:\windows\windefender.exe'); QuarantineFile('c:\windows\windefender.exe',''); TerminateProcessByName('c:\users\max\appdata\local\temp\csrss\lsa64.exe'); QuarantineFile('c:\users\max\appdata\local\temp\csrss\lsa64.exe',''); TerminateProcessByName('c:\users\max\appdata\local\temp\csrss\smb\e7.exe'); QuarantineFile('c:\users\max\appdata\local\temp\csrss\smb\e7.exe',''); TerminateProcessByName('c:\windows\rss\csrss.exe'); TerminateProcessByName('c:\users\max\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe'); QuarantineFile('c:\users\max\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe',''); QuarantineFile('c:\windows\rss\csrss.exe',''); DeleteFile('c:\windows\rss\csrss.exe','32'); DeleteFile('c:\users\max\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe','32'); DeleteFile('c:\users\max\appdata\local\temp\csrss\smb\e7.exe','32'); DeleteFile('c:\users\max\appdata\local\temp\csrss\lsa64.exe','32'); DeleteFile('c:\windows\windefender.exe','32'); DeleteFile('C:\Windows\System32\drivers\Winmon.sys','64'); DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys','64'); DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WanderingCherry','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WanderingCherry','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x64'); DeleteSchedulerTask('all-journalnethilxozsm'); DeleteSchedulerTask('AVAST Software\Avast settings backup'); DeleteSchedulerTask('csrss'); DeleteSchedulerTask('lsa64'); DeleteSchedulerTask('ScheduledUpdate'); DeleteFile('C:\Users\Max\AppData\Local\Temp\csrss\scheduled.exe','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Добрый день, спасибо! Загрузил ответ в вирус инфо: Файл сохранён как 190520_100717_quarantine_5ce27c554b508.zip Размер файла 24706193 MD5 2eb4f6a12fdbcc04977dabedb7f1b272 Документ с новыми логами во вложении. CollectionLog-2019.05.20-14.10.zip
thyrex Опубликовано 20 мая, 2019 Опубликовано 20 мая, 2019 Не нужно полностью цитировать выдаваемые Вам рекомендации. Для ответа достаточно области внизу экрана. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
Максим Рожнов Опубликовано 21 мая, 2019 Автор Опубликовано 21 мая, 2019 Добрый день, архив во вложении. proverka.rar
thyrex Опубликовано 21 мая, 2019 Опубликовано 21 мая, 2019 1. Выделите следующий код: Start:: CreateRestorePoint: 2019-04-30 16:54 - 2019-05-20 13:42 - 002393568 _____ () C:\ProgramData\appdata.dat 2019-04-30 16:54 - 2019-05-20 13:42 - 002393568 _____ () C:\Users\Все пользователи\appdata.dat 2017-08-08 11:31 - 2017-08-08 11:31 - 000000000 _____ () C:\Users\Max\AppData\Roaming\eGUiKSAmJi 2019-04-30 16:54 - 2019-05-18 01:42 - 000000001 _____ () C:\Users\Max\AppData\Roaming\lsa64.log FirewallRules: [{39840AB8-6119-48DA-87CB-7F22D250B219}] => (Allow) C:\Windows\rss\csrss.exe No File FirewallRules: [{060A8543-1DBD-4A49-8B29-D933B0A4B48D}] => (Allow) C:\Users\Max\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File FirewallRules: [{7E02003F-3770-4256-9159-F4180E163801}] => (Allow) C:\Users\Max\AppData\Local\Temp\csrss\lsa64.exe No File FirewallRules: [{F039FA18-65A0-42BD-833E-8E0EB611D330}] => (Allow) C:\Users\Max\AppData\Local\Temp\csrss\lsa64.exe No File FirewallRules: [{E1274B21-4824-4355-9AC2-B323DCB94724}] => (Allow) C:\Users\Max\AppData\Local\Temp\csrss\lsa64.exe No File FirewallRules: [{65204896-B719-4895-B58D-BC3A1C77C4CB}] => (Allow) C:\Users\Max\AppData\Local\Temp\csrss\lsa64.exe No File FirewallRules: [{2C7918AC-C7B8-4EF4-A097-7BA8CDD551F7}] => (Allow) C:\Users\Max\AppData\Local\Temp\csrss\lsa64.exe No File FirewallRules: [{6412E0F7-5B2E-496B-B910-A830006837EC}] => (Allow) C:\Users\Max\AppData\Local\Temp\csrss\lsa64.exe No File FirewallRules: [{989CE703-60BD-4D38-804D-63DCD0C8A890}] => (Allow) C:\Users\Max\AppData\Local\Temp\csrss\lsa64.exe No File FirewallRules: [{3895CB9B-10E1-499D-A654-E4C3ADFDB6FD}] => (Allow) C:\Users\Max\AppData\Local\Temp\csrss\lsa64.exe No File FirewallRules: [{EBB6A24D-C680-49FC-84F4-A46E5A02669F}] => (Allow) C:\Users\Max\AppData\Local\Temp\csrss\lsa64.exe No File FirewallRules: [{26370432-3FDB-4DC2-8195-465EF519C6D5}] => (Allow) C:\Users\Max\AppData\Local\Temp\csrss\lsa64.exe No File C:\Users\Max\AppData\Local\Temp\csrss C:\Users\Max\AppData\Roaming\EpicNet Inc FirewallRules: [{DA892CF9-9AD8-454A-AAD1-94FF64C07F03}] => (Allow) C:\Users\Max\AppData\Local\Temp\csrss\lsa64.exe No File FirewallRules: [{A10CE93C-1C4C-4DBE-9FFE-CBD28D55010E}] => (Allow) C:\Users\Max\AppData\Local\Temp\csrss\lsa64.exe No File FirewallRules: [{ECFB34F3-1BD9-4282-BC60-A82033D8E359}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe No File FirewallRules: [{E0C2DB85-7EB2-410F-9C33-E13A074A6C6B}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe No File Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера.
Максим Рожнов Опубликовано 22 мая, 2019 Автор Опубликовано 22 мая, 2019 Добрый день, во вложении. Добрый день, во вложении. Fixlog.txt
Максим Рожнов Опубликовано 22 мая, 2019 Автор Опубликовано 22 мая, 2019 (изменено) Частично решилось, вместо 180 стало 107-110 процессов, ещё по многу дублируется гугл хром - 15 процессов висит и загружает на 50% процессор, иногда реклама выскакивает на всех сайтах одна и та же. Изменено 22 мая, 2019 пользователем Максим Рожнов
thyrex Опубликовано 22 мая, 2019 Опубликовано 22 мая, 2019 В современных браузерах каждая новая вкладка или расширение - отдельный процесс в памяти.
thyrex Опубликовано 26 мая, 2019 Опубликовано 26 мая, 2019 Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти