[РЕШЕНО] VMware процесс цп грузил 100% и сами dns меняются

[Adrian]

Здравствуйте! Грузился в диспетчере задач процесс VMware цп 100%, но не придавал особо значения, так как компьютер не смотря на 100% цп загрузку не тормозил и случайно обнаружил процесс что грузит и закрыл его, потом всё равно он появлялся, вчера по рекомендациям на вашем форуме в одной из веток устранил эту проблему с помощью Farbar Recovery Scan Tool, больше в диспетчере задач этот процесс не грузит, также и с папки C:\ProgramData\VMware\VMware Tools  тоже было удалено. DNS были dns1 185.192.111.210 и dns2 37.59.58.122. Поменял в ручную от гугла dns, но сегодня вновь поменялись на прежние. Помогите устранить проблему, чтобы DNS не менялись больше.

CollectionLog-2020.08.09-11.09.zip

[Sandor]

Здравствуйте!

 

1 час назад, Adrian сказал:

по рекомендациям на вашем форуме в одной из веток устранил эту проблему

Рекомендации пишутся индивидуально, поэтому выполнять их не нужно. Можете повредить систему.

 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

 

Excel 2013, версия null

MediaGet

Orbitum

 

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\user\appdata\local\temp\dotnetbrowser-chromium\69.0.3497.12.2.0.0.165\x64\browsercore64.exe');
 QuarantineFile('c:\users\user\appdata\local\temp\dotnetbrowser-chromium\69.0.3497.12.2.0.0.165\x64\browsercore64.exe', '');
 DeleteFile('c:\users\user\appdata\local\temp\dotnetbrowser-chromium\69.0.3497.12.2.0.0.165\x64\browsercore64.exe', '');
 DeleteFile('c:\users\user\appdata\local\temp\dotnetbrowser-chromium\69.0.3497.12.2.0.0.165\x64\browsercore64.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. 
Прикрепите к следующему сообщению свежий CollectionLog.
 

 

[Adrian]

Ответ пока не получил от newvirus@kaspersky.com, но сделал повторную диагностику. Прикрепляю.

CollectionLog-2020.08.09-15.47.zip

[Sandor]

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[Adrian]

Отчёт

AdwCleaner[S00].txt

[Sandor]

Предустановленное ПО не трогайте, остальное чистим:

1.

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  
  • Сбросить политики IE
  • Сбросить политики Chrome
    
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Adrian]

Отчёты

AdwCleaner[C01].txt FRST.txt Addition.txt

[Sandor]

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  
  HKU\S-1-5-21-3695973999-999978805-733528151-1000\...\Run: [Orbitum Update] => "C:\Users\User\AppData\Local\Orbitum\Update\GoogleUpdate.exe" /c
  GroupPolicy-Firefox: Restriction <==== ATTENTION
  Task: {44034DB1-AB65-4240-8F21-CC5470C5E77E} - System32\Tasks\OrbitumUpdateTaskUserS-1-5-21-3695973999-999978805-733528151-1000Core => C:\Users\User\AppData\Local\Orbitum\Update\GoogleUpdate.exe
  Task: {9A4B8353-F5C9-4E48-934D-7CCC2716D1CB} - System32\Tasks\OrbitumUpdateTaskUserS-1-5-21-3695973999-999978805-733528151-1000UA => C:\Users\User\AppData\Local\Orbitum\Update\GoogleUpdate.exe
  Tcpip\..\Interfaces\{26b11a49-585f-4b43-a90c-9af3c3d7b25b}: [NameServer] 185.192.111.210,37.59.58.122
  Tcpip\..\Interfaces\{81043844-f270-4a21-8635-810b6926a3af}: [NameServer] 185.192.111.210,37.59.58.122
  Tcpip\..\Interfaces\{be8a12c6-7502-4ad0-a7ab-908384611a70}: [NameServer] 185.192.111.210,37.59.58.122
  FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\local-settings.js [2019-11-29] <==== ATTENTION (Points to *.cfg file)
  FF ExtraCheck: C:\Program Files\mozilla firefox\umbrella.cfg [2020-05-21] <==== ATTENTION
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [133]
  AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [143]
  EmptyTemp:
  Reboot:
  End::

  
  
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
  

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

[Adrian]

Dns 185.192.111.210,37.59.58.122 на данный момент сбросились. Как я понимаю проблема решилась и больше не появится. Порекомендуйте, как предотвратить, чтобы подобное больше не происходило при замене dns, так и не словить больше майнер VMware? Спасибо большое за помощь.

Fixlog.txt

[Sandor]

Для этого финальные рекомендации:

 

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.
  

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Adrian]

Отчёт

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 69.0.3 (x64 ru) v.69.0.3 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
 

 

Установите антивирус. Читайте Рекомендации после удаления вредоносного ПО

[Adrian]

Всё сделал согласно инструкции. Спасибо.

[Sandor]

Тема открыта по просьбе ТС (DNS по-прежнему меняется).

 

К сети подключаетесь через роутер? Если да, подключено одно устройство?

Изменено 10 августа, 2020 пользователем Sandor

[Adrian]

Dns вновь появились прежние