Тормозит сервер

[Konstantin1702]

Здравствуйте! Тормозит сервер чаCollectionLog-2021.02.17-19.50.zipсто, посмотрите, пожалуйста

[regist]

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

 

А так здесь похоже шифратор поработал.

[Konstantin1702]

всё сделал

6CC0118DF88E5CD2FEDC02996BE6B8CF

[Sandor]

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Konstantin1702]

FRST.txtAddition.txt

[Sandor]

Этот файл вам известен?

Цитата

C:\Program Files\MinerGate\minergate.exe

 

[Sandor]

17.02.2021 в 18:47, regist сказал:

похоже шифратор поработал

Один из файлов readme.txt, например, этот

Цитата

C:\Users\37k\Downloads\README.txt

вместе с возможными зашифрованными образцами упакуйте в архив и прикрепите к следующему сообщению.

[Konstantin1702]

1) Этот файл вам известен?

был такой процесс вроде. с автозагрузки убрали, а сам видимо не удалили. что делать с остатками этого майнера?

2) Один из файлов readme.txt, например, этот

см вложение

3) вместе с возможными зашифрованными образцами упакуйте в архив и прикрепите к следующему сообщению.

нет зашифрованных образцов, вроде. всё удалили, только readme остались в некоторых местах

 

 

 

FRST.txtAddition.txt

README.txt

 

frst и addition старые прикрепились, можете не смотреть

[Sandor]

Прошу прощения, упустил вашу тему.

Больше ничего плохого (вирусоподобного) не видно. Проблема "торможения" не обязательно вирусная. Может быть связана с системой, либо с "железом".

Создайте тему в соседнем разделе, ссылку на эту тему там укажите.

[regist]

А также тормозить может из-за того, что пошифрованны файлы - идёт обращение к ним, найти их не может, но время на поиск тратится.

[Sandor]

Впрочем, давайте всё-таки кое-что почистим.

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-296575525-641313056-3695295629-1002\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1006\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1007\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1015\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1018\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1033\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1037\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1039\...\Run: [MinerGateGui] => C:\Program Files\MinerGate\minergate.exe --auto
  HKU\S-1-5-21-296575525-641313056-3695295629-1039\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1068\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1069\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1070\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1071\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1072\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1073\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1077\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1078\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1080\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1081\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1082\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1085\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1089\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1090\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1091\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1092\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1093\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1097\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1098\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1101\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1103\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1105\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1107\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1109\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1110\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1112\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1113\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1114\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1116\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1117\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1118\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1122\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1124\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1130\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1135\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1136\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1140\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1141\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1142\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1144\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1148\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1152\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-1154\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  HKU\S-1-5-21-296575525-641313056-3695295629-500\...\MountPoints2: {7eae3a07-2f60-11e9-8553-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.exe /passive
  Task: {1E52A5B3-1B63-481A-8103-81BF9BC86E02} - System32\Tasks\WBadminSystemRestore => wbadmin [Argument = DELETE SYSTEMSTATEBACKUP -keepVersions:0]
  Task: {3885DDE8-E8CB-4D35-9FED-44AB5EBD17B6} - System32\Tasks\WBadminBackupRestore => wbadmin [Argument = DELETE BACKUP -keepVersions:0]
  Task: {73D92660-B2E6-4128-BC86-539E8AB0FA91} - System32\Tasks\BCBoot => bcdedit [Argument = /set {default} bootstatuspolicy ignoreallfailures]
  Task: {872E9CD2-BBFF-4242-9BC5-B25F426E93C2} - System32\Tasks\BCRecover => bcdedit [Argument = /set {default} recoveryenabled No]
  Task: {8B3530DD-DC4D-418D-8882-F486A8613E68} - System32\Tasks\WMICRestore => wmic SHADOWCOPY DELETE
  Task: {AE22241C-1EEF-4F9C-96AB-376B89DE5EAC} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
  FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2020-12-08] <==== ВНИМАНИЕ (Указывает на *.cfg файл)
  FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2020-12-08] <==== ВНИМАНИЕ
  2021-01-25 14:28 - 2020-02-09 20:29 - 000000106 _____ C:\Users\67k\Downloads\README.txt
  2021-01-25 14:28 - 2020-02-09 20:29 - 000000106 _____ C:\Users\67k\Documents\README.txt
  2021-01-25 14:28 - 2020-02-09 20:29 - 000000106 _____ C:\Users\67k\AppData\Roaming\README.txt
  2021-01-25 14:28 - 2020-02-09 20:29 - 000000106 _____ C:\Users\67k\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2021-01-25 14:28 - 2020-02-09 20:29 - 000000106 _____ C:\Users\67k\AppData\README.txt
  2021-01-25 14:28 - 2020-02-09 20:29 - 000000106 _____ C:\Users\67k\AppData\Local\Temp\README.txt
  2021-01-21 11:01 - 2020-02-09 20:29 - 000000106 _____ C:\Users\18kd\README.txt
  2021-01-21 11:01 - 2020-02-09 20:29 - 000000106 _____ C:\Users\18kd\Downloads\README.txt
  2021-01-21 11:01 - 2020-02-09 20:29 - 000000106 _____ C:\Users\18kd\Documents\README.txt
  2021-01-21 11:01 - 2020-02-09 20:29 - 000000106 _____ C:\Users\18kd\AppData\Roaming\README.txt
  2021-01-21 11:01 - 2020-02-09 20:29 - 000000106 _____ C:\Users\18kd\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2021-01-21 11:01 - 2020-02-09 20:29 - 000000106 _____ C:\Users\18kd\AppData\README.txt
  2021-01-21 11:01 - 2020-02-09 20:29 - 000000106 _____ C:\Users\18kd\AppData\Local\Temp\README.txt
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Изменено 28 февраля, 2021 пользователем Sandor