Тормозит жутко из-за вируса

zullwern · 24.09.2017, 13:16

У меня такое уже было, запись на диск идёт 100%, даже когда я ничего не делаю. Это вирус. Вот логи
AVZ - avz_log.txt
uVS - USER-ПК_2017-09-24_11-47-35.7z

mike 1 · 24.09.2017, 14:12

Здравствуйте.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

Код:

;uVS v4.0.6 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
breg

exec C:\Users\user\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
exec C:\Users\user\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall
exec32 "C:\Program Files (x86)\Dll-Files.com Fixer\unins000.exe" /silent
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\CPPREDISTX86.EXE
zoo %SystemDrive%\USERS\USER\DOCUMENTS\DYINGLIGHT\OUT\SETTINGS\VIDEO.SCR
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC
delref KERNCAP.VBS
delall %SystemDrive%\PROGRAM FILES (X86)\DLL-FILES.COM
delall %SystemDrive%\USERS\PUBLIC\DESKTOP\DLL-FILES FIXER.LNK
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\BACKUP DEFAULT\EXTENSIONS\BHJCGOMKANPKPBLOKEBECKNHAHGKCMOO\2.0.4.11_0\ПОИСК И СТАРТОВАЯ  – ЯНДЕКС
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\BACKUP DEFAULT\EXTENSIONS\EHFJIHAHBPHDPLJPIADBKMGMHNFEHHGI\11.0.25_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\BACKUP DEFAULT\EXTENSIONS\GBJEIEKAHKLBGBFCCOHIPINHGAADIJAD\2.0.3.11_1\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ODIJCGAFKHPOBJLNFDGIACPDENPMBGME\11.0.4_2\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\CPPREDISTX86.EXE
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\DLL-FILES FIXER.LNK
deltmp
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
На запросы удаления программ соглашайтесь.
После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл на почту mike1@avp.su с указанием ссылки на тему и темой карантин

Скачайте отсюда Malwarebytes' Anti-Malware или с зеркала.
Установите MBAM с настройками по умолчанию.
После установки в главном окне программы, выберите "Параметры".
В параметрах перейдите на вкладку "Личный кабинет" и нажмите на кнопку "Деактивировать ознакомительную премиум версию".
При появлении окошка предупреждения, нажмите "Yes".
Обновите базы, выберите "Проверка" => "Выборочное сканирование", нажмите "Настроить сканирование".
Сделайте настройки как показано на рисунке ниже:
Для сканирование отметьте все доступные диски и нажмите "Запустить проверку"

Самостоятельно ничего не удаляйте!!!.
По окончанию проверки, нажмите на кнопку "Сохранить результаты проверки", результат проверки сохраните в текстовой файл.
Сохраните лог на рабочий стол.
Прикрепите этот лог к следующему вашему сообщению.

zullwern · 24.09.2017, 21:27

В папке uVS появилась папка ZOO там два файла в ней было, но без даты. Вот они: Вложение 373133
А текстовый файл с датой появился вне папки ZOO, вот он:Вложение 373134
Лог мбам смогу только завтра скинуть

mike 1 · 25.09.2017, 00:20

Папку ZOO упакуйте в архив с паролем infected и отправьте мне на почту.

safety · 26.09.2017, 07:25

+ этот файл для удаления.

Цитата:

Полное имя C:\WINDOWS\MICROSOFT\SVCHOST.EXE
Имя файла SVCHOST.EXE
Тек. статус ?ВИРУС? ВИРУС [Запускался неявно или вручную]

Обнаруженные сигнатуры
Сигнатура RuKometa (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2017-05-23

www.virustotal.com 2017-09-04
Symantec Trojan.Gen.2
Kaspersky Trojan.Win32.SelfDel.fjir
BitDefender Gen:Variant.Graftor.371906
Avast Win32

angerousSig [Trj]
DrWeb Trojan.Siggen7.22031
Microsoft Trojan:Win32/Mupad
ESET-NOD32 a variant of Win32/Adware.RuKoma.F

Сохраненная информация на момент создания образа
Статус ПРОВЕРЕННЫЙ [Запускался неявно или вручную]
File_Id 591AE237273000
Linker 10.0
Размер 2553568 байт
Создан 27.04.2017 в 15:16:47
Изменен 22.05.2017 в 19:01:24
Атрибуты СКРЫТЫЙ СИСТЕМНЫЙ R/O

TimeStamp 16.05.2017 в 11:27:51
EntryPoint +
OS Version 5.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Действительна, подписано "LLC ""Master-Sintez"""

Оригинальное имя
Версия файла 1.286
Описание SvcHost Service Host
Производитель

Доп. информация на момент обновления списка
SHA1 37DCF0D7CA7FBE8A3EF2C710994F7B6AEF5B1772
MD5 A30713271C6B283C39AEEBA45C37ADCF

Ссылки на объект
Prefetcher C:\WINDOWS\Prefetch\Layout.ini

zullwern · 29.09.2017, 05:00

Секундочку, я не понял, что мне делать с этой информацией?)

safety · 29.09.2017, 05:46

ответ в первой строке.

Цитата:

+ этот файл для удаления.
C:\WINDOWS\MICROSOFT\SVCHOST.EXE

zullwern · 11.10.2017, 09:42

Было все нормально когда удалил, но спустя время опять диск загружается на 100%, посмотрите логи пожалуйста:
USER-ПК_2017-10-11_07-49-40.7z - Uvs

mike 1 · 11.10.2017, 18:44

Цитата:

Лог мбам смогу только завтра скинуть

???..................

24.09.2017, 13:16	#1 (permalink)
zullwern Member Регистрация: 10.02.2011 Сообщений: 135 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	Тормозит жутко из-за вируса У меня такое уже было, запись на диск идёт 100%, даже когда я ничего не делаю. Это вирус. Вот логи AVZ - avz_log.txt uVS - USER-ПК_2017-09-24_11-47-35.7z

24.09.2017, 14:12	#2 (permalink)
mike 1 Helper Регистрация: 28.10.2013 Адрес: Москва Сообщений: 678 Сказал(а) спасибо: 1 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 5469	Здравствуйте. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: Код: ;uVS v4.0.6 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c breg exec C:\Users\user\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser exec C:\Users\user\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall exec32 "C:\Program Files (x86)\Dll-Files.com Fixer\unins000.exe" /silent zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\CPPREDISTX86.EXE zoo %SystemDrive%\USERS\USER\DOCUMENTS\DYINGLIGHT\OUT\SETTINGS\VIDEO.SCR delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC delref KERNCAP.VBS delall %SystemDrive%\PROGRAM FILES (X86)\DLL-FILES.COM delall %SystemDrive%\USERS\PUBLIC\DESKTOP\DLL-FILES FIXER.LNK delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\BACKUP DEFAULT\EXTENSIONS\BHJCGOMKANPKPBLOKEBECKNHAHGKCMOO\2.0.4.11_0\ПОИСК И СТАРТОВАЯ – ЯНДЕКС delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\BACKUP DEFAULT\EXTENSIONS\EHFJIHAHBPHDPLJPIADBKMGMHNFEHHGI\11.0.25_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\BACKUP DEFAULT\EXTENSIONS\GBJEIEKAHKLBGBFCCOHIPINHGAADIJAD\2.0.3.11_1\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ODIJCGAFKHPOBJLNFDGIACPDENPMBGME\11.0.4_2\ДОМАШНЯЯ СТРАНИЦА MAIL.RU delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\CPPREDISTX86.EXE delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\DLL-FILES FIXER.LNK deltmp restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. На запросы удаления программ соглашайтесь. После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл на почту mike1@avp.su с указанием ссылки на тему и темой карантин Скачайте отсюда Malwarebytes' Anti-Malware или с зеркала. Установите MBAM с настройками по умолчанию. После установки в главном окне программы, выберите "Параметры". В параметрах перейдите на вкладку "Личный кабинет" и нажмите на кнопку "Деактивировать ознакомительную премиум версию". При появлении окошка предупреждения, нажмите "Yes". Обновите базы, выберите "Проверка" => "Выборочное сканирование", нажмите "Настроить сканирование". Сделайте настройки как показано на рисунке ниже: Для сканирование отметьте все доступные диски и нажмите "Запустить проверку" Самостоятельно ничего не удаляйте!!!. По окончанию проверки, нажмите на кнопку "Сохранить результаты проверки", результат проверки сохраните в текстовой файл. Сохраните лог на рабочий стол. Прикрепите этот лог к следующему вашему сообщению. Миниатюры __________________ Антивирусная школа по подготовке консультантов https://safezone.cc/training (если хотите самостоятельно лечить компьютеры от вирусов)

25.09.2017, 00:20	#4 (permalink)
mike 1 Helper Регистрация: 28.10.2013 Адрес: Москва Сообщений: 678 Сказал(а) спасибо: 1 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 5469	Папку ZOO упакуйте в архив с паролем infected и отправьте мне на почту. __________________ Антивирусная школа по подготовке консультантов https://safezone.cc/training (если хотите самостоятельно лечить компьютеры от вирусов)

24.09.2017, 13:16
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Пожалуйста, просмотрите данные топики, скорее всего там будет решение вашего вопроса Жутко тормозит ноутбук Жутко тормозит корзина Жутко тормозит компьютер Жутко тормозит. Медиацентр. Жутко тормозит HD.

24.09.2017, 21:27	#3 (permalink)
zullwern Member Регистрация: 10.02.2011 Сообщений: 135 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	В папке uVS появилась папка ZOO там два файла в ней было, но без даты. Вот они: Вложение 373133 А текстовый файл с датой появился вне папки ZOO, вот он:Вложение 373134 Лог мбам смогу только завтра скинуть

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

29.09.2017, 05:00	#6 (permalink)
zullwern Member Регистрация: 10.02.2011 Сообщений: 135 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	Секундочку, я не понял, что мне делать с этой информацией?)

11.10.2017, 09:42	#8 (permalink)
zullwern Member Регистрация: 10.02.2011 Сообщений: 135 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	Было все нормально когда удалил, но спустя время опять диск загружается на 100%, посмотрите логи пожалуйста: USER-ПК_2017-10-11_07-49-40.7z - Uvs