Здравствуйте пользователи форума! У меня случилась следующая проблема, появился какой-то не понятный процесс, который очень сильно грузит ЦП. Обнаружил я его в диспетчере задач, после того как мой вентилятор при первом запуске крутится что сумасшедший. При попытке снятия, данный процесс появляется снова, помогает только приостановление данного процесса. после того как его приостанавливаю, вентилятор перестает работать в бешеном темпе, и нагрузка на процессор падает. Пожалуйста, помогите мне разобраться с данной проблемой.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):


begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Destroying\AppData\Roaming\oKaj7\bzgo.exe','');
QuarantineFile('C:\Windows\system32\GameMon.des','');
QuarantineFile('C:\Users\Destroying\AppData\Roaming\oKaj7\izzOCpVb\SSLEAY32.dll','');
QuarantineFile('C:\Users\Destroying\AppData\Roaming\oKaj7\izzOCpVb\LIBEAY32.dll','');
QuarantineFile('c:\users\destroying\appdata\roaming\okaj7\izzocpvb\svchost.exe','');
QuarantineFile('c:\users\destroying\appdata\roaming\storagestorage84\storagesystem.exe','');
QuarantineFile('C:\Users\Destroying\AppData\Roaming\oKaj7\PDav21if\xm_3\sse42.exe','');
QuarantineFile('c:\users\destroying\appdata\roaming\okaj7\bzgo.exe','');
DeleteFile('c:\users\destroying\appdata\roaming\okaj7\bzgo.exe','32');
DeleteFile('C:\Users\Destroying\AppData\Roaming\oKaj7\PDav21if\xm_3\sse42.exe','32');
DeleteFile('c:\users\destroying\appdata\roaming\storagestorage84\storagesystem.exe','32');
DeleteFile('c:\users\destroying\appdata\roaming\okaj7\izzocpvb\svchost.exe','32');
DeleteFile('C:\Users\Destroying\AppData\Roaming\oKaj7\izzOCpVb\LIBEAY32.dll','32');
DeleteFile('C:\Users\Destroying\AppData\Roaming\oKaj7\izzOCpVb\SSLEAY32.dll','32');
DeleteFile('C:\Users\Destroying\AppData\Roaming\oKaj7\bzgo.exe','32');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','bgt');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_ImportALL;
RebootWindows(true);
end.


Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Hosts сами патчили?

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.


архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников http://rghost.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ и дайте на него ссылку в Вашей теме.

+ сделайте лог этой утилитой. (http://dragokas.com/tools/HiJackThis_test.zip)

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Hosts сами патчили? »
Данный файл отправил как Вы и просили, файл Hosts был отредактирован вручную, используя информацию о рекламных сайтах на других ресурсах.

Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('https://safezone.cc/threads/17759/').

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников http://rghost.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ и дайте на него ссылку в Вашей теме.
+ сделайте лог этой утилитой. »
И для Вас сделал, то, что Вы просили, ссылка на архив: http://rgho.st/6MyFnrs7q а также ссылка на лог: http://rgho.st/7FTMd2w8q

Пожалуйста.

файл Hosts был отредактирован вручную »
Он отредактирован не совсем верно, нужно заворачивать на localhost т.е. на 127.0.0.1 Да и подход защиты через host очень спорный и не эффективный, да и может приводить к замедлению работы компьютера.


Отключите до перезагрузки антивирус.
Выделите следующий код:
Start::
CreateRestorePoint:
VirusTotal: C:\Users\Destroying\AppData\Roaming\NotifyStorage1\NotifySystem.exe
() C:\Users\Destroying\AppData\Roaming\NotifyStorage1\NotifySystem.exe
() C:\Users\Destroying\AppData\Roaming\t6O8K\Cizb.exe
() C:\Users\Destroying\AppData\Roaming\t6O8K\QNx\svchost.exe
() C:\Users\Destroying\AppData\Roaming\t6O8K\uRz\xm_3\sse42.exe
HKU\S-1-5-21-1237128432-1125515052-1262307622-1000\...\Run: [CzO] => C:\Users\Destroying\AppData\Roaming\t6O8K\Cizb.exe [4948480 2017-08-16] ()
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445","hxxp://www.yoursearching.com/?type=hp&ts=1452908515&z=64f70be1efae94581ad04b3g5zdwdodt3edb1w9c6e&from=face&uid=HitachiXHTS545032B9A300_100428PBP30016EA191LX","hxxp://mypoisk.su/"
S1 vdi1njiw; C:\Windows\SysWOW64\Drivers\vdi1njiw.sys [13312 2017-08-21] () [File not signed]
C:\Windows\SysWOW64\Drivers\vdi1njiw.sys
2017-08-16 21:18 - 2017-08-16 21:19 - 000325120 _____ () C:\Users\Destroying\AppData\Roaming\m.exe
2017-08-16 21:19 - 2017-08-21 22:30 - 000000000 _____ () C:\Users\Destroying\AppData\Roaming\s.s
Task: {C4880520-681A-4C8A-AFF8-E983997008BB} - \GoogleUpdateTaskMachineUI -> No File <==== ATTENTION
2017-08-16 21:19 - 2017-08-16 21:19 - 004948480 _____ () C:\Users\Destroying\AppData\Roaming\t6O8K\Cizb.exe
2016-12-16 11:09 - 2016-12-16 11:09 - 002967040 _____ () C:\Users\Destroying\AppData\Roaming\t6O8K\QNx\svchost.exe
2017-03-04 19:45 - 2017-03-04 19:45 - 002409984 _____ () C:\Users\Destroying\AppData\Roaming\t6O8K\uRz\xm_3\sse42.exe
2015-03-09 02:02 - 2015-03-09 02:02 - 000361654 _____ () C:\Users\Destroying\AppData\Roaming\t6O8K\uRz\xm_3\libcurl-4.dll
2015-03-09 01:52 - 2015-03-09 01:52 - 000108544 _____ () C:\Users\Destroying\AppData\Roaming\t6O8K\uRz\xm_3\libz-1.dll
2015-03-09 02:35 - 2015-03-09 02:35 - 000077475 _____ () C:\Users\Destroying\AppData\Roaming\t6O8K\uRz\xm_3\libgcc_s_seh-1.dll
2015-03-09 01:58 - 2015-03-09 01:58 - 000444399 _____ () C:\Users\Destroying\AppData\Roaming\t6O8K\uRz\xm_3\libgmp-10.dll
2015-03-09 02:59 - 2015-03-09 02:59 - 000071103 _____ () C:\Users\Destroying\AppData\Roaming\t6O8K\uRz\xm_3\libjansson-4.dll
2015-03-09 02:35 - 2015-03-09 02:35 - 000930660 _____ () C:\Users\Destroying\AppData\Roaming\t6O8K\uRz\xm_3\libstdc++-6.dll
C:\Users\Destroying\AppData\Roaming\t6O8K\
C:\Users\Destroying\AppData\Roaming\NotifyStorage1\NotifySystem.exe
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').

nointegritychecks: ==> "IntegrityChecks" is disabled. <==== ATTENTION - функцию проверки подписей файлов при загрузке сами отключали?

nointegritychecks: ==> "IntegrityChecks" is disabled. <==== ATTENTION - функцию проверки подписей файлов при загрузке сами отключали? »
Нет, я ничего такого не делал.

Также я хотел бы уточнить, что после данного фикса, у меня вышло из всех аккаунтов, а также электронных ящиков. после попытки входа мне написали что возможно мой аккаунт был заблокирован и перекидывает для восстановление на не понятный ресурс. https://e.mail.ru/cgi-bin/passremind?type=mrim это на примере mail.ru в одну почту мне удалось зайти каким то образом. Хотелось бы уточнить, данный фикс не подразумевает каких либо краж паролей или серфа?

Хотелось бы уточнить, данный фикс не подразумевает каких либо краж паролей или серфа? »
Нет.

данный фикс подразумевает - удаление указанных записей реестра или файлов.

В таком случае, пожалуйста, порекомендуйте мне чем можно проверить систему на наличие фишингово По и прочей гадости, так как с системой происходит что то не понятное, особенно с данными авторизации и сайтами.

Скажите пожалуйста, это нормально? http://radikal.ru/lfp/s019.radikal.ru/i616/1708/b0/83740c355fa0.jpg/htm

Destroying, нет, мы же только приступили к лечению, ибо заразы в системе очень много. Как долечите систему cureit, сделайте свежий лог FRST. И лог Cureit тоже прикрепите, мне нужно знать, чего нашла утилита.

отелось бы уточнить, данный фикс не подразумевает каких либо краж паролей или серфа? »
Из всего скрипта только одна команда подразумевала связь с вне, это отправка файла на проверку в VT

https://www.virustotal.com/ru/file/1c464daccc4607ddda4baa60f1500fd7e3166f5013bdea5b047d8711de4aeade/analysis/1503398953/

И да, скрипт чистил кеши, возможно в этом причина разлогина.

Как и просили, свежие логи, и лог от cureit http://rgho.st/7Fc2XJCCy

Скажите пожалуйста, это нормально? »
Нет.

Не паникуйте , дождитесь окончания лечения и выполняйте рекомендации.

Посмотрел лог cureit и могу сказать следующее, есть риск, что у вас украли пароли, в том числе те что могли быть записаны в текстовых документах (утилиты для чтения сохраненных в браузере паролях + софт для несанкционированного подключения к компьютеру).

Перед выполнением скрипта проверьте состояние системы https://safezone.cc/resources/proverka-celostnosti-sistemnyx-fajlov-utilitoj-sfc.55/



Отключите до перезагрузки антивирус.
Выделите следующий код:
Start::
CreateRestorePoint:
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445","hxxp://www.yoursearching.com/?type=hp&ts=1452908515&z=64f70be1efae94581ad04b3g5zdwdodt3edb1w9c6e&from=face&uid=HitachiXHTS545032B9A300_100428PBP30016EA191LX","hxxp://mypoisk.su/"
nointegritychecks: ==> "IntegrityChecks" is disabled. <==== ATTENTION

EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').

Скачайте Malwarebytes' Anti-Malware (https://downloads.malwarebytes.com/file/mb3/). Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве. (https://safezone.cc/threads/28958/)

akok »
Господа! Значит после выполнения данных действий: https://prnt.sc/gc3qp0 и перезагрузки компьютера, моя система больше не запустилась. Значит было какое то не понятное обновление, после чего windows не смог запуститься, и было запущено автоматическое восстановление запуска системы, минут 20-30 оно что то восстанавливало, но так и не восстановило, выдав ошибку "Средство восстановления запуска не может автоматически восстановить этот компьютер". После перезагрузки появляется строка загрузка файлов, затем окно восстановления файлов, заходит в среду восстановления. Я пробовал откатить систему, пробовал запуск с последней удачной конфигурацией, пробовал запустить исправление ошибок жесткого диска, пробовал восстановить разделы реестра из резервной копии, а именно из папки RegBack переместить файлы с последующем переименованием в расширение .bad SYSSTEM и SOFRWARE в папку config. Короче ничего не помогло, опять запихивает в данную среду, и после проверки и поступления очередной аналогичной ошибки, остается только нажать клавишу "Готово", и ноутбук выключается. Весь этот процесс можно повторять до бесконечности, и он ни к чему не приведет. На данный момент сижу с другого ноута, и устанавливаю винду по новой, так как даже с загрузочной флешки не получилось ничего сделать. Собственно что я хочу спросить. Так как я чайник, я реально уже устал от тщетных попыток пролечить, а потом запустить систему, мой вопрос заключается в следующем, может быть Вы мне посоветуете нормальную копию windows, с нормальными драйверами для моего ноутбука, я бы сделал полное форматирование жесткого диска, после чего бы установил систему и драйвера, затем отписался бы в данной теме и предоставил необходимые логи. Если данное действие не требуется, отпишите пожалуйста что мне нужно сделать.

Понятно. Когда загружаетесь по F8 есть пункт загрузиться без проверки подписи драйверов, система должна загрузиться, тогда этот скрипт в FRST вернет все как было. Смысла трогать реестр нет, изменение было в загрузчике.


Отключите до перезагрузки антивирус.
Выделите следующий код:
Start::
CreateRestorePoint:
nointegritychecks on:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.


Так как я чайник, я реально уже устал от тщетных попыток пролечить »
Ну мы как-бы были на финишной прямой. Но если уж решились на переустановку, обязательно смените пароли от критических сервисов (почта, банковские данные и т.д.)

Вот аналогичное описание и решение проблемы http://forum.oszone.net/thread-270305.html

akok »
Я сейчас этим занимаюсь, сейчас переустановлю windows и драйвера, затем сделаю на чистой винде Вам логи, возможно проблема кроется в моей сборке или же в драйверах, хотя сейчас скачаю с официального сайта MSI, также полностью отформатирую оба раздела жесткого диска. Хотелось бы заранее получить от Вас совет для установки антивирусника, а именно какой бы Вы порекомендовали для домашнего пользования? Не хотелось бы повторения данной картины...