Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
KaX8
0 / 0 / 0
Регистрация: 30.06.2016
Сообщений: 34
#1

Defrags.exe - Удаление вирусов

30.05.2017, 13:13. Просмотров 310. Ответов 18
Метки нет (Все метки)

Наткнулся на него, когда заметил, что мой компьютер отныне всегда напрягает ЦП(не меньше 50%). Попытался отключить, но он запускается через некоторое время(на это время загрузка цп уменьшается чуть ли не до 0%), удаление не помогает(скачивается заново). Погуглил, похож на майнер DoublePulsar и проверился на сайте. Удостоверился что он, а избавиться никак не могу. Проверялся Dr.Web и Kaspersky Virus Removal Tool, второй нашел какую то грязь, но она снова скачалась, не вижу другого выхода, как обратиться сюда. Вместе с тем же Defrags.exe есть еще один процесс smcs.exe, который имеет такие же функции как и у первого(скачивается при удалении), но не запускается как процесс, плюс, еще какие то два подозрительных файла, которые не изменить, используются системой. Прикладываю логи и скрины.
P.S. Сам процесс Defrags.exe ничего общего с функцией дефрагментации(Defrag.exe) самой Windows не имеет.
Кликните здесь для просмотра всего текста
https://image.prntscr.com/image/7ebb28548ba241618e0c45e70ada8217.png Диспетчер задач
https://image.prntscr.com/image/2b553595f4ce4dacb021cae34030b6cb.png Расположение и отфильтровывание по дате редактирования
0
Вложения
Тип файла: zip CollectionLog-2017.05.30-14.58.zip (70.3 Кб, 1 просмотров)
Лучшие ответы (1)
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
30.05.2017, 13:13
Я подобрал для вас темы с готовыми решениями и ответами на вопрос Defrags.exe (Удаление вирусов):

Не запускаются AVZ. exe, CCleaner. exe, AutoLogger. exe, regedit. exe. Словил вирус bizigames
Доброго времени суток. Захотел я почистить комп от мусора всякого при помощи...

Не запускаются AVZ. exe, CCleaner. exe, AutoLogger. exe, regedit. exe Дублируются процессы
Добрый день) не запускались экзешники перечисленные в топе, исправила кое как...

Не запускаются AVZ. exe, CCleaner. exe, AutoLogger. exe, regedit. exe
Доброе время суток. У меня такая проблема: Не запускаются AVZ. exe, CCleaner....

Вирусы dwm.exe dllhost.exe ctfmon.exe svchost.exe
Проблема заключается в том что у меня на компьютере в диспетчере задач стоят...

вирус calc.exe*32 notepad.exe*32 cmd.exe cannhost.exe
Здравствуйте. помогите решить проблему. При включении компьютера висят процессы...

tyol.exe, zcfh.exe, gphboo.exe, djjqs.exe
Выкладываю логи. Все перечисленные в названии файлы обитают в...

18
KaX8
0 / 0 / 0
Регистрация: 30.06.2016
Сообщений: 34
30.05.2017, 13:25  [ТС] #2
Ах да, расположение файлов в System32
0
Sandor
Вирусоборец
12798 / 11083 / 1676
Регистрация: 08.10.2012
Сообщений: 44,772
30.05.2017, 14:40 #3
Здравствуйте!

Вы собрали логи устаревшей версией. Удалите Autologger и созданную им папку вместе с содержимым. Скачайте актуальную версию и повторите CollectionLog.
1
KaX8
0 / 0 / 0
Регистрация: 30.06.2016
Сообщений: 34
30.05.2017, 14:57  [ТС] #4
Сделано
0
Вложения
Тип файла: zip CollectionLog-2017.05.30-16.56.zip (81.5 Кб, 1 просмотров)
Sandor
Вирусоборец
12798 / 11083 / 1676
Регистрация: 08.10.2012
Сообщений: 44,772
30.05.2017, 15:12 #5
Внимание! Рекомендации написаны специально для пользователя KaX8. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
  1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFile('C:\Windows\Help\svch0st.exe', '');
     QuarantineFile('C:\Windows\Help\services.exe', '');
     QuarantineFile('C:\Windows\Fonts\msiexev.exe', '');
     QuarantineFile('C:\Windows\fonts\wuauser.exe0', '');
     QuarantineFile('C:\Windows\mssecsvc.exe', '');
     DeleteFile('C:\Windows\mssecsvc.exe');
     DeleteFile('C:\Windows\Help\svch0st.exe', '32');
     DeleteFile('C:\Windows\Help\services.exe', '32');
     DeleteFile('C:\Windows\Fonts\msiexev.exe', '32');
     DeleteFile('C:\Windows\fonts\wuauser.exe0', '32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','EventMessageFile');
     DeleteService('MpsSvcc');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.


  2. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
    К сообщению прикреплять файл quarantine.zip не нужно!


  3. Подготовьте новый CollectionLog.
1
KaX8
0 / 0 / 0
Регистрация: 30.06.2016
Сообщений: 34
30.05.2017, 15:26  [ТС] #6
Все сделал
0
Вложения
Тип файла: zip CollectionLog-2017.05.30-17.26.zip (73.2 Кб, 2 просмотров)
Sandor
Вирусоборец
12798 / 11083 / 1676
Регистрация: 08.10.2012
Сообщений: 44,772
30.05.2017, 15:28 #7
Что сейчас с проблемой?
1
KaX8
0 / 0 / 0
Регистрация: 30.06.2016
Сообщений: 34
30.05.2017, 15:31  [ТС] #8
Ничего не изменилось, Defrags.exe так же гуляет в моей системе
0
Sandor
Вирусоборец
12798 / 11083 / 1676
Регистрация: 08.10.2012
Сообщений: 44,772
30.05.2017, 15:40 #9
Виноват, не заметил))


Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
  1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantine;
     TerminateProcessByName('C:\Windows\System32\Defrags.exe');
     QuarantineFile('C:\Windows\System32\Defrags.exe','');
     DeleteFile('C:\Windows\System32\Defrags.exe','32');
    ExecuteSysClean;
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.


  2. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
    К сообщению прикреплять файл quarantine.zip не нужно!


  3. Подготовьте еще раз новый CollectionLog.
1
KaX8
0 / 0 / 0
Регистрация: 30.06.2016
Сообщений: 34
30.05.2017, 15:47  [ТС] #10
Хах)) Неа, все равно сидит
0
Вложения
Тип файла: zip CollectionLog-2017.05.30-17.47.zip (73.1 Кб, 1 просмотров)
Sandor
Вирусоборец
12798 / 11083 / 1676
Регистрация: 08.10.2012
Сообщений: 44,772
30.05.2017, 15:52 #11
Подготовьте лог uVS.
1
KaX8
0 / 0 / 0
Регистрация: 30.06.2016
Сообщений: 34
30.05.2017, 16:02  [ТС] #12
Воот
0
Вложения
Тип файла: 7z 1-ПК_2017-05-30_17-54-51.7z (687.4 Кб, 1 просмотров)
Sandor
Вирусоборец
12798 / 11083 / 1676
Регистрация: 08.10.2012
Сообщений: 44,772
30.05.2017, 16:19 #13
Выполните скрипт в UVS.
Код
;uVS v4.0.5 [[url]http://dsrt.dyndns.org][/url]
;Target OS: NTv6.1
v400c
BREG
zoo %Sys32%\DEFRAGS.EXE
bl CCAC8A094CE757F7AB18A799E19C3B30 2135552
addsgn A4BC2472546A4C72C78CE638A780EDC56DA7FC5695FA5755753FC9AC18D396B02F07436CF220848F28803F9F56164992CD9DAB5B3DD108DC1E24F4C7CB062273 8 Trojan.Coinbit.43 [DrWeb] 7

chklst
delvir

czoo
restart
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

Сделайте контрольный лог uVS.
1
KaX8
0 / 0 / 0
Регистрация: 30.06.2016
Сообщений: 34
30.05.2017, 16:55  [ТС] #14
Сделал
0
Вложения
Тип файла: 7z 1-ПК_2017-05-30_18-49-15.7z (684.8 Кб, 1 просмотров)
Sandor
Вирусоборец
12798 / 11083 / 1676
Регистрация: 08.10.2012
Сообщений: 44,772
31.05.2017, 09:05 #15
Лучший ответ Сообщение было отмечено KaX8 как решение

Решение

Завтра отвечу.

Добавлено через 16 часов 8 минут
Выполните скрипт в UVS.
Код
;uVS v4.0.5 [[url]http://dsrt.dyndns.org][/url]
;Target OS: NTv6.1
v400c
SREG
;---------command-block---------
bl F04C325F5C157893E0E56B1363B0C981 9216
zoo %SystemRoot%\SYSWOW64\SERVICE.EXE
delall %SystemRoot%\SYSWOW64\SERVICE.EXE
delref 89.40.113.177:8080
apply

zoo %Sys32%\DEFRAGS.EXE
bl CCAC8A094CE757F7AB18A799E19C3B30 2135552
addsgn A4BC2472546A4C72C78CE638A780EDC56DA7FC5695FA5755753FC9AC18D396B02F07436CF220848F28803F9F56164992CD9DAB5B3DD108DC1E24F4C7CB062273 8 Trojan.Coinbit.43 [DrWeb] 7

chklst
delvir

czoo
areg
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Еще один свежий лог uVS, пожалуйста.
1
KaX8
0 / 0 / 0
Регистрация: 30.06.2016
Сообщений: 34
31.05.2017, 10:13  [ТС] #16
Архив ZOO отправил, логи прикрепил. Процесс вроде как исчез
0
Вложения
Тип файла: 7z 1-ПК_2017-05-31_12-06-31.7z (684.4 Кб, 1 просмотров)
Sandor
Вирусоборец
12798 / 11083 / 1676
Регистрация: 08.10.2012
Сообщений: 44,772
31.05.2017, 10:27 #17
В логах тоже порядок.

В завершение:
1. Все утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
1
KaX8
0 / 0 / 0
Регистрация: 30.06.2016
Сообщений: 34
31.05.2017, 10:31  [ТС] #18
Вот оно
0
Вложения
Тип файла: txt SecurityCheck.txt (9.6 Кб, 1 просмотров)
Sandor
Вирусоборец
12798 / 11083 / 1676
Регистрация: 08.10.2012
Сообщений: 44,772
31.05.2017, 10:32 #19
------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.0.43804 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java SE Development Kit 8 Update 121 v.8.0.1210.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u131-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player ActiveX v.9.0.124.0 Внимание! Скачать обновления


Прочтите и выполните Рекомендации после удаления вредоносного ПО
1
31.05.2017, 10:32
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
31.05.2017, 10:32
Привет! Вот еще темы с решениями:

Svchost.exe, onion.exe, openvg.exe torrc и куча dll и cl, а также папка tor в Roaming

Висят процессы mspaint.exe, notepad.exe, calc.exe
Добрый день! При включение компьютера сразу висят процессы mspaint.exe,...

Файлы smss.exe/winlogon.exe/winhosts.exe
после блокировки банера в папке WINDOWS есть файлы...

Globalupdate.exe, ssfk.exe, Picexa.exe и другие
Здравствуйте! Опять реклама... Прошелся CureIt! в безопасном режиме - вроде бы...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
19
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru