Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.57/7: Рейтинг темы: голосов - 7, средняя оценка - 4.57
0 / 0 / 0
Регистрация: 19.02.2014
Сообщений: 8
1

Нехватка памяти. Подозрительные файлы

20.02.2014, 01:41. Просмотров 1361. Ответов 9
Метки нет (Все метки)

Здравствуйте. В последнее время системе, вдруг, стало не хватать оперативной памяти. Просит закрывать даже лисицу (в фоновом режиме: касперский, скайп, вксэйвер, инвидия экспир.). Системе уже больше года, проблемы начались около недели назад. Чистил клинером, дефрагментировал, проверял касперычем - ничего. Плюс дисковая память скачет в С, где винда. Только компьютер загружаю - свободно 8 гигов, после нескольких часов работы свободно уже 3. Проверка целостности тоже ничего не выявила. Полазил в папке с виндовсом и возникли некоторые вопросы, относительно содержимого. Прилагаю скрин (Непонятности с системой). Риперы, биткоины, литкоины. В целом знаю что такое биткоин, но ферму даже и не задумывался делать и ни с чем таким дело не имел. Есть сильные подозрения на вирусную активность(оперативной у меня 2 гига, вин 7 *32). Лог прилагается. Подскажите, пожалуйста, что не так.
загрузка цп скачет от 1% до 90%
загрузка физ памяти на 62 и выше

Народ, скажите хотя бы можно ли эти риперы и биткоины удалить без вреда для системы ? И как лучше удалить...
0
Вложения
Тип файла: zip CollectionLog-2014.02.20-01.30.zip (121.3 Кб, 2 просмотров)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
20.02.2014, 01:41
Ответы с готовыми решениями:

Подозрительные файлы на компьютере
На этом компьютере я заметил подозрительные файлы, которые могут быть вирусами. Так-то никаких...

Подозрительные файлы в автозагрузке
Появились подозрительные файлы в автозагрузке. Есть не которые проблемы с загрузкой некоторых ...

В автозагрузку просятся подозрительные файлы
программа 2IPStatGurd постоянно ловит какие то объекты автозагрузки:...

Создаются подозрительные исполняемые файлы
Здравствуйте, прошу помощи с лечением порядком надоевшего вируса, подхваченного после неосторожного...

9
Вирусоборец
8607 / 4177 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
21.02.2014, 08:49 2
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

1. Запустить HijackThis от имени администратора, нажать "Do a system scan only", отметить указанные строки и нажать "Fix сhecked".
Код
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll
O4 - HKCU\..\Run: [a058c968f0c052f56c8264b0b1010c0b9688047b9b7f] iexplore.exe
2. Запустить AVZ от имени администратора, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.
(порядковые номера строк скрипта не копируйте)
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\windows\core.exe','');
 DeleteFile('c:\windows\core.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

3. После перезагрузки, выполните такой скрипт:
Код
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
4. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

5. Подготовьте новый CollectionLog

6. Подготовьте лог MBAM.

7. Подготовьте лог AdwCleaner.

Для полного удаления сервиса webalta с вашего компьютера:
AVZ - сервис - поиск данных в реестре.
В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда.
Поиск не закрывайте
1
0 / 0 / 0
Регистрация: 19.02.2014
Сообщений: 8
21.02.2014, 18:18  [ТС] 3
Спасибо, что помогаете.
Сделал, все по пунктам. Выкладываю логи. Отчет по поиску вебалты превышает 72 кб и отказывается выкладывается на сайт.
0
Вложения
Тип файла: zip CollectionLog-2014.02.21-15.43.zip (124.2 Кб, 2 просмотров)
Тип файла: txt MBAM-log-2014-02-21 (16-58-27).txt (6.9 Кб, 2 просмотров)
Тип файла: txt AdwCleaner[R0].txt (2.4 Кб, 2 просмотров)
Вирусоборец
8607 / 4177 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
22.02.2014, 07:05 4
1. Запустить AVZ от имени администратора, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.
(порядковые номера строк скрипта не копируйте)
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteFile('c:\windows\core.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\UpCH','32');
 DeleteFile('C:\Windows\Tasks\UpCH','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

2. Удалите в Malwarebytes Anti-Malware эти найденные объекты:
Обнаруженные ключи в реестре: 6
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\ {FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE 704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\DEFAULT TAB (PUP.Optional.DefaultTab.A) -> Действие не было предпринято.
HKLM\SOFTWARE\DEFAULT TAB (PUP.Optional.DefaultTab.A) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 2
HKCU\SOFTWARE\Default Tab|Version (PUP.Optional.DefaultTab.A) -> Параметры: 2.0.14.0 -> Действие не было предпринято.
HKLM\SOFTWARE\Default Tab|Version (PUP.Optional.DefaultTab.A) -> Параметры: 2.0.14.0 -> Действие не было предпринято.
Обнаруженные файлы:
C:\Windows\System32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.
C:\Windows\System32\roboot.exe (PUP.Optional.PCPerformer.A) -> Действие не было предпринято.
3. Удалите в AdwCleaner все найденные объекты, кроме Mail.Ru, если он вам нужен.
4. Удалите все найденное в AVZ ключи с Webalta: ПКМ по списку - выбрать все - нажать "удалить отмеченное".
5. Подготовьте новый CollectionLog
1
0 / 0 / 0
Регистрация: 19.02.2014
Сообщений: 8
22.02.2014, 20:17  [ТС] 5
Прилагаю лог.
0
Вложения
Тип файла: zip CollectionLog-2014.02.22-20.02.zip (129.4 Кб, 3 просмотров)
Вирусоборец
8607 / 4177 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
23.02.2014, 07:48 6
Теперь чисто. Что с проблемой?
0
0 / 0 / 0
Регистрация: 19.02.2014
Сообщений: 8
23.02.2014, 10:53  [ТС] 7
Спасибо за уделенное время и силы.
Ошибка о не хватке памяти перестала появляться. По крайней мере 2 -ой день я ее не вижу. А подскажите еще, что делать с биткоинами и прочим в папке виндовса? Они все же меня беспокоят.
0
Вирусоборец
8607 / 4177 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
23.02.2014, 12:22 8
Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам.

Рекомендации после удаления вредоносного ПО

Цитата Сообщение от brodyaga1192 Посмотреть сообщение
А подскажите еще, что делать с биткоинами и прочим в папке виндовса?
В логи они не попали.
Эти файлы проверьте на Virus Total, для этого пройдите по ссылке, нажмите в окно для ввода файла, загрузите файл и нажмите Проверить!, ссылку на результат запостите здесь.
1
0 / 0 / 0
Регистрация: 19.02.2014
Сообщений: 8
23.02.2014, 15:42  [ТС] 9
Вирус тотал реагирует на те файлы одинаково - https://www.virustotal.com/ru/... /analysis/

Лог от секьюрити чек.

Кликните здесь для просмотра всего текста
Security Check by glax24 version 0.2.4.60 rc1
WebSite: www.safezone.cc
DateLog: 23.02.2014 15:30:23
Run directory: C:\Users\Egor\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
FileVersionInet: 6.9
__________________________________________________

Windows 7 (6.1.7601) Service Pack 1 (x86) Ultimate Lang: Russian(0419)
Дата установки ОС: 06.09.2012 18:03:24
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Системный диск: C:\ ФС: NTFS Емкость: [39.6 Гб] Занято: [31.9 Гб] Свободно: [7.7 Гб]
Браузер по умолчанию: C:\Program Files\Mozilla Firefox\firefox.exe
-------------Windows------------------------------
Internet Explorer 10.0.9200.16750 [+]
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2014-02-19 19:44:41
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Kaspersky Internet Security
Антивирус обновлен
-------------Firewall_WMI-------------------------
Kaspersky Internet Security
-------------AntiSpyware_WMI----------------------
Kaspersky Internet Security
Windows Defender
-------------AntiVirusFirewallInstall-------------
Kaspersky Internet Security 2013 v.13.0.1.4190
-------------OtherUtilities-----------------------
CCleaner v.3.22
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------AdobeProduction----------------------
Adobe Flash Player 12 Plugin v.12.0.0.70 [+]
Adobe Flash Player 10 ActiveX v.10.0.22.87 Внимание! Скачать обновления
Adobe Reader XI - Russian v.11.0.00 Внимание! Скачать обновления
-------------Browser------------------------------
Mozilla Firefox 27.0.1 (x86 ru) v.27.0.1 [+]
-------------RunningProcess-----------------------
C:\Program Files\Mozilla Firefox\firefox.exe v.27.0.1.5156
-------------EndLog-------------------------------
0
Вирусоборец
8607 / 4177 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
23.02.2014, 16:39 10
Цитата Сообщение от brodyaga1192 Посмотреть сообщение
реагирует на те файлы одинаково
Чистые, но если смущают, то можете и удалить их.
Включите UAC, обновитесь и Удачи!
2
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
23.02.2014, 16:39

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

Процесс chrome.exe*32 и нехватка памяти
Здравствуйте! Данный процесс съедает почти всю память. Буду очень признателен, если вы мне...

После удаления червя win32.hllw.gavir.ini появились подозрительные файлы и папки
Ребята подскажите пожалуйста как бороться с этой заразой? Нечайно нажал на рекламу открылась...

Есть ли смысл проверять подозрительные файлы .exe на вирус?
Здравствуйте. Каждый раз, скачивая подозрительный файл задаюсь этим вопросом.

Как и куда можно отправить подозрительные файлы на анализ?
Если когда-нибудь вам &quot;повезет&quot; поймать какого-нибудь паразита, который еще не детектируется вашим...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
10
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.