RobotDemo

@Frazer7182 · Регистрация: 10.11.2020

Author24 — интернет-сервис помощи студентам

Здравствуйте, у меня забивается ОП до 80%, а ЦП скачет 20-60% на рабочем столе и с запущенными системными процессами. Через Process Hacker 2 есть файл "fc.exe" который жрёт ОП на 2.3гб. Я не знаю, что это за файл. Если отключить интернет, то всё падает до нормы, и пропадает файл "fc.exe". Делал проверку антивирусами hitmanpro, doctorweb, Malwarebytes они находили файл robot demo, удаляли его, и после удаления сразу же появлялся этот RobotDemo. И удалял саму папку robot demo, тоже безрезультатно.
Местонахождение Robor Debo: C:\ProgramData\RobotDemo\
Местонахождение fc.exe: C:\Windows\system32\fc.exe
Помогите пожалуйста.

@Sandor · 15.10.2021, 09:03

Здравствуйте!

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@Frazer7182 · 15.10.2021, 09:28 **[ТС]**

CollectionLog-2021.10.15-12.19.zip
Дополню если это как-то поможет, ПК стал неисправно работать после скаченных файлов из "Zona".

@Sandor · 15.10.2021, 09:36

Внимание! Рекомендации написаны специально для пользователя Frazer7182. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 StopService('Transmission');
 QuarantineFile('C:\Program Files (x86)\hCGdDyAFAsFlC\jPDomnN.dll', '');
 QuarantineFile('C:\Program Files (x86)\sPcEEzvBwGVU2\tXuYIvyeMsfSU.dll', '');
 QuarantineFile('C:\Program Files (x86)\upudSJvjU\XYvesS.dll', '');
 QuarantineFile('C:\Program Files (x86)\WYgiaXVWpIdIqEEKIER\NahgFwt.dll', '');
 QuarantineFile('C:\ProgramData\VКDJ\VКDJ.exe', '');
 QuarantineFile('C:\Users\Акижан\AppData\Local\Programs\AdsBlockerTop\updt.exe', '');
 DeleteSchedulerTask('BlockerTopLogonUpdate');
 DeleteSchedulerTask('DbDOiCBYDZBZHbFXy2');
 DeleteSchedulerTask('lkCAVhJyOQSvLyUpOTn2');
 DeleteSchedulerTask('mYEkUlpIQsCSZl');
 DeleteSchedulerTask('pyzkWktqbwEWdYN2');
 DeleteSchedulerTask('VKDJ');
 DeleteFile('C:\Program Files (x86)\hCGdDyAFAsFlC\jPDomnN.dll', '64');
 DeleteFile('C:\Program Files (x86)\sPcEEzvBwGVU2\tXuYIvyeMsfSU.dll', '64');
 DeleteFile('C:\Program Files (x86)\upudSJvjU\XYvesS.dll', '64');
 DeleteFile('C:\Program Files (x86)\WYgiaXVWpIdIqEEKIER\NahgFwt.dll', '64');
 DeleteFile('C:\ProgramData\VКDJ\VКDJ.exe', '64');
 DeleteFile('C:\Users\Акижан\AppData\Local\Programs\AdsBlockerTop\updt.exe', '64');
 DeleteService('Transmission');
 DeleteFileMask('C:\Program Files (x86)\Transmission\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Transmission\');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению прикреплять файл quarantine.7z не нужно!
Подготовьте новый CollectionLog.

@Frazer7182 · 15.10.2021, 10:18 **[ТС]**

CollectionLog-2021.10.15-13.17.zip

@Sandor · 15.10.2021, 10:23

Пофиксите в HijackThis следующие строчки:

Код

O7 - TroubleShooting: (EV) HKLM\..\Environment: [PSModulePath] = %ProgramFiles%\WindowsPowerShell\Modules;%SystemRoot%\system32\WindowsPowerShell\v1.0\Modules;C:\Program Files (x86)\Microsoft SQL Server\110\Tools\PowerShell\Modules\

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.

@Frazer7182 · 15.10.2021, 10:28 **[ТС]**

Данные действия не навредят же ПК, то есть переустановка системы или удаление личных данных?

@Sandor · 15.10.2021, 10:29

Нет, не навредят. По идее, уже должно полегчать, но нужно ещё кое-что дочистить.

@Frazer7182 · 15.10.2021, 10:30 **[ТС]**

Хорошо, продолжу делать

@Frazer7182 · 15.10.2021, 10:55 **[ТС]**

[ATTACH]Addition.rar[/ATTACH]

@Sandor · 15.10.2021, 11:00

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
C:\Users\Акижан\AppData\Local\Google\Chrome\User Data\Default\Extensions\ohgihjjamahlilnoifoicncfnlpmbcgk
2021-09-23 11:29 - 2021-10-08 03:01 - 000000000 ____D C:\Program Files (x86)\ZMibGujWWpUn
2021-09-23 11:29 - 2021-10-08 03:01 - 000000000 ____D C:\Program Files (x86)\WYgiaXVWpIdIqEEKIER
2021-09-23 11:29 - 2021-10-08 03:01 - 000000000 ____D C:\Program Files (x86)\upudSJvjU
2021-09-23 11:29 - 2021-10-08 03:01 - 000000000 ____D C:\Program Files (x86)\sPcEEzvBwGVU2
2021-09-23 11:29 - 2021-10-08 03:01 - 000000000 ____D C:\Program Files (x86)\MFlqsfEpJIE
2021-09-23 11:29 - 2021-10-08 03:01 - 000000000 ____D C:\Program Files (x86)\hCGdDyAFAsFlC
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@Frazer7182 · 15.10.2021, 11:20 **[ТС]**

Fixlog.txt

@Sandor · 15.10.2021, 11:29

Если проблема решена, завершаем:

1. Выполните процедуру, описанную на этой странице.
Ссылку на результат анализа приведите здесь, пожалуйста.

2.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Frazer7182 · 15.10.2021, 11:33 **[ТС]**

Спасибо вам большое, всё работает стабильно. Но почему папка Robot Demo и fc.exe остались? При следующем обновление системы или драйверов и т.п. не будут ли снова проблемы со всем этим? Или при следующем чистке ПК от вирусов?

@Sandor · 15.10.2021, 11:36

Тогда пока подождите с последними шагами.

@Frazer7182 · 15.10.2021, 11:38 **[ТС]**

Хорошо

@Sandor · 15.10.2021, 11:38

Удалите папку вручную или:

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
2021-10-15 09:39 - 2021-10-15 11:01 - 000000000 ____D C:\ProgramData\RobotDemo
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@Frazer7182 · 15.10.2021, 11:51 **[ТС]**

Fixlog.txt
Спасибо, теперь этого файла нету

@Sandor · 15.10.2021, 12:16

Хорошо, теперь сделайте эти процедуры.

@Frazer7182 0 / 0 / 0 Регистрация: 10.11.2020 Сообщений: 10
	15.10.2021, 11:33 [ТС]	14
	Спасибо вам большое, всё работает стабильно. Но почему папка Robot Demo и fc.exe остались? При следующем обновление системы или драйверов и т.п. не будут ли снова проблемы со всем этим? Или при следующем чистке ПК от вирусов? 0

RobotDemo

Решение

Решение

Решение

@Frazer7182 0 / 0 / 0 Регистрация: 10.11.2020 Сообщений: 10
		1
	RobotDemo 15.10.2021, 08:42. Показов 1794. Ответов 18 Метки нет (Все метки) Здравствуйте, у меня забивается ОП до 80%, а ЦП скачет 20-60% на рабочем столе и с запущенными системными процессами. Через Process Hacker 2 есть файл "fc.exe" который жрёт ОП на 2.3гб. Я не знаю, что это за файл. Если отключить интернет, то всё падает до нормы, и пропадает файл "fc.exe". Делал проверку антивирусами hitmanpro, doctorweb, Malwarebytes они находили файл robot demo, удаляли его, и после удаления сразу же появлялся этот RobotDemo. И удалял саму папку robot demo, тоже безрезультатно. Местонахождение Robor Debo: C:\ProgramData\RobotDemo\ Местонахождение fc.exe: C:\Windows\system32\fc.exe Помогите пожалуйста. 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	15.10.2021, 09:03	2
	Здравствуйте! Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@Frazer7182 0 / 0 / 0 Регистрация: 10.11.2020 Сообщений: 10
	15.10.2021, 09:28 [ТС]	3
	CollectionLog-2021.10.15-12.19.zip Дополню если это как-то поможет, ПК стал неисправно работать после скаченных файлов из "Zona". 0

@Frazer7182 0 / 0 / 0 Регистрация: 10.11.2020 Сообщений: 10
	15.10.2021, 10:18 [ТС]	5
	CollectionLog-2021.10.15-13.17.zip 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	15.10.2021, 10:23	6
	Сообщение было отмечено Frazer7182 как решение Решение Пофиксите в HijackThis следующие строчки: Код O7 - TroubleShooting: (EV) HKLM\..\Environment: [PSModulePath] = %ProgramFiles%\WindowsPowerShell\Modules;%SystemRoot%\system32\WindowsPowerShell\v1.0\Modules;C:\Program Files (x86)\Microsoft SQL Server\110\Tools\PowerShell\Modules\ Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте в архив). Подробнее читайте в этом руководстве. 1

@Frazer7182 0 / 0 / 0 Регистрация: 10.11.2020 Сообщений: 10
	15.10.2021, 10:28 [ТС]	7
	Данные действия не навредят же ПК, то есть переустановка системы или удаление личных данных? 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	15.10.2021, 10:29	8
	Нет, не навредят. По идее, уже должно полегчать, но нужно ещё кое-что дочистить. 1

@Frazer7182 0 / 0 / 0 Регистрация: 10.11.2020 Сообщений: 10
	15.10.2021, 10:30 [ТС]	9
	Хорошо, продолжу делать 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	15.10.2021, 11:00	11
	Сообщение было отмечено Frazer7182 как решение Решение Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Код Start:: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ C:\Users\Акижан\AppData\Local\Google\Chrome\User Data\Default\Extensions\ohgihjjamahlilnoifoicncfnlpmbcgk 2021-09-23 11:29 - 2021-10-08 03:01 - 000000000 ____D C:\Program Files (x86)\ZMibGujWWpUn 2021-09-23 11:29 - 2021-10-08 03:01 - 000000000 ____D C:\Program Files (x86)\WYgiaXVWpIdIqEEKIER 2021-09-23 11:29 - 2021-10-08 03:01 - 000000000 ____D C:\Program Files (x86)\upudSJvjU 2021-09-23 11:29 - 2021-10-08 03:01 - 000000000 ____D C:\Program Files (x86)\sPcEEzvBwGVU2 2021-09-23 11:29 - 2021-10-08 03:01 - 000000000 ____D C:\Program Files (x86)\MFlqsfEpJIE 2021-09-23 11:29 - 2021-10-08 03:01 - 000000000 ____D C:\Program Files (x86)\hCGdDyAFAsFlC ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. 1

@Frazer7182 0 / 0 / 0 Регистрация: 10.11.2020 Сообщений: 10
	15.10.2021, 11:20 [ТС]	12
	Fixlog.txt 0

	15.10.2021, 12:16

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	15.10.2021, 11:29	13
	Если проблема решена, завершаем: 1. Выполните процедуру, описанную на этой странице. Ссылку на результат анализа приведите здесь, пожалуйста. 2. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 3. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	15.10.2021, 11:36	15
	Тогда пока подождите с последними шагами. 0

@Frazer7182 0 / 0 / 0 Регистрация: 10.11.2020 Сообщений: 10
	15.10.2021, 11:38 [ТС]	16
	Хорошо 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	15.10.2021, 11:38	17
	Удалите папку вручную или: Отключите до перезагрузки антивирус. Выделите следующий код: Код Start:: 2021-10-15 09:39 - 2021-10-15 11:01 - 000000000 ____D C:\ProgramData\RobotDemo Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. 1

@Frazer7182 0 / 0 / 0 Регистрация: 10.11.2020 Сообщений: 10
	15.10.2021, 11:51 [ТС]	18
	Fixlog.txt Спасибо, теперь этого файла нету 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	15.10.2021, 12:16	19
	Хорошо, теперь сделайте эти процедуры. 0