Подозрение на наличие вируса или трояна

[ahrutsky]

Подозрение на наличие вируса или трояна

Всем добра!

Имеется ноутбук:
Samsung RC530.

характеристики:
Тип ЦП Mobile DualCore Intel Core i3-2350M, 2300 MHz (23 x 100)
Системная пл Samsung RC530/RC730
Чипсет системной плат Intel Cougar Point HM65, Intel Sandy Bridge
Системная память 6056 МБ (DDR3 SDRAM)
Тип BIOS AMI (11/14/2011)

Видеоадаптер Intel(R) HD Graphics Family (2904162 КБ)
Видеоадаптер Intel(R) HD Graphics Family (2904162 КБ)
Видеоадаптер NVIDIA GeForce GT 540M (1 ГБ)
3D-акселератор Intel HD Graphics 3000
Монитор Samsung LTN156AT05000 [15.6" LCD]


антивирус: Avast Premier.

Предистория проблемы:
в параметрах AIDA64 температура ЦП подвисала под 81-83*С при тесте стабильности системы. Выполнена замена термопасты, вместо какой-то белой (подозреваю что КПТ-8) применена Zalman ZM-STG2, от пыли радиатор очистил, продул.
Температура ЦП при тесте стабильности системы сбрасывается на 67-69*С, но выдает сообщение: "CPU Throtlling (max 15%) - Overheating detected", которое напрягает.

Ноут сканировал утилитами: Dr.Web CureIt!, Kaspersky Virus Removal Tool, Malwarebytes. Каждая из них что-либо да находила, неких троянцев да подозрительные файлы.

Установил еще второй антивирь: ESET NOD32. Этот тОже что-то нашёл и вырезал из ноута.

Есть подозрение, что все-таки в системе червячки есть, поскольку вентилятор порой начинает кратковременно разгоняться. И ноут был в руках сына, который юзал его для игр по сети, плюс во время учебы ставил какую-то "Вижлу" для программирования и еще какие-то прибамбасы tehno015....

Вообщем требуется помощь хелперов.

 

[Vladimir_S]

Вообщем требуется помощь хелперов.

Чтобы получить помощь хелперов, необходимо прежде всего пройти сюда и выполнить всё, что там предписано.

 

[ahrutsky]

Чтобы получить помощь хелперов, необходимо прежде всего пройти сюда и выполнить всё, что там предписано.

образ сделал:

 

[Гризлик]

Для начала у вас на данный момент два Антивируса: Аваст и Nod. Это не хорошо. Один какой-то нужно удалить. После чего переделайте образ автозапуска.

 

[ahrutsky]

Один какой-то нужно удалить.

через Reg Organizer полностью Avast Premier удалить полУчиться ?

 

[Гризлик]

Лучше с помощью фирменой авастовской утилиты https://www.avast.ru/uninstall-utility

 

[ahrutsky]

Лучше с помощью фирменой авастовской утилиты

аваст снес.

Образ автозапуска переделал:

плюс буквально только что всплыли предупреждения:

что за оно ?

 

[Гризлик]

Скопируйте код ниже в буфер обмена.
Закройте все браузеры.
Запустите UVS под текущим пользователем.
В меню: Скрипты----Выполнить из буфера обмена

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
delall %SystemRoot%\TEMP\GUR81FB.EXE
delref %SystemDrive%\USERS\РОМА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GOMEKMIDLODGLBBMALCNEEGIEACBDMKI\12.0.296_0\AVAST ONLINE SECURITY
delref %SystemDrive%\USERS\РОМА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EOFCBNMAJMJMPLFLAPAOJJNIHCJKIGCK\12.0.433_0\AVAST SAFEPRICE
delref %SystemDrive%\USERS\РОМА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PKEDCJKDEFGPDELPBCMBMEOMCJBEEMFM\6317.1002.0.5_0\CHROME MEDIA ROUTER
delall %SystemDrive%\USERS\РОМА\APPDATA\LOCAL\TEMP\990A5BD6-88664AB1-D8EB2B8-3E6AE4EB\29D336B66C.SYS
delall %Sys32%\DRIVERS\AF746BYS.SYS
delall E:\АНТИВИРУСЫ(УСТАНОВОЧНИКИ)\АВАСТ\НОВАЯ ПАПКА\NG\VBOX\AVASTVBOXSVC.EXE
delall E:\АНТИВИРУСЫ(УСТАНОВОЧНИКИ)\АВАСТ\НОВАЯ ПАПКА\AVEMUPDATE.EXE
regt 13
deltmp
delnfr
restart

После перезагрузки выполните сканирование в Malwarebytes

 

[ahrutsky]

Скопируйте код ниже в буфер обмена.
Закройте все браузеры.
Запустите UVS под текущим пользователем.
В меню: Скрипты----Выполнить из буфера обмена

проверка malwarbytes:

 

[Гризлик]

По логу malwarbytes чисто.
далее,
сделайте проверку в АдвКлинере
http://www.tehnari.ru/f150/t87975/

*****
в АдвКлинере, после завершения проверки,
снимите галки с записей mail.ru, yandex (если есть такие и вы ими пользуетесь)
остальное удалите по кнопке Очистить
далее,

сделайте проверку в FRST
http://www.tehnari.ru/f150/t245622/

 

[ahrutsky]

сделайте проверку в FRST

логи FRST

 

[Гризлик]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! И проверьте проблему

HKU\S-1-5-21-1876139145-3911831030-249483883-1000\...\Policies\Explorer: [NolowDiskSpaceChecks] 1
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
CHR Extension: () - C:\Users\Рома\AppData\Local\Google\Chrome\User Data\Default\Extensions\eofcbnmajmjmplflapaojjnihcjkigck [2018-01-07]
CHR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\Рома\AppData\Local\Google\Chrome\User Data\Default\Extensions\cebkcnlhbjapdpofhcokcdhfgpehhajk [2016-11-26]
CHR Extension: (Avast Online Security) - C:\Users\Рома\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki [2017-12-30]
CHR Extension: (Chrome Media Router) - C:\Users\Рома\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-12-30]
U3 aai873qs; no ImagePath
Task: {146818CC-53C6-40C1-ADF7-070523AEAFAE} - \{250AE3AA-F561-4927-BCA0-BC59D1D5F5E8} -> No File <==== ATTENTION
Task: {27F6C956-5941-43AB-AFF5-B57ECEDC16D9} - \{A9F4E391-712A-4B9D-8F2B-6DC33873CC39} -> No File <==== ATTENTION
Task: {B5305DCD-D366-436A-9EA9-3D7FDFA6AD7A} - \Avast Emergency Update -> No File <==== ATTENTION
IE restricted site: HKU\S-1-5-21-1876139145-3911831030-249483883-1000\...\008i.com -> 008i.com
IE restricted site: HKU\S-1-5-21-1876139145-3911831030-249483883-1000\...\008k.com -> 008k.com
IE restricted site: HKU\S-1-5-21-1876139145-3911831030-249483883-1000\...\00hq.com -> 00hq.com
IE restricted site: HKU\S-1-5-21-1876139145-3911831030-249483883-1000\...\0190-dialers.com -> 0190-dialers.com
IE restricted site: HKU\S-1-5-21-1876139145-3911831030-249483883-1000\...\01i.info -> 01i.info
IE restricted site: HKU\S-1-5-21-1876139145-3911831030-249483883-1000\...\02pmnzy5eo29bfk4.com -> 02pmnzy5eo29bfk4.com
IE restricted site: HKU\S-1-5-21-1876139145-3911831030-249483883-1000\...\05p.com -> 05p.com
IE restricted site: HKU\S-1-5-21-1876139145-3911831030-249483883-1000\...\07ic5do2myz3vzpk.com -> 07ic5do2myz3vzpk.com
IE restricted site: HKU\S-1-5-21-1876139145-3911831030-249483883-1000\...\08nigbmwk43i01y6.com -> 08nigbmwk43i01y6.com
IE restricted site: HKU\S-1-5-21-1876139145-3911831030-249483883-1000\...\093qpeuqpmz6ebfa.com -> 093qpeuqpmz6ebfa.com
IE restricted site: HKU\S-1-5-21-1876139145-3911831030-249483883-1000\...\0calories.net -> 0calories.net
IE restricted site: HKU\S-1-5-21-1876139145-3911831030-249483883-1000\...\0cj.net -> 0cj.net
IE restricted site: HKU\S-1-5-21-1876139145-3911831030-249483883-1000\...\0scan.com -> 0scan.com
IE restricted site: HKU\S-1-5-21-1876139145-3911831030-249483883-1000\...\1-britney-spears-nude.com -> 1-britney-spears-nude.com
IE restricted site: HKU\S-1-5-21-1876139145-3911831030-249483883-1000\...\1-domains-registrations.com -> 1-domains-registrations.com
IE restricted site: HKU\S-1-5-21-1876139145-3911831030-249483883-1000\...\1-se.com -> 1-se.com
IE restricted site: HKU\S-1-5-21-1876139145-3911831030-249483883-1000\...\1001movie.com -> 1001movie.com
IE restricted site: HKU\S-1-5-21-1876139145-3911831030-249483883-1000\...\1001night.biz -> 1001night.biz
IE restricted site: HKU\S-1-5-21-1876139145-3911831030-249483883-1000\...\100gal.net -> 100gal.net
IE restricted site: HKU\S-1-5-21-1876139145-3911831030-249483883-1000\...\100sexlinks.com -> 100sexlinks.com
FirewallRules: [{F761B45F-F3CB-4FF2-8AA9-B9E33B7535D9}] => (Allow) E:\антивирусы(установочники)\аваст\Новая папка\ng\vbox\aswFe.exe
FirewallRules: [{A778E429-0FB2-4D82-842D-5E74113DC7B0}] => (Allow) E:\антивирусы(установочники)\аваст\Новая папка\ng\vbox\aswFe.exe
EmptyTemp:
Reboot:

 

[ahrutsky]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix

а галочки расставлять как и при первом сканировании FRST ?
Или по умолчанию ?

 

[Гризлик]

Без разницы

 

[ahrutsky]

Fixlog.txt :

 

[Гризлик]

Что с проблемой?

 

[ahrutsky]

Что с проблемой?

как-бы перегрев присутствует, хотя пока небольшой ...:

может уровень электропитания проца уменьшить ? (вернее уровень производительности в настройках) ....

 

[Гризлик]

Попробуйте тест.
Отключите ноут от интрнета и локальной сети. И понаблюдайте минут 10 за температурой. Будет падать?

 

[ahrutsky]

(пишу с андроида).
Еще такой вопрос. Открывал диспетчер задач. В процессах был explorer.exe, проводник, 38 мБ. Он по умолчанию включается в процесс ? Прост использую Оперу и ГугХром. А эксплорер не использую.

Минут через 7 температура упала до 56*С при отключенном интернете (wi-fi).

 

[Гризлик]

В процессах был explorer.exe, проводник, 38 мБ. Он по умолчанию включается в процесс ? Прост использую Оперу и ГугХром. А эксплорер не использую.

Это нормально. Т.к. Explorer.exe не только проводник запускает, но и рабочий стол.

Минут через 7 температура упала до 56*С при отключенном интернете (wi-fi).

В диспетчере задач посмотрите какой процесс грузит процесс