Решена Процесс " fc.exe " грузит ОЗУ и процессор. Не открываются сайты антивирусов.

Статус
В этой теме нельзя размещать новые ответы.

VladFullHD

Новый пользователь
Сообщения
9
Реакции
1
Добрый вечер! fc.exe сильно грузит процессор и память. Вычислил через диспетчер задач. Антивирусы его не видят, не удаляют, через диспетчер задач показывает что файл находится в папке System 32 под названием " fc.exe ". Также заметил, что сайты Dr.Web, Avast, Malwarebytes отказываются загружаться, только через ВПН. Как удалить эту хрень? Лог прикрепил.
 

Вложения

  • CollectionLog-2021.09.29-21.17.zip
    92.6 KB · Просмотры: 39
Lively Wallpaper - сами устанавливали?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 SetServiceStart('Transmission', 4);
 QuarantineFile('C:\Program Files (x86)\Transmission\Qt5Core.dll', '');
 QuarantineFile('c:\program files (x86)\transmission\transmission-qt.exe', '');
 QuarantineFile('C:\ProgramData\RobotDemo\RobotDemo.exe', '');
 QuarantineFile('C:\Users\User\AppData\Local\Programs\AdsBlockerTop\upd.exe', '');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll', '32');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe', '32');
 DeleteFile('C:\ProgramData\RobotDemo\RobotDemo.exe', '32');
 DeleteFileMask('C:\Program Files (x86)\Transmission\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Transmission\');
 DeleteFileMask('C:\ProgramData\RobotDemo', '*', true);
 DeleteDirectory('C:\ProgramData\RobotDemo');
 DeleteService('Transmission');
 DeleteSchedulerTask('randomPlay_OS.job');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы, после заргузки карантина, обязательно укажите в теме ссылку на результаты анализа.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R3 - HKCU\..\URLSearchHooks: (no name) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{7f62a24a-d4f9-4328-bd19-5c929ea73ead}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{7f62a24a-d4f9-4328-bd19-5c929ea73ead}: [NameServer] = 37.1.207.126

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Lively Wallpaper - сами устанавливали?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 SetServiceStart('Transmission', 4);
 QuarantineFile('C:\Program Files (x86)\Transmission\Qt5Core.dll', '');
 QuarantineFile('c:\program files (x86)\transmission\transmission-qt.exe', '');
 QuarantineFile('C:\ProgramData\RobotDemo\RobotDemo.exe', '');
 QuarantineFile('C:\Users\User\AppData\Local\Programs\AdsBlockerTop\upd.exe', '');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll', '32');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe', '32');
 DeleteFile('C:\ProgramData\RobotDemo\RobotDemo.exe', '32');
 DeleteFileMask('C:\Program Files (x86)\Transmission\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Transmission\');
 DeleteFileMask('C:\ProgramData\RobotDemo', '*', true);
 DeleteDirectory('C:\ProgramData\RobotDemo');
 DeleteService('Transmission');
 DeleteSchedulerTask('randomPlay_OS.job');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы, после заргузки карантина, обязательно укажите в теме ссылку на результаты анализа.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R3 - HKCU\..\URLSearchHooks: (no name) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{7f62a24a-d4f9-4328-bd19-5c929ea73ead}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{7f62a24a-d4f9-4328-bd19-5c929ea73ead}: [NameServer] = 37.1.207.126

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
Вот ссылка на результат анализа: http://defendium.info/aqs/qr_report.php?md5=CA405D7686150374BF36C3F006966617
Lively Wallpaper устанавливал сам, да.
Лог после повторной диагностики AutoLogger прилагаю.
 

Вложения

  • CollectionLog-2021.09.29-23.51.zip
    88.6 KB · Просмотры: 32
Последнее редактирование:
Что с проблемой?
 
Что с проблемой?
Процесса fc.exe пока не наблюдаю.
А проблема с доступом к названным в теме сайтам до сих пор не решена.
UPD: После перезагрузки ПК доступ к сайтам восстановился, большое спасибо.
 
Последнее редактирование:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Вложения

  • Addition.txt
    56.3 KB · Просмотры: 33
  • FRST.txt
    54.2 KB · Просмотры: 33
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [896]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [896]
    AlternateDataStreams: C:\Users\Все пользователи:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи:NT2 [896]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [896]
    AlternateDataStreams: C:\Users\User\Application Data:NT [40]
    AlternateDataStreams: C:\Users\User\Application Data:NT2 [896]
    AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2 [896]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

После проверяйте доступ, продолжим уже завтра.
 
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [896]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [896]
    AlternateDataStreams: C:\Users\Все пользователи:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи:NT2 [896]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [896]
    AlternateDataStreams: C:\Users\User\Application Data:NT [40]
    AlternateDataStreams: C:\Users\User\Application Data:NT2 [896]
    AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2 [896]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

После проверяйте доступ, продолжим уже завтра.
 

Вложения

  • Fixlog.txt
    3.1 KB · Просмотры: 32
Ещё такой скрипт выполните
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    CHR Notifications: Profile 1 -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://mnthor.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz
    CHR DefaultSearchURL: Profile 1 -> hxxp://search-cdn.net/fip/?q={searchTerms}
    CHR DefaultSearchKeyword: Profile 1 -> cdn
    C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
    CHR DefaultSearchURL: Profile 3 -> hxxp://search-cdn.net/fip/?q={searchTerms}
    CHR DefaultSearchKeyword: Profile 3 -> cdn
    C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
    C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\meejmcfbiapijdfaadackoblffmidlig
    CHR Notifications: System Profile -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://mnthor.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz
    CHR HKU\S-1-5-21-2121594259-3364302383-1767520642-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
    Blocks all annoying Ads 1.0.0.0 (HKLM-x32\...\{029c3d44-adaf-47ec-9551-03f3b2209323}) (Version: 1.0.0.0 - AdsBlockerTop) Hidden
    panda cook 2.4.6.36 (HKLM-x32\...\{f97cd324-dc25-4270-ae31-f285a1437f88}) (Version: 2.4.6.36 - Martini-Mariani Group Group) Hidden
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

В перечне установленных программ появятся скрытые ранее
Blocks all annoying Ads 1.0.0.0
panda cook 2.4.6.36
Удалите вместе с

Будут "сопротивляться", удаляйте принудительно через Geek Uninstaller
 
Ещё такой скрипт выполните
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    CHR Notifications: Profile 1 -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://mnthor.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz
    CHR DefaultSearchURL: Profile 1 -> hxxp://search-cdn.net/fip/?q={searchTerms}
    CHR DefaultSearchKeyword: Profile 1 -> cdn
    C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
    CHR DefaultSearchURL: Profile 3 -> hxxp://search-cdn.net/fip/?q={searchTerms}
    CHR DefaultSearchKeyword: Profile 3 -> cdn
    C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
    C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\meejmcfbiapijdfaadackoblffmidlig
    CHR Notifications: System Profile -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://mnthor.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz
    CHR HKU\S-1-5-21-2121594259-3364302383-1767520642-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
    Blocks all annoying Ads 1.0.0.0 (HKLM-x32\...\{029c3d44-adaf-47ec-9551-03f3b2209323}) (Version: 1.0.0.0 - AdsBlockerTop) Hidden
    panda cook 2.4.6.36 (HKLM-x32\...\{f97cd324-dc25-4270-ae31-f285a1437f88}) (Version: 2.4.6.36 - Martini-Mariani Group Group) Hidden
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

В перечне установленных программ появятся скрытые ранее

Удалите вместе с


Будут "сопротивляться", удаляйте принудительно через Geek Uninstaller
Данные программы удалились только при помощи Geek Unistaller.. В программе выбрал принудительное удаление, вышло только таким способом.
 

Вложения

  • Fixlog.txt
    3.4 KB · Просмотры: 31
Последнее редактирование:
Проблема сохраняется? Если да, в любом браузере?
 
Исправьте по возможности
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------
Python 3.9.2 (64-bit) v.3.9.2150.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u301-windows-x64.exe)^
 
Пройдите по ссылке, там всё подробно расписано.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу