Решена Запуск сайта через реестр со стартом компьютера.

[Savich]

С недавнего времени появилась проблема: в реестре прописан запуск сайта с какой-то шляпой. После удаления из реестра проблема не проходит - перезапускаешь систему и всё возвращается. Ещё стал шуметь как ненормальный. Включаешь диспетчер задач и на полсекунды можно увидеть, как загружен ЦП, потом нагрузка спадает.

 

[Sandor]

Здравствуйте!

Прочтите и выполните Правила оформления запроса о помощи

 

[Savich]

Лог прикрепил

 

[Sandor]

В системе ещё и майнер. Сначала его удалим.

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

 

[Savich]

Вроде сделал

 

[Sandor]

Хорошо, продолжаем.

1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

MediaGet

2. Файл Check_Browser_Lnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\ReaItekHD\taskhostw.exe', '');
 DeleteSchedulerTask('Nation');
 DeleteFile('C:\ProgramData\ReaItekHD\taskhostw.exe', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', '64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

4. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Savich]

Готово

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-911973568-3744616008-51487184-1001\...\Run: [MediaGet2] => C:\Users\Егор\MediaGet2\mediaget.exe --minimized (Нет файла)
  HKU\S-1-5-21-911973568-3744616008-51487184-1001\...\Run: [Nation] => cmd.exe /c start www.exinariuminix.info (Нет файла)
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [4144]
  AlternateDataStreams: C:\Users\Егор\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Егор\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Savich]

Сделано

 

[Sandor]

Хорошо, подведём итог - проблема решена?

 

[Savich]

Не думаю. ЦП также на секунду показывается загруженным, затем якобы всё нормально, а сайт вроде не открывался более, но это надо ребутнуть полностью ПК

 

[Savich]

Просто у меня и раньше такая проблема была, давно. Но я тогда дюже неопытным пользователем был. Там меня беспокоило и снижение производительности и прочая лабуда связанная с майнером. А здесь только взвывания в системнике и сайт постоянно выскакивающий

 

[Sandor]

ЦП также на секунду показывается загруженным, затем якобы всё нормально

В вашей фразе слово "якобы" - лишнее
Кратковременный скачок загрузки при старте Диспетчера - нормальное поведение. Ему тоже нужны ресурсы ЦП для запуска.

взвывания в системнике и сайт постоянно выскакивающий

Этого больше нет?

 

[Savich]

Нет, вроде нет. Всё нормально стало. Спасибо большое

 

[Sandor]

Хорошо, в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Savich]

Вот

 

[Sandor]

Исправьте по возможности:

NVIDIA GeForce Experience 3.27.0.112 v.3.27.0.112 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Яндекс.Диск v.3.2.34.4962 Внимание! Скачать обновления
7-Zip 22.01 (x64) v.22.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
Discord v.1.0.9006 Внимание! Скачать обновления
Telegram Desktop v.4.11.7 Внимание! Скачать обновления
Java 8 Update 351 (64-bit) v.8.0.3510.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u401-windows-x64.exe - Windows Offline (64-bit))^
Opera GX Stable 105.0.4970.76 v.105.0.4970.76 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Yandex v.23.11.3.965 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^


Читайте Рекомендации после удаления вредоносного ПО

 

[Savich]

На этом, я полагаю, всё?

 

[akok]

Да. Удачи!

 

[Savich]

Большое спасибо! Лучшие!