Неприятные последствияпосле кряка

[Neket007]

Здравствуйте.
Сегодня в общем пришлось скачать кряк и после запуска система на полную загрузилась(ПОхоже на Bincoin Miner'ы) после перезагрузки появилась ошибка вызванная файлов NFS14.exe находящимся в папке Temp, что ему не хватает библиотеки. Отрубался Explorer.

Думал сейчас восстановлюсь, но не открывается восстановления, ссылаясь на отсутствие этого файла.
Попробовал лично полазить по реестру, удалить подозрительные вещи. Удалял Temp.
В автозагрузке есть подозрительный процесс svchost, находящийся по адресу C:\ProgramData\svchost0. Но доступ к этой папке закрыт(к svchost0)
В общем, сейчас все свелось к тому, что NFS14.exe создается в темпе при каждом включении системы и запускается, но не находит нужной библиотеки.

П.С. в автозагрузке svchost не отключается, пробовал через безопасный режим, отключился но не помогло.

ПРоблема похожа на http://virusinfo.info/showthread.php?t=146195

[Info_bot]

Уважаемый(ая) Neket007, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\ProgramData\svchost0\safpdndnn.exe','');
 DeleteFile('C:\ProgramData\svchost0\safpdndnn.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Windows Update Check - 0x0C290301','64');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9); 
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Neket007]

Компьютер перезагрузился но...
Карантин прислать не удалось, т.к. в нужной папке не оказалось вообще никаких файлов.
При запуске опять ошибка связанная с Безымянный.png
Новые логи:

[thyrex]

Пофиксите в HiJack

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://sindex.biz/?company=5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sindex.biz/?company=5
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O4 - HKCU\..\Run: [svchost] "C:\ProgramData\svchost0\safpdndnn.exe"

Больше плохого не видно

[Neket007]

Пофиксил, перезагрузил.
Опять куча ошибок при старте, та что была + опять проводник перестал отвечать и опять в HiJack появилось вот это

Код:

O4 - HKCU\..\Run: [svchost] "C:\ProgramData\svchost0\safpdndnn.exe"

- - - Добавлено - - -

В общем, решил сам попробовать и наткнулся в интернете на решение с восстановлением.
Ввел в консоль

Код:

reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe" /f

Восстановление заработало.
Откатился на 2 дня назад, пока проблем нет, ошибок нет, HiJack пуст, в автозагрузке ничего.
Еще поработаю за компьютером, сообщу рез-тат
А так, спасибо за помощь