Компьютер стал тормозить.
Пропадает место на диске ощутимо.
В процессах появился chrome.exe хотя его не устанавливал.
Printable View
Компьютер стал тормозить.
Пропадает место на диске ощутимо.
В процессах появился chrome.exe хотя его не устанавливал.
Уважаемый(ая) [B]MacKen[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Где Вы эти майнеры берёте, двое суток ещё не прошло, как предыдущий почистили...
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
QuarantineFileF('C:\Users\Igor\AppData\Roaming\URSoft\Chrome', '*.exe, *.bat, *.vbs, *.js', true, '', 0, 0);
DeleteFileMask('C:\Users\Igor\AppData\Roaming\URSoft\Chrome', '*', true);
DeleteDirectory('C:\Users\Igor\AppData\Roaming\URSoft\Chrome');
ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateTaskUI" /F', 0, 15000, true);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
Сейчас все сделаю
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Прошу прощения, Вы наверное меня с кем то перепутали. Я 2 дня назад за помощью не обращался.
А что такое майнер?
Карантин выслал
Результат загрузки
Файл сохранён как 160511_000018_quarantine_57324be25226f.zip
Размер файла 2109052
MD5 1d27df023e11a5b97e7078edc704bbd2
Файл закачан, спасибо!
Пара вопросов.
Вот по этому пути эта же штука прописалась c:\Users\Igor\AppData\Roaming\Skype\Chrome\ как ее убрать? Вы наверное ее пропустили?
[QUOTE=MacKen;1380404]Прошу прощения, Вы наверное меня с кем то перепутали. Я 2 дня назад за помощью не обращался.[/QUOTE]
Пардон, это [URL="http://virusinfo.info/showthread.php?t=183353"]год назад было[/URL].
[QUOTE=MacKen;1380404]А что такое майнер?[/QUOTE]
В Вашем случае - троян, использующий вычислительные мощности Вашего ПК для генерации [URL="https://ru.wikipedia.org/wiki/Биткойн"]биткойнов[/URL] для того, кто Вам эту программу подсадил.
[QUOTE=MacKen;1380404]Вот по этому пути эта же штука прописалась c:\Users\Igor\AppData\Roaming\Skype\Chrome\ как ее убрать? Вы наверное ее пропустили?[/QUOTE]
Не всё по начальным логам видно, дочистим.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CloseProcesses:
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-2251983573-2894451759-1175134314-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
C:\Users\Igor\AppData\Roaming\Skype\Chrome
Task: {155C3378-E713-4077-A8EF-6C4EB8D81058} - \GoogleUpdateTaskUserS-1-5-21-1970835742GUI -> No File <==== ATTENTION
Task: {219599EF-9DFF-424D-9A2E-A8252C6AA138} - \AdobePlayerUpdate-298-76-CI -> No File <==== ATTENTION
Task: {65B9A9BD-363A-4D62-A6FF-F174F0142C26} - \AdobeFlashPlayer-S-1-2-1298-9822 -> No File <==== ATTENTION
Task: {7E64B9AA-7725-4CC2-8B62-BC94FEB96826} - no filepath
Task: {25CCD82D-49AF-4BF0-BA7B-787A31F5B9AD} - System32\Tasks\AmigabitDataRecovery => C:\Program Files (x86)\Amigabit\Data Recovery\Tray.exe
Task: {D02B8A7C-BD34-483C-8EF2-ED5670612590} - \Steam-S-1-8-22-9865GUI -> No File <==== ATTENTION
Task: {DC67048F-00B7-44F6-8AD2-79CF0A942CDA} - \AdobeFlashPlayer-S-2-1-24-198293847112UI -> No File <==== ATTENTION
Task: C:\WINDOWS\Tasks\AmigabitDataRecovery.job => C:\Program Files (x86)\Amigabit\Data Recovery\Tray.exe /autorun Tray.exe
AlternateDataStreams: C:\ProgramData\Temp:10D14739 [147]
AlternateDataStreams: C:\ProgramData\Temp:1CE11B51 [174]
EmptyTemp:
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Посмотрите, в папке C:\Users\Igor\AppData\Roaming\URSoft что-то полезное есть?
В папке C:\Users\Igor\AppData\Roaming\URSoft лежат ini и log файлы от программы Your Unin-staller! Я ей пользуюсь. Убирать не надо.
Проблема решена?
ПО-моему, да. Спасибо.
Удалите папку C:\FRST со всем содержимым.
Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]