Папка Ethash, майнинговый процесс

Здравствуйте!

Проблема - папка ethash, возвращается после удаления. Плюс после запуска системы через некоторое время запускается процесс microsoft operating system, который максимального грузит процессор относительно других процессов

Уважаемый(ая) [B]Sammaleen[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте,

HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[B]Важно[/B]: необходимо отметить и профиксить [B]только[/B] то, что указано ниже.
[CODE]
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avg: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: CTF Host - C:\Users\sammaleen\AppData\Roaming\Origin\Ctfhost\ctfhost.exe dtqrfg. (file missing)
O22 - Task: \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler - {5AA199A0-1CED-43A5-9B85-3226086738A3} - (no file)
O26 - UWP Debugger: AcroRd32Info.exe (default) = (no file)
O26 - UWP Debugger: CMigrate.exe (default) = (no file)
O26 - UWP Debugger: DevicesFlow.exe (default) = (no file)
O26 - UWP Debugger: DropboxUpdate.exe (default) = (no file)
O26 - UWP Debugger: EQNEDT32.EXE (default) = (no file)
O26 - UWP Debugger: ExtExport.exe (default) = (no file)
O26 - UWP Debugger: FIRSTRUN.EXE (default) = (no file)
O26 - UWP Debugger: FLTLDR.EXE (default) = (no file)
O26 - UWP Debugger: FlashPlayerApp.exe (default) = (no file)
O26 - UWP Debugger: FlashPlayerUpdateService.exe (default) = (no file)
O26 - UWP Debugger: FlashUtil32_29_0_0_171_pepper.exe (default) = (no file)
O26 - UWP Debugger: FlashUtil64_29_0_0_171_pepper.exe (default) = (no file)
O26 - UWP Debugger: GoogleUpdate.exe (default) = (no file)
O26 - UWP Debugger: LICLUA.EXE (default) = (no file)
O26 - UWP Debugger: MRT.exe (default) = (no file)
O26 - UWP Debugger: MSOSQM.EXE (default) = (no file)
O26 - UWP Debugger: MSOUC.EXE (default) = (no file)
O26 - UWP Debugger: MiracastView.exe (default) = (no file)
O26 - UWP Debugger: MsMpEng.exe (default) = (no file)
O26 - UWP Debugger: NAMECONTROLSERVER.EXE (default) = (no file)
O26 - UWP Debugger: OARPMANY.EXE (default) = (no file)
O26 - UWP Debugger: ODeploy.exe (default) = (no file)
O26 - UWP Debugger: OLicenseHeartbeat.exe (default) = (no file)
O26 - UWP Debugger: OSPPREARM.EXE (default) = (no file)
O26 - UWP Debugger: PresentationHost.exe (default) = (no file)
O26 - UWP Debugger: PrintDialog.exe (default) = (no file)
O26 - UWP Debugger: PrintIsolationHost.exe (default) = (no file)
O26 - UWP Debugger: RdrCEF.exe (default) = (no file)
O26 - UWP Debugger: RdrServicesUpdater.exe (default) = (no file)
O26 - UWP Debugger: SystemSettings.exe (default) = (no file)
O26 - UWP Debugger: Winword.exe (default) = (no file)
O26 - UWP Debugger: chrome.exe (default) = (no file)
O26 - UWP Debugger: clview.exe (default) = (no file)
O26 - UWP Debugger: cscript.exe (default) = (no file)
O26 - UWP Debugger: dllhost.exe (default) = (no file)
O26 - UWP Debugger: drvinst.exe (default) = (no file)
O26 - UWP Debugger: dw20.exe (default) = (no file)
O26 - UWP Debugger: dwtrig20.exe (default) = (no file)
O26 - UWP Debugger: ehexthost32.exe (default) = (no file)
O26 - UWP Debugger: excel.exe (default) = (no file)
O26 - UWP Debugger: excelcnv.exe (default) = (no file)
O26 - UWP Debugger: explorer.exe (default) = (no file)
O26 - UWP Debugger: graph.exe (default) = (no file)
O26 - UWP Debugger: ie4uinit.exe (default) = (no file)
O26 - UWP Debugger: ieUnatt.exe (default) = (no file)
O26 - UWP Debugger: ieinstal.exe (default) = (no file)
O26 - UWP Debugger: ielowutil.exe (default) = (no file)
O26 - UWP Debugger: iexplore.exe (default) = (no file)
O26 - UWP Debugger: mmc.exe (default) = (no file)
O26 - UWP Debugger: mscorsvw.exe (default) = (no file)
O26 - UWP Debugger: msfeedssync.exe (default) = (no file)
O26 - UWP Debugger: mshta.exe (default) = (no file)
O26 - UWP Debugger: msohtmed.exe (default) = (no file)
O26 - UWP Debugger: msosrec.exe (default) = (no file)
O26 - UWP Debugger: msosync.exe (default) = (no file)
O26 - UWP Debugger: msoxmled.exe (default) = (no file)
O26 - UWP Debugger: msqry32.exe (default) = (no file)
O26 - UWP Debugger: mstordb.exe (default) = (no file)
O26 - UWP Debugger: mstore.exe (default) = (no file)
O26 - UWP Debugger: ngen.exe (default) = (no file)
O26 - UWP Debugger: ngentask.exe (default) = (no file)
O26 - UWP Debugger: ois.exe (default) = (no file)
O26 - UWP Debugger: ose.exe (default) = (no file)
O26 - UWP Debugger: powerpnt.exe (default) = (no file)
O26 - UWP Debugger: protocolhandler.exe (default) = (no file)
O26 - UWP Debugger: rundll32.exe (default) = (no file)
O26 - UWP Debugger: runtimebroker.exe (default) = (no file)
O26 - UWP Debugger: searchprotocolhost.exe (default) = (no file)
O26 - UWP Debugger: selfcert.exe (default) = (no file)
O26 - UWP Debugger: setlang.exe (default) = (no file)
O26 - UWP Debugger: splwow64.exe (default) = (no file)
O26 - UWP Debugger: spoolsv.exe (default) = (no file)
O26 - UWP Debugger: svchost.exe (default) = (no file)
O26 - UWP Debugger: wordconv .exe (default) = (no file)
O26 - UWP Debugger: wordconv.exe (default) = (no file)
O26 - UWP Debugger: wscript.exe (default) = (no file)
O26 - UWP Debugger: wxp.exe (default) = (no file)
[/CODE]


AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\sammaleen\AppData\Roaming\Origin\Ctfhost\ctfhost.exe','');
DeleteFile('C:\WINDOWS\system32\Tasks\CTF Host','64');
DeleteFile('C:\Users\sammaleen\AppData\Roaming\Origin\Ctfhost\ctfhost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

- Подготовьте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]AdwCleaner[/URL] и приложите его в теме.

доброго вечера!

возникла проблема с загрузкой карантина, пишет "Ошибка загрузки. Данный файл уже был загружен"

лог AdwCleaner прилагаю

[url=https://virusinfo.info/showthread.php?t=218752&p=1480599&viewfull=1#post1480599]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Отчет после удаления

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]

Отчеты

[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
Start::
CreateRestorePoint:
CloseProcesses:
File: C:\Windows\System32\drivers\RivetNetworks\Killer\xTendUtilityService.exe
File: C:\Program Files (x86)\SCM\SCM.exe
Zip: C:\Program Files (x86)\SCM\SCM.exe;C:\WINDOWS\System32\nsisvc.dll;C:\WINDOWS\System32\nlasvc.dll;C:\WINDOWS\system32\Drivers\fvstore.dat;C:\WINDOWS\system32\Drivers\sfi.dat
File: C:\Program Files (x86)\DeskPins\deskpins.exe
BHO: AVG Web TuneUp -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> C:\Program Files\AVG Web TuneUp\4.3.9.605\AVG Web TuneUp.dll => No File
BHO-x32: AVG Web TuneUp -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> C:\Program Files (x86)\AVG Web TuneUp\4.3.9.605\AVG Web TuneUp.dll => No File
File: C:\WINDOWS\System32\gpsvc.dll
File: C:\Program Files (x86)\SCM\MSIService.exe
File: C:\WINDOWS\System32\nlasvc.dll
File: C:\WINDOWS\System32\nsisvc.dll
File: C:\WINDOWS\system32\regsvc.dll
File: C:\WINDOWS\System32\termsrv.dll
File: C:\WINDOWS\system32\Drivers\fvstore.dat
File: C:\WINDOWS\system32\Drivers\sfi.dat
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
Reboot:
End::
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

На рабочем столе образуется карантин вида [B]<date>.zip[/B] загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

Прилагаю лог, архив с карантином не появился

Насколько я вижу в логе, карантин создался на рабочем столе:
[CODE]C:\Users\sammaleen\Desktop\14.11.2018_22.00.17.zip[/CODE]