Вирус! Майнер!

Printable View

27.01.2021, 21:48
EasyGame

Вложений: 1

Вирус! Майнер!

Загрузка ЦП 100%
Вот логи:
27.01.2021, 21:56
Info_bot

Уважаемый(ая) [B]EasyGame[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
27.01.2021, 23:29
Vvvyg

Удалите программы Web Companion и Кнопка "Яндекс" на панели задач.

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
DeleteService('PnkBstrA');
RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Web Companion','x64');
DeleteSchedulerTask('VKDJ');
DeleteSchedulerTask('АНДРЕЙ-ПК-[21509]');
DeleteSchedulerTask('MarketAdvior3');
DeleteSchedulerTask('MarketAdvior32');
DeleteFile('C:\Windows\DataUpdater.url','64');
ExecuteWizard('SCU',2,2,true);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].
28.01.2021, 20:48
EasyGame

Вложений: 1

Все сделано.
Вот новые логи:
28.01.2021, 21:34
Vvvyg

Скопируйте скрипт из окна "код" ниже в буфер обмена:
[CODE];uVS v4.11.3 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
deldir %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\MARKETADVIOR3\PYTHON
uidel C:\Users\Андрей\AppData\Roaming\MarketAdvior3\uninstall.exe
delref %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_2964_676120677\RESPONSE
delref %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_1688_1816523248\RESPONSE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.13\PSMACHINE.DLL
apply
restart[/CODE]Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Не видно майнера. Если проблема сохраняется, посмотрите в диспетчере задач, какой именно процесс потребляет больше всех.
28.01.2021, 23:22
EasyGame

Вложений: 1

Сделал.
Вот:
29.01.2021, 07:45
Vvvyg

Что с проблемой?
30.01.2021, 01:06
EasyGame

Проблема осталась.
30.01.2021, 12:18
Vvvyg

[QUOTE=Vvvyg;1517904]Если проблема сохраняется, посмотрите в диспетчере задач, какой именно процесс потребляет больше всех.[/QUOTE]

Писал выше.
31.01.2021, 22:59
EasyGame

Бездействие системы -примерно 40%
browser.exe-примерно 18%
audiodg.exe-примерно 15%
01.02.2021, 07:17
Vvvyg

Бездействие системы - это как раз то, что процессор не потребляет.
Браузер - кушает, на то он и браузер.
audiodg.exe - [URL="https://answers.microsoft.com/en-us/windows/forum/windows_10-hardware-winpc/audiodgexe-uses-way-to-much-cpu-uses-on-windows-10/a887c538-6571-4d3b-8088-f1ac40c4bf82"]бывает[/URL], с майнерами в Вашем случае не связано.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
01.02.2021, 18:24
EasyGame

Вложений: 2

Сделал:
01.02.2021, 21:44
Vvvyg

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
File: C:\ProgramData\upd7556844362.exe
File: C:\ProgramData\yandexBrowserDownloader.exe
File: C:\ProgramData\ycqljriqwo.js
File: C:\Users\Все пользователи\AV.js
2020-07-18 23:56 - 2020-07-20 15:24 - 000001206 _____ () C:\ProgramData\AV.js
2020-01-06 16:18 - 2020-07-20 12:00 - 002001048 _____ (Vkontakte.DJ ) C:\ProgramData\upd7556844362.exe
2020-07-18 18:34 - 2020-07-18 18:34 - 000187712 _____ () C:\ProgramData\yandexBrowserDownloader.exe
2020-07-18 18:29 - 2020-07-18 18:29 - 000004586 _____ () C:\ProgramData\ycqljriqwo.js
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File
IE trusted site: HKU\.DEFAULT\...\localhost -> localhost
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-3829478662-3850208920-3515195517-1000\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-3829478662-3850208920-3515195517-1000\...\webcompanion.com -> hxxp://webcompanion.com
MSCONFIG\startupreg: MarketAdvior3 => "C:\Users\Андрей\AppData\Roaming\MarketAdvior3\python\pythonw.exe" "load.pyc" ml2
FirewallRules: [{88F4BCAD-3404-4298-99BD-A9AD09EBB2BA}] => (Allow) C:\Users\Андрей\AppData\Local\Temp\DriverPack-20200630100112\tools\aria2c.exe => No File
FirewallRules: [TCP Query User{B4E69632-837F-45DA-BFCB-D0F1845B4E12}D:\users\андрей\appdata\local\crossout\launcher.exe] => (Allow) D:\users\андрей\appdata\local\crossout\launcher.exe => No File
FirewallRules: [UDP Query User{A5146400-DD5E-4718-9BA9-7309D9214098}D:\users\андрей\appdata\local\crossout\launcher.exe] => (Allow) D:\users\андрей\appdata\local\crossout\launcher.exe => No File
FirewallRules: [TCP Query User{4C9A24B8-9113-44C5-BCE2-2621AE2F5F61}D:\games\city car driving\bin\win32\starter.exe] => (Allow) D:\games\city car driving\bin\win32\starter.exe => No File
FirewallRules: [UDP Query User{3BE7B094-D3A1-4CDD-B7E3-2665BE3DCC98}D:\games\city car driving\bin\win32\starter.exe] => (Allow) D:\games\city car driving\bin\win32\starter.exe => No File
FirewallRules: [TCP Query User{07F3F8C0-BBBA-48F4-8F39-C05043A7420D}D:\games\grand theft auto san andreas\server\mta server.exe] => (Block) D:\games\grand theft auto san andreas\server\mta server.exe => No File
FirewallRules: [UDP Query User{FB1D85E6-BE4A-4D3F-BB03-D5C4E5DDBDC5}D:\games\grand theft auto san andreas\server\mta server.exe] => (Block) D:\games\grand theft auto san andreas\server\mta server.exe => No File
FirewallRules: [TCP Query User{B04251DA-3B16-40DA-9196-9B67ADD93355}D:\games\grand theft auto san andreas\proxy_sa.exe] => (Block) D:\games\grand theft auto san andreas\proxy_sa.exe => No File
FirewallRules: [UDP Query User{8273F741-CBA4-4356-BC81-252C9FA89F8E}D:\games\grand theft auto san andreas\proxy_sa.exe] => (Block) D:\games\grand theft auto san andreas\proxy_sa.exe => No File
Reg: reg delete "HKU\S-1-5-21-3829478662-3850208920-3515195517-1000\Software\Microsoft\Windows\CurrentVersion\Uninstall\MarketAdvior3" /f
EmptyTemp:
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Удалите Java 8 Update 45 (64-bit), это устаревшая версия со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите [URL="https://www.java.com/ru/download/"]текущий билд Java 8[/URL].
Учтите, что 64-bit версия Java нужна только для очень ограниченного круга приложений.

Деинсталлируйте программы:
Cisco EAP-FAST Module
Cisco LEAP Module
Cisco PEAP Module

Они, скорее всего, предустановленные и не нужны.

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.
02.02.2021, 21:05
EasyGame

Вложений: 2

Готово:
02.02.2021, 22:06
Vvvyg

Остатки нечисти (неактивной) и мусор почистили.

[QUOTE]WinRAR 5.00 (64-разрядная) v.5.00.0 [color=red][b]Внимание! [url=https://www.rarlab.com/download.htm]Скачать обновления[/url][/b][/color][/QUOTE]Архиваторы тоже используются в нехороших целях, обновите:
[URL="https://www.anti-malware.ru/news/2019-02-21-1447/28944"]Дыра в WinRAR более 19 лет угрожала 500 миллионам пользователей[/URL].
[URL="https://www.securitylab.ru/news/498365.php"]Уязвимость в WinRAR активно эксплуатируется злоумышленниками[/URL].

Рекомендуется обновить браузеры:[QUOTE]Yandex v.20.12.2.105 [color=red][b]Внимание! [url=https://download.cdn.yandex.net/browser/yandex/ru/Yandex.exe]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Дополнительно - О браузере Yandex!^[/b][/color]
MX5 v.5.3.8.2000 [color=red][b]Внимание! [url=http://www.maxthon.com/mx6/dl]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню О программе!^[/b][/color][/QUOTE]

Эти программы рекомендуется удалить, если обдуманно не устанавливали:[QUOTE]Кнопка "Яндекс" на панели задач v.2.2.1.54 [color=red][b]Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов.[/b][/color] Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 [color=red][b]Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов.[/b][/color] Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.[/QUOTE]
03.02.2021, 18:52
EasyGame

Сделал
03.02.2021, 21:33
Vvvyg

Всё на этом.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
03.02.2021, 22:54
EasyGame

Готово