Удаленный доступ вирус rutserv.exe

Доброго времени суток! В феврале обращался с похожей проблемой, тогда, как мне кажется все удалось исправить с вашей помощью. Сейчас каким-то образом восстановился у меня на компьютере удаленный доступ rutserv.exe, вместе с ним скорее всего и майнеры. Не дают получить доступ к антивирусным базам данным и сайтам. Стоит в автозагрузке С:\ProgramData\RealtekHD\taskhostw.exe, видимо он запускает всю цепочку событий, если удалить, то восстанавливается снова. В диспетчере задач висят (насколько могу понять) rutserv.exe, RealtekHD. Диспетчер задач ведет себя плохо: медленно открывается, не выводится в надлежащем виде и закрывается, когда захочет.
Еще не могу получить доступ к папкам, где засел вирус: С:\ProgramData\RealtekHD, С:\ProgramData\Windows, их не видно в проводнике, поэтому предполагаю, что как и в прошлый раз был создан дополнительный администратор с удаленным доступом.
(В прошлый раз была создана группа "администраторы", где был один пользователь 'john')

Уважаемый(ая) [B]trupsaveman[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте,

У Вас похоже майнер который блокируют доступ к антивирусным продуктам.

Cкачайте, распакуйте и запустите [B][URL="https://1drv.ms/u/s!Aguwh-yruJSWlHK-GXHLCIvZVv2K?e=UW0E1K"]AV block remover[/URL][/B] или сокращённо [B]AVbr[/B] - это утилита, предназначенная для удаления конкретного майнера, в том числе блокирующего установку антвирусного софта и доступ на сайты AV компаний и форумов с лечением. Может применяться и в других случаях при похожих способах блокировки антивирусов.

Симптомы этого майнера: Вирус не дает возможность скачать антивирус, блокирует сайты, закрывает диспетчер задач и gpedit.msc, закрывает браузер при попытке найти или скачать cureit и др. антивирусные утилиты, "пропал" установленный антивирус.
Кстати, помимо майнинга и блокировки антивирусов этот [B]вирус устанавливает RMS[/B]. [B][I]Так что ваши данные тоже могли быть похищены.[/I][/B]

[B]Для использования утилиты необходимо:[/B]
Скачать утилиту и распаковать её в любое удобное для вас место.
После распаковки временно отключить антивирус (если он у вас есть), в том числе отключить Windows Defender. Если боитесь отключать антивирус, чтобы не скачало ещё больше вирусов, то дополнительно временно отключитесь от интернета.
Запустить файл AVbr.exe

[B]В ходе работы утилиты[/B] рядом с этим файлом будет создана папка ..\AV_block_remover содержащая в том числе:
- AV_block_remove.log - лог работы утилиты.
- quarantine.zip - стандартный архив AVZ с карантином удалённых файлов.
- Backup - папка с резервной копией некоторых настроек, изменённых в ходе лечения.

[B]Утилита удаляет сам майнер и его производные.[/B]
Снимает запреты на установку антивирусного ПО. В том числе удаляет папки от антивирусов если они пустые, а если не пустые, то восстанавливает на них стандартные права доступа.
Восстанавливает службу теневого копирования.
Если пользователь согласится, то удаляет учётную запись "John", которую создаёт майнер и которая не видна в Управлении учётными записями.
В зависимости от выбора пользователя сбрасывает к состоянию по умолчанию файл Hosts или открывает его для редактирования вручную.
Так как после утилиты всё равно могут оставаться некоторые следы от вируса, либо система может быть параллельно заражена и другим вирусом, то после лечения этой утилиты настоятельно рекомендуется создать тему в разделе лечения. Например в "Помощь в удалении вредоносного ПО" выполнив правила оформления запроса.

Утилита представляет собой оболочку со скриптом для запуска антивирусной утилиты от Олега Зайцева - AVZ. По своему принципу работы аналогична AutoLogger-у. И, точно также как и он, автоматически каждый день пересобирается на сервере.


[B]После того как пролечитесь им соберите свежие логи по правилам.[/B]

Спасибо большое, что откликнулись!
Пролечил с помощью AVbr. RealtekHD пропал из автозагрузки, rutserv.exe пропал из диспетчера задач, папки, которые были созданы вирусом (на сколько я понял) были удалены. Файл hosts был сброшен до исходного состояния, пользователь John удален. Правда на страницу drWeb Cureit попасть все же не получается. Это все, что я смог зарегистрировать невооруженным взглядом.

Прикладываю логи из AutoLogger.

Сами прописывали?
[CODE]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [AutoConfigURL] = https://antizapret.prostovpn.org/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies: (default) = 0https://antizapret.prostovpn.org/proxy.pac
[/CODE]




HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[B]Важно[/B]: необходимо отметить и профиксить [B]только[/B] то, что указано ниже.
[CODE]
R3 - HKCU\..\URLSearchHooks: (no name) - {8dec4b69-27c4-405d-a37d-8d45c83f66ab} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor - {EA9155A3-8A39-40B4-8963-D3C761B18371} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyUpload - {EBF00FCB-0769-4B81-9BEC-6C05514111AA},4 - (no file)
O22 - Task: \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler - {5AA199A0-1CED-43A5-9B85-3226086738A3} - (no file)
O22 - Task: \Microsoft\Windows\SkyDrive\Idle Sync Maintenance Task - {BF6C1E47-86EC-4194-9CE5-13C15DCB2001},IdleSyncMaintenance - (no file)
O22 - Task: \Microsoft\Windows\SkyDrive\Routine Maintenance Task - {1B1F472E-3221-4826-97DB-2C2324D389AE},RoutineMaintenance - (no file)
[/CODE]

Файл [B]hosts не был сброшен[/B] до исходного состояния согласно предоставленным логам, мы его сбросим в фиксе AVZ.

AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\dmitry\appdata\local\browserupdphenix\browserupdphenix.exe', '');
QuarantineFile('C:\WINDOWS\system32\systray.exe', '');
QuarantineFile('C:\Users\dmitry\appdata\roaming\djvuapp\djvuapp.exe', '');
DeleteFile('C:\Users\dmitry\appdata\local\browserupdphenix\browserupdphenix.exe', '');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(13);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.


[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Malwarebytes)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt[/COLOR][/B] (где x - любая цифра).[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Да, я сам прописал эти строки:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [AutoConfigURL] = [url]https://antizapret.prostovpn.org/proxy.pac[/url]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies: (default) = 0https://antizapret.prostovpn.org/proxy.pac

Перед тем как выполнил скрипт в AVZ и после этого, заметил, что постоянно без повода выходит несколько окошек в одном, такого вида:
в шапке - Сжатые ZIP-папки
текст - Вставьте последний диск из многотомного набора и нажмите кнопку ОК.

Просто забыл об этом написать ранее, но это тоже появилось одновременно с майнерами.

Все сделал как вы написали.
Карантин отправил, лог AdwCleaner прикрепляю.

[url=https://virusinfo.info/showthread.php?t=218752&p=1480599&viewfull=1#post1480599]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Могли бы пожалуйста, мне отправить ссылку на ваши карантины в лс (личном сообщение).

Удалил всё ненужное, прикрепляю архив с логами из AdwCleaner.

Пожалуйста, ответьте на следующие вопросы: выше вы писали про раздел лечения (в частности, «Помощь в удалении вредоносного ПО»), я не смог найти этот раздел/форум на сайте, и поиск по сайту не выдал ответа, уточните пожалуйста, где нужно найти этот раздел.

Второе: вы попросили прислать ссылку на карантины, о каких карантинах идет речь — из AutoLogger или из Adwcleaner, или из обеих программ сразу, и как мне безопасно и правильно отправить карантины вам? Могу отправить ссылку на архив с карантином через гугл диск.

Третье: я хотел бы воспользоваться услугой Помогите+, чтобы оплатить услуги помощи и разбора, как обезопасить компьютер, однако из-за новых правил пользования Pay Pal там теперь не дают отправить с российского на российский счёт, и я хотел узнать про другие возможности оплаты. Писал по почте в поддержку, но мне не ответили, к сожалению.
Спасибо за ответ!

[QUOTE=trupsaveman;1519975]Удалил всё ненужное, прикрепляю архив с логами из AdwCleaner.
Пожалуйста, ответьте на следующие вопросы: выше вы писали про раздел лечения (в частности, «Помощь в удалении вредоносного ПО»), я не смог найти этот раздел/форум на сайте, и поиск по сайту не выдал ответа, уточните пожалуйста, где нужно найти этот раздел.
[/QUOTE]
Этот шаблон текста взят из другого форума (SZ), разработчика указаной утилиты.Вы можете проигнорировать это.

[QUOTE=trupsaveman;1519975]
Второе: вы попросили прислать ссылку на карантины, о каких карантинах идет речь — из AutoLogger или из Adwcleaner, или из обеих программ сразу, и как мне безопасно и правильно отправить карантины вам? Могу отправить ссылку на архив с карантином через гугл диск.
[/QUOTE]
К сожалению на текущий момент на форуме не работает функционал просмотра карантина, из-за этого не возможно проанализировать ваш карантин. По этой причине я вас попросил отправить в лс (личным сообщением) ссылку на карантин (можно временно и на гуг диск), я как скачаю, я вам сообщу и вы можете сразу его удалить.

[QUOTE=trupsaveman;1519975]
Третье: я хотел бы воспользоваться услугой Помогите+, чтобы оплатить услуги помощи и разбора, как обезопасить компьютер, однако из-за новых правил пользования Pay Pal там теперь не дают отправить с российского на российский счёт, и я хотел узнать про другие возможности оплаты. Писал по почте в поддержку, но мне не ответили, к сожалению.
Спасибо за ответ![/QUOTE]
К сожалению с этим вопросом я не помогу вам, попробуйте обратиться к администратору форума VI, через [URL="https://virusinfo.info/sendmessage.php"]обратную связь.[/URL]

Спасибо большое, что все разъяснили! Отправил вам ссылку на карантин в лс.

К сожалению гугле заблокировал указанный карантин, возможно необходимо указанный карантин еще раз заархивировать с другим паролем либо попробуйте добавить указанный карантин в следующее сообщение как вложение, я как скачаю удалю его. Спасибо.

К сожалению на форуме приложение отправить не могу, вышел лимит хранимых вложений, а как их удалить я не знаю, поэтому отправил вам ссылку на гугле в лс.

Спасибо, я удачно скачал, можете удалять.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.corovin.info/FRST_Icon.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"SigCheckExt"[/i].
[img]https://i.corovin.info/FRST.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]

Сделал как вы сказали, прикладываю архив с логами.

Удалите старые вложения Мой кабинет => Вложения

[LIST][*] Закройте и сохраните все открытые приложения.[*] Выделите следующий код::
[CODE]
Start::
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CloseProcesses:
File: C:\Windows\[email protected]
File: C:\Windows\SOINTGR.EXE
File: C:\WINDOWS\trayhook.dll
File: C:\Users\dmitry\appdata\roaming\djvuapp\djvuapp.exe
Zip: C:\Windows\[email protected]; C:\Windows\SOINTGR.EXE; C:\WINDOWS\trayhook.dll; C:\Users\dmitry\appdata\roaming\djvuapp\djvuapp.exe
Task: {07594B96-C07F-4AC2-A54F-612ACC0FA727} - \KMSAutoNet -> Нет файла <==== ВНИМАНИЕ
File: C:\Windows\AutoKMS\AutoKMS.exe
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof]
CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh]
CHR HKLM-x32\...\Chrome\Extension: [hjdkfkdkokphfploiiddakjokndinfgb]
CHR HKLM-x32\...\Chrome\Extension: [iepoegkaoeljnbhagabakjodgpfniimo]
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp]
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd]
File: C:\Program Files\Microsoft MPI\Bin\msmpilaunchsvc.exe
File: C:\Program Files (x86)\Windows Kits\10\Testing\Runtimes\TAEF\Wex.Services.exe
S2 DXSOFTIO; отсутствует ImagePath
Folder: C:\Program Files\RDP Wrapper
CMD: type C:\WINDOWS\QTSXXDRY.INI
CMD: type C:\Users\dmitry\AppData\Local\katesyntaxhighlightingrc
File: C:\WINDOWS\lsb_un20.exe
File: C:\WINDOWS\PE_Rom.dll
File: C:\WINDOWS\SECOH-QAD.dll
File: C:\WINDOWS\SECOH-QAD.exe
File: C:\WINDOWS\trayhook.dll
File: C:\WINDOWS\SysWOW64\CCNSMT.dll
File: C:\WINDOWS\system32\systray.exe
ContextMenuHandlers1: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} => -> Нет файла
ContextMenuHandlers2: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} => -> Нет файла
ContextMenuHandlers4: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} => -> Нет файла
ContextMenuHandlers1_S-1-5-21-3562957426-1703372050-3967501996-1001: [ kopenwpsshellext] -> {66A22D9E-7C6D-4641-BBD7-E6C738CF32B0} => -> Нет файла
ContextMenuHandlers4_S-1-5-21-3562957426-1703372050-3967501996-1001: [ kopenwpsshellext] -> {66A22D9E-7C6D-4641-BBD7-E6C738CF32B0} => -> Нет файла
Reboot:
End::
[/CODE][*] Скопируйте выделенный текст ([b]правой кнопкой - Копировать[/b]).[*] Запустите FRST/FRST64 (от имени администратора). [*] Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). . [*] Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

На рабочем столе образуется карантин вида [B]<date>.zip[/B] загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

Удалил старые вложения, спасибо, что объяснили как это сделать!

Сделал все как вы сказали, я так понимаю карантин отправлять не надо или сделать снова на облачный диск?
отправляю на всякий случай лог файл.

Еще хочу сказать что видел в логе из Autologger запущенный процесс C:\Users\dmitry\AppData\Local\Mail.Ru\mrkeeper.exe, он отображается как вирус в некоторых базах, да и от мэйла я ничего не использую, скорее всего вредоносное по. Подскажите пожалуйста каким образом его можно успешно удалить из системы?

[QUOTE=trupsaveman;1519987]
Еще хочу сказать что видел в логе из Autologger запущенный процесс C:\Users\dmitry\AppData\Local\Mail.Ru\mrkeeper.exe, он отображается как вирус в некоторых базах, [/QUOTE]
Не похож , чтобы он был вирусом, скорее [URL="https://www.virustotal.com/gui/file/854e884b92f0733a3dba4223c63331ea5d8a712ed09423c7b0338a453724a7ce/detection"]потенциально опасный файл[/URL], т.е. данный файл может отображать рекламу. Решать вам, если стоит удалить или нет.

В логах кроме активатора, ничего плохого нет.

Сообщите, что с проблемой?

Спасибо вам большое за помощь! Компьютер работает исправно, всё в порядке за исключением парочки угроз:
объект: Browserupdphenix.exe
путь: C:\Users\dmitry\AppData\Local\Browserupdphenix


объект: 2021-05-02_06-54_hosts.bak
путь: C:\Windows\System32\drivers\etc

нашёл их через dr.web, удалить их через него же?

Понимаю, что это вряд ли можно увидеть и как-то отследить по логам, но есть ли у вас предположение, почему это произошло? Что-то осталось на компьютере с прошлого заражения в феврале (тема есть на форуме) или это новая угроза, загруженная из интернета?

[QUOTE=trupsaveman;1519989]
объект: Browserupdphenix.exe
путь: C:\Users\dmitry\AppData\Local\Browserupdphenix


объект: 2021-05-02_06-54_hosts.bak
путь: C:\Windows\System32\drivers\etc
[/QUOTE]
можете удалить вручную.

[QUOTE=trupsaveman;1519989]
но есть ли у вас предположение, почему это произошло? Что-то осталось на компьютере с прошлого заражения в феврале (тема есть на форуме) или это новая угроза, загруженная из интернета?[/QUOTE]
Как возможный вариант они пришли с активатором. Обычно майнеры устанавливаются с пиратским ПО.


завершающие шаги:
1. Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите [URL="https://www.comss.ru/page.php?id=1813"]SecurityCheck by glax24 & Severnyj[/URL], сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [COLOR="#0000FF"]C:\SecurityCheck\SecurityCheck.txt[/COLOR]
Прикрепите этот файл к своему следующему сообщению.

Спасибо, сделал все по пунктам.

Посмотрел лог SecurityCheck, заметил там несколько вредоносных программ в разделе нежелательных, подскажите пожалуйста как с ними поступить?

Лог прикрепляю.