Возможно заражение

Printable View

31.12.2021, 12:30
kredby

Вложений: 3

Возможно заражение

Здравствуйте!

С недавних пор компьютер стал сильно тормозить. При входе в систему даже Диспетчер задач не открывается. Прошу помощи.
31.12.2021, 12:32
Info_bot

Уважаемый(ая) [B]kredby[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
01.01.2022, 13:23
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\windows\dllhost.exe');
StopService('WinService');
DeleteFile('c:\windows\dllhost.exe', '');
DeleteFile('C:\WINDOWS\dllhost.exe', '64');
DeleteService('WinService');
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

Скачайте, распакуйте и запустите [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]>>> "C:\Users\pro10\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk" -> ["C:\Users\pro10\AppData\Local\Microsoft\OneDrive\OneDrive.exe"][/CODE]Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O9-32 - Button: HKLM\..\{2670000A-7350-4f3c-8081-5663EE0C6C49}: (no name) - (no file)
O9-32 - Button: HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}: (no name) - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task: (damaged) C:\WINDOWS\System32\Tasks\McAfee (empty)[/code]

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B].

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
02.01.2022, 14:25
kredby

Вложений: 2

Сделал
02.01.2022, 16:24
Vvvyg

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
HKU\S-1-5-21-423743799-326981403-2983739722-1001\...\MountPoints2: {6a5b5cfb-2be8-11ea-bb66-e0d55e43c26e} - "H:\Setup.exe"
HKU\S-1-5-21-423743799-326981403-2983739722-1001\...\MountPoints2: {9589d389-2e3b-11ea-bb6e-e0d55e43c26e} - "H:\setup.exe"
HKU\S-1-5-21-423743799-326981403-2983739722-1001\...\MountPoints2: {9589d3bd-2e3b-11ea-bb6e-e0d55e43c26e} - "I:\autorun.exe"
CHR DefaultSearchKeyword: Default -> mcafee
CHR Profile: C:\Users\pro10\AppData\Local\Google\Chrome\User Data\Default--enable-features=PasswordImport [2021-09-12] <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-423743799-326981403-2983739722-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd]
Folder: C:\WINDOWS\data
2021-12-23 22:03 - 2021-12-23 22:03 - 000000110 _____ C:\WINDOWS\gpu_name.txt
CustomCLSID: HKU\S-1-5-21-423743799-326981403-2983739722-1001_Classes\CLSID\{8B480070-D37D-4090-A063-7A429F849652}\InprocServer32 -> C:\Users\pro10\AppData\Local\Google\Update\1.3.36.92\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-423743799-326981403-2983739722-1001_Classes\CLSID\{BE5C2E39-090F-46A2-AFAA-47540743B4FE}\InprocServer32 -> C:\Users\pro10\AppData\Local\Google\Update\1.3.36.102\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-423743799-326981403-2983739722-1001_Classes\CLSID\{CA8FA699-91CD-412F-9D13-9B1222F4370E}\InprocServer32 -> C:\Users\pro10\AppData\Local\Google\Update\1.3.36.82\psuser_64.dll => Нет файла
AlternateDataStreams: C:\Users\pro10\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
FirewallRules: [UDP Query User{9096758E-C22A-4421-8EC3-B2964171576B}D:\games\counter-strike source\7launcher\tools\aria2\aria2c.exe] => (Allow) D:\games\counter-strike source\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [TCP Query User{2152FD86-A54D-4119-B7A8-4008A36DB116}D:\games\counter-strike source\7launcher\tools\aria2\aria2c.exe] => (Allow) D:\games\counter-strike source\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [UDP Query User{9CBBD1FA-FD70-4E70-9D85-3FE727D6219E}D:\games\counter-strike source\hl2.exe] => (Allow) D:\games\counter-strike source\hl2.exe => Нет файла
FirewallRules: [TCP Query User{A6DC9CF5-1C0E-4D89-9A43-DB21943A3390}D:\games\counter-strike source\hl2.exe] => (Allow) D:\games\counter-strike source\hl2.exe => Нет файла
FirewallRules: [{437B83E2-3F6F-4713-9E23-02A0E2052660}] => (Allow) C:\Users\pro10\AppData\Local\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{D9F0FE9C-FC83-4E39-B71B-16D535E452D9}] => (Allow) C:\Users\pro10\AppData\Local\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [TCP Query User{8C856234-2C91-4262-B80E-BA7C959857E6}D:\games (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe] => (Block) D:\games (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{071B6D78-9B8B-4825-8142-E24BFF8721D2}D:\games (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe] => (Block) D:\games (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{51BFFDC0-AD28-401D-950F-404CD911BE7A}D:\games\counter-strike source\v34\hl2.exe] => (Allow) D:\games\counter-strike source\v34\hl2.exe => Нет файла
FirewallRules: [UDP Query User{64F6AF76-A7AE-4B36-8EDD-F973FBBD8019}D:\games\counter-strike source\v34\hl2.exe] => (Allow) D:\games\counter-strike source\v34\hl2.exe => Нет файла
FirewallRules: [TCP Query User{24B8BCFD-2FFC-4A7E-BEE6-88C3FC1E3F7E}D:\games\call of duty - world at war\codwaw.exe] => (Allow) D:\games\call of duty - world at war\codwaw.exe => Нет файла
FirewallRules: [UDP Query User{84AF7C4B-FDC9-4B6B-A7CE-07E5B263EE39}D:\games\call of duty - world at war\codwaw.exe] => (Allow) D:\games\call of duty - world at war\codwaw.exe => Нет файла
FirewallRules: [TCP Query User{973F2532-FDF4-4893-BD7C-8D67893FB239}G:\games\r.g. catalyst\max payne 3\maxpayne3.exe] => (Allow) G:\games\r.g. catalyst\max payne 3\maxpayne3.exe => Нет файла
FirewallRules: [UDP Query User{A4AF17F6-07D3-4A5D-9FC2-DBB61AF11164}G:\games\r.g. catalyst\max payne 3\maxpayne3.exe] => (Allow) G:\games\r.g. catalyst\max payne 3\maxpayne3.exe => Нет файла
FirewallRules: [TCP Query User{3AD279EF-21C5-48A7-962F-EBA4B71E2994}D:\games\max payne 3\maxpayne3.exe] => (Allow) D:\games\max payne 3\maxpayne3.exe => Нет файла
FirewallRules: [UDP Query User{B59F32D4-B179-4DD8-9123-001FF9BEBC36}D:\games\max payne 3\maxpayne3.exe] => (Allow) D:\games\max payne 3\maxpayne3.exe => Нет файла
FirewallRules: [TCP Query User{9CE7B201-BE56-4476-9604-CC19540360E7}D:\gta vice city - definitive edition\gameface\binaries\win64\vicecity.exe] => (Allow) D:\gta vice city - definitive edition\gameface\binaries\win64\vicecity.exe => Нет файла
FirewallRules: [UDP Query User{BFB66490-FB46-4658-966E-430E96273104}D:\gta vice city - definitive edition\gameface\binaries\win64\vicecity.exe] => (Allow) D:\gta vice city - definitive edition\gameface\binaries\win64\vicecity.exe => Нет файла
FirewallRules: [TCP Query User{DF91C3C3-6763-4BA1-9BFF-0AAF9212C06E}D:\gta san andreas - definitive edition\gameface\binaries\win64\sanandreas.exe] => (Allow) D:\gta san andreas - definitive edition\gameface\binaries\win64\sanandreas.exe => Нет файла
FirewallRules: [UDP Query User{604D63A5-7C2B-43BA-81E6-75FC6DBCEFF0}D:\gta san andreas - definitive edition\gameface\binaries\win64\sanandreas.exe] => (Allow) D:\gta san andreas - definitive edition\gameface\binaries\win64\sanandreas.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.
02.01.2022, 17:10
kredby

Вложений: 1

Сделал
02.01.2022, 22:48
Vvvyg

Дочистим майнеры.

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
Virustotal: C:\WINDOWS\data\ApiWinDriver.exe
File: C:\WINDOWS\data\ApiWinDriver.exe
2021-12-27 17:01 - 2022-01-02 13:52 - 000000013 _____ C:\WINDOWS\AutoCloseExe.txt
2021-12-23 22:40 - 2021-12-23 22:45 - 000000000 ____D C:\WINDOWS\data
Folder: C:\Users\pro10\AppData\Roaming\Windows
2021-12-23 22:03 - 2021-12-23 22:03 - 000000000 ____D C:\Users\pro10\AppData\Roaming\Windows
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
03.01.2022, 04:20
kredby

Вложений: 1

Сделал
03.01.2022, 11:58
Vvvyg

Проблема решена, как я понимаю?

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.