Вирус-майнер

Здравствуйте.
Поймал вирус с торрентов. В простое грузит видеокарту и процессор, закрывает диспетчер задач, не дает установить никакие антивирусы, не заходит на антивирусные, антимайнерские сайты. Скачивал на др. компе, переносил. Но ничего не запускается, сразу сворачивает, ни avbr ни anvir, ничего не дает запустить. Помогите!

Уважаемый(ая) [B]fissmu[/B], спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Autologger не сканирует до конца, пишет сейчас откроется explorer и google hrome и дождитесь окончания сканирования, и после того как браузеры открываются autologger закрывается

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].
Если будут проблемы - запустите иммунный стартер программы - StartF.exe.

Образ автозапуска

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
delref %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\WEB COMPANION\APPLICATION\WEBCOMPANION.EXE
zoo %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AUDIODG.EXE
addsgn 1A6E769A552B1E3B8236EFE32D4360156C0186D675489FF2838B3A7AD8D139B3E4ACC1573E559D9B5E870E890EE98FEAAFAC0C7287AFB7A63B3F5BE9D7D4512D 8 Trojan.Miner.83 [DrWeb] 7

zoo %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOST.EXE
zoo %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
zoo %SystemDrive%\PROGRAMDATA\WINDOWSTASK\MICROSOFTHOST.EXE
addsgn BA6F9BB2BD5149720B9C2D754C2160FBDA75303A4536D3B4490F09709C1ABD80EFDBA531314A19492B80849F0E95A5EA3156FC561953EC08253A97F48B8B7657 15 Trojan:Win64/DisguisedXMRigMiner [MS] 7

chklst
delvir
deldir %SystemDrive%\PROGRAMDATA\REALTEKHD
deldir %SystemDrive%\PROGRAMDATA\WINDOWSTASK
regt 14
regt 18
regt 35
deltmp
delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2107.4-0\DRIVERS\WDNISDRV.SYS
delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.112\PSUSER_64.DLL
delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.122\PSUSER_64.DLL
delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\19.043.0304.0013\AMD64\FILESYNCSHELL64.DLL
delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.72\PSUSER_64.DLL
delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.82\PSUSER_64.DLL
delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.102\PSUSER_64.DLL
delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.92\PSUSER_64.DLL
delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\19.043.0304.0013\FILECOAUTH.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\PROTON TECHNOLOGIES\PROTONVPN\PROTONVPN.EXE
delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.112\PSUSER.DLL
delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.122\PSUSER.DLL
delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\19.043.0304.0013\FILESYNCSHELL.DLL
delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.72\PSUSER.DLL
delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.82\PSUSER.DLL
delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.102\PSUSER.DLL
delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.92\PSUSER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.155.77\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.45\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.163.19\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.147.37\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.155.85\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.161.35\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.57\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.47\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.151.27\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.53\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.157.61\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.55\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.155.77\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.45\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.163.19\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.147.37\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.155.85\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.161.35\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.57\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.47\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.151.27\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.53\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.157.61\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.55\PSMACHINE.DLL
delref F:\AUTORUN.EXE
apply
czoo
restart[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению (лучше в архиве).

Скачайте, распакуйте и запустите [URL="https://inlnk.ru/jElB6a"]утилиту AV block remove[/URL], следуйте инструкциям. Если не запустится - переименуйте файл.
Файл [B]AV_block_remove_дата_время.log[/B] из папки с программы прикрепите к своему сообщению.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B].

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Файл ZOO_ и далее из даты и времени, который нужно отправить по ссылке "Прислать запрошенный карантин" пишет - 413 Слишком большой объект запроса (98мб занимает)

После этих манипуляций вирус кажется исчез. Нагрузки нет, все запускается и открывается.

Осталось хвосты подчистить.

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
HKLM\...\Policies\Explorer: [DisallowRun] 0
HKLM\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-19\...\Policies\Explorer: [DisallowRun] 0
HKU\S-1-5-19\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-20\...\Policies\Explorer: [DisallowRun] 0
HKU\S-1-5-20\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-80-1180019008-2476346203-4072294894-2657129563-270315261\...\Policies\Explorer: [DisallowRun] 0
HKU\S-1-5-80-1180019008-2476346203-4072294894-2657129563-270315261\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-80-1239720762-752690759-3925780826-3975737876-324250879\...\Policies\Explorer: [DisallowRun] 0
HKU\S-1-5-80-1239720762-752690759-3925780826-3975737876-324250879\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-80-903016920-208176211-2966240881-887067165-973456658\...\Policies\Explorer: [DisallowRun] 0
HKU\S-1-5-80-903016920-208176211-2966240881-887067165-973456658\...\Policies\Explorer: [RestrictRun] 0
2022-07-22 21:29 - 2022-07-22 21:29 - 000000000 __SHD C:\ProgramData\FingerPrint
2022-07-22 21:29 - 2022-07-22 21:29 - 000000000 __SHD C:\Program Files (x86)\Transmission
2022-07-22 21:29 - 2022-07-22 21:29 - 000000000 ____D C:\Users\fissm\AppData\Roaming\RMS_settings
2022-07-22 21:29 - 2022-07-22 21:29 - 000000000 ____D C:\Program Files (x86)\IObit
2022-07-22 21:28 - 2022-07-22 21:28 - 000000000 ___HD C:\Users\John
2022-07-20 00:52 - 2022-07-26 18:15 - 000003317 _____ C:\Windows\system32\Drivers\etc\hosts.tmp
IE trusted site: HKU\S-1-5-21-335594158-3590791-123307318-1001\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-335594158-3590791-123307318-1001\...\webcompanion.com -> hxxp://webcompanion.com
FirewallRules: [{1E9C7443-2C46-4F40-BCB1-F42F9214F8D0}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{03E47FF7-D5E2-4338-B4D2-D79A310BD610}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{ABA6692F-838F-4C57-8928-F66E73CEDCFE}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{755D8E01-289C-4D6C-8D63-E9BA469C1AF9}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{DAE6DE07-1129-4822-95CD-8AE90BE69A51}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{D2BBDE3D-12BD-4DA0-AA13-4BDDB9982994}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
StartBatch:
del /s /q "%userprofile%\AppData\Local\temp\*.*"
ipconfig /flushdns
sfc /scannow
endbatch:
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[QUOTE=fissmu;1525203]Файл ZOO_ и далее из даты и времени, который нужно отправить по ссылке "Прислать запрошенный карантин" пишет - 413 Слишком большой объект запроса (98мб занимает)[/QUOTE]
Загрузите на файлообменник или облако и дайте ссылку в [B]личном сообщении[/B].

Fixlog

Порядок, завершаем.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Сделал, удалился FRST.
Спасибо Вам огромное!