появляется майнер и вирусы при сканировании CURE IT [Trojan.Boot.DarkGalaxy.a]

Мда, трэш.
Сделайте новый полный образ автозапуска uVS.

Готово.
[url]https://my-files.ru/4dtvsw[/url]

На момент создания образа - только хвосты от майнера.

[url=http://virusinfo.info/showthread.php?t=130567]Удалите старый образ автозапуска из вложений[/url].

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
adddir %SystemRoot%\DEBUG
zoo %SystemRoot%\DEBUG\XMRSTAK_CUDA_BACKEND.DLL
addsgn BA653BBE5D22C5262FC4E23820EC0A85DF8BF3730BF81F78D69592E9185B446144723C1FB3EB9DA95E7ED3AE9D2780B2FE12179A05DAB02C2CACD02D34C5A96D 24 PUA:Win32/CoinMiner 7
addsgn 9252775A016AC1CC0B84454E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Win64.Miner.ide [Kaspersky] 7
addsgn 9252770A016AC1CC0B54454E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.Win64.Miner.ijc [Kaspersky] 7
addsgn 9AE0D208F282AB8B03D4BE7B0D778E3941C61D7F6E0413CEFB7BE21176F33C517B9494368CC974D41E78F556B4D29A37E64990203885E8CD26C07DF35A3637B8 8 Trojan.BtcMine.3106 [DrWeb] 7

chklst
delvir

delref %Sys32%\DRIVERS\00626451.SYS
delref %Sys32%\DRIVERS\52934237.SYS
delref %Sys32%\DRIVERS\93797981.SYS
delref %Sys32%\DRIVERS\96367593.SYS
delref MBAMSERVICE\[SERVICE]
delref %Sys32%\DRIVERS\ASWHDSKE.SYS
delref %Sys32%\DRIVERS\VBOXNETFLT.SYS
delref %Sys32%\DRIVERS\VDI1MZQW.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.8\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\AUTODESK\3DS MAX DESIGN 2014\3DSMAX.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.8\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\NOX\BIN\NOX.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\NOX\BIN\NOX_UNLOAD.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\HIDEGUARD VPN\UNINSTALLER.EXE
delref %SystemDrive%\UNIFIED_ANDROID_TOOLKIT\TOOLKIT.EXE
delref %SystemDrive%\UNIFIED_ANDROID_TOOLKIT\TOOLKITCLEAN.EXE
delref %SystemDrive%\PROGRAM FILES\THE BAT!\THEBAT.EXE
delref %SystemDrive%\PROGRAM FILES\ANDROID\ANDROID STUDIO1\BIN\STUDIO64.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\VCG\MESHLAB\MESHLAB.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\VCG\MESHLAB\UNINST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\VCG\MESHLAB\MESHLAB.URL
delref %SystemDrive%\PROGRAM FILES (X86)\PROXYFINDERENTERPRISE\PROXYFINDER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\PROXYFINDERENTERPRISE\UNINSTAL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TELEPORT PRO\SCHEDULER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TELEPORT PRO\PRO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TELEPORT PRO\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\SAMLAB.WS.URL
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\TOTALCMD.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\PLUGINS\EXE\TWEAKTC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\PLUGINS\EXE\DECRYPTC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\UUDS\UUDISCSSTUDIO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\DEVEJECT\REMOVEDRIVE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\PLUGINS\WFX\BADCOPY\NSCOPY\NSCOPY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\PASSWORDCRACKER\PWDCRACK.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\PLUGINS\WLX\AMPVIEW\AMPVIEW.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\STARTER\STARTER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\MYUNINSTALLER\MYUNINST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\DISKCLEANER\WISEDISKCLEANER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\REGCLEANER\WISEREGISTRYCLEANER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\USERGATE\USERGATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\USERGATE\UNINSTAL.EXE
deltmp
czoo
restart[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

выполнил
[URL]https://my-files.ru/9myrtq[/URL]
[COLOR=#333333][FONT=&quot]https://my-files.ru/dg8r84
[/FONT][/COLOR]
[COLOR=#333333][FONT=&quot][/FONT][/COLOR]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
FF NewTab: Mozilla\Firefox\Profiles\n1imj646.default -> hxxps://search.yahoo.com/yhs/web?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__hp_WCYID10420__180609__yaff
FF SearchPlugin: C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles\n1imj646.default\searchplugins\yahoo-lavasoft-ff59.xml [2018-06-09]
U0 aswVmm; no ImagePath
CMD: type C:\Windows\pools.txt
CMD: type C:\Windows\cpu.txt
CMD: type C:\Windows\config.txt
2018-12-12 14:25 - 2018-12-21 07:11 - 000000336 _____ C:\Windows\pools.txt
2018-12-12 14:25 - 2018-12-12 14:25 - 000002587 _____ C:\Windows\cpu.txt
2018-12-12 14:37 - 2018-12-21 10:13 - 000000081 _____ C:\Windows\system32\s
2018-12-12 14:37 - 2018-12-21 10:13 - 000000079 _____ C:\Windows\system32\ps
2018-12-12 14:37 - 2018-12-21 10:13 - 000000077 _____ C:\Windows\system32\p
Virustotal: C:\Windows\SysWOW64\Drivers\64.exe
2018-12-12 14:24 - 2018-12-19 16:48 - 015038553 _____ C:\Windows\SysWOW64\Drivers\64.exe
2018-12-21 07:11 - 2018-05-06 09:12 - 000000406 _____ C:\Windows\config.txt
2018-12-12 13:54 - 2018-09-01 14:32 - 000000000 ____D C:\ProgramData\Bitdefender
2017-11-27 14:32 - 2017-11-27 14:32 - 000213112 _____ () C:\Users\Андрей\AppData\Roaming\DMGR_1N1I1F1S1T1I0M1F1Q2Y1I1P1B0C1F1Q1P.txt
Task: {485ECABD-B74C-4915-BD41-ECA33956CB09} - \ok -> No File <==== ATTENTION
Task: {546E6989-A0A4-47F0-9EC6-79F6ACCB044B} - \Mysa -> No File <==== ATTENTION
Task: {67A96AD8-3446-4C85-AEF3-EAA749CEDA4C} - \Mysa2 -> No File <==== ATTENTION
Task: {71FF8DB6-6C52-471A-AD16-C2815E8F7116} - \Mysa1 -> No File <==== ATTENTION
Task: {8DB7DCE1-0892-4879-8532-951303C11AD3} - \Mysa3 -> No File <==== ATTENTION
FirewallRules: [{EC9702A7-14D4-4A4A-8BB2-24A59B574D3E}] => (Block) LPort=445
FirewallRules: [{608B6E86-F408-418A-BAE5-F96C2598ACB8}] => (Block) LPort=139
Tcpip\..\Interfaces\{8C66E564-1429-4471-AE54-F1119E26071D}: [NameServer] 46.166.179.52 46.166.179.53
Tcpip\..\Interfaces\{8C66E564-1429-4471-AE54-F1119E26071D}: [DhcpNameServer] 46.166.179.52 46.166.179.53
CMD: ipconfig /flushdns
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U],
Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой, подробно, по возможности.

сделал.

[QUOTE=Vvvyg;1493948]Сообщите, что с проблемой, подробно, по возможности.[/QUOTE]
Жду комментариев, по последним двум логам были только хвосты от троянов/майнеров.

вроде все тихо. cure it находит только хвосты в темпори интернет файлах, благополучно удалил. tnx
загрузка системы очень быстрая

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.

Выполнил.

[QUOTE][color=red][b]Контроль учётных записей пользователя [b]отключен[/b] (Уровень 1)[/b][/color]
[color=blue][b]^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^[/b][/color]
[color=red][b]Автоматическое обновление отключено[/b][/color][/QUOTE]С учётом того, что зловреды активно используют уязвимости системы, хотя бы критические патчи нужно своевременно устанавливать:[QUOTE]------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3115858]Скачать обновления[/url][/b][/color]
HotFix KB3140735 [color=red][b]Внимание! [url=https://docs.microsoft.com/en-us/security-updates/securitybulletins/2016/ms16-026]Скачать обновления[/url][/b][/color]
HotFix KB3138910 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3138910]Скачать обновления[/url][/b][/color]
HotFix KB3138962 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3138962]Скачать обновления[/url][/b][/color]
HotFix KB3145739 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3145739]Скачать обновления[/url][/b][/color]
HotFix KB3146963 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3146963]Скачать обновления[/url][/b][/color]
HotFix KB3156013 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3156013]Скачать обновления[/url][/b][/color]
HotFix KB3156016 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3156016]Скачать обновления[/url][/b][/color]
HotFix KB3155178 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3155178]Скачать обновления[/url][/b][/color]
HotFix KB3153171 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3153171]Скачать обновления[/url][/b][/color]
HotFix KB3170455 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3170455]Скачать обновления[/url][/b][/color]
HotFix KB3178034 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3178034]Скачать обновления[/url][/b][/color]
HotFix KB3185911 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3185911]Скачать обновления[/url][/b][/color]
HotFix KB3184122 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3184122]Скачать обновления[/url][/b][/color]
HotFix KB3192391 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3192391]Скачать обновления[/url][/b][/color]
HotFix KB3197867 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3197867]Скачать обновления[/url][/b][/color]
HotFix KB3205394 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3205394]Скачать обновления[/url][/b][/color]
HotFix KB4019263 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4019263]Скачать обновления[/url][/b][/color]
HotFix KB4022722 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4022722]Скачать обновления[/url][/b][/color]
HotFix KB4015546 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4015546]Скачать обновления[/url][/b][/color]
HotFix KB4025337 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4025337]Скачать обновления[/url][/b][/color]
HotFix KB4034679 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4034679]Скачать обновления[/url][/b][/color]
HotFix KB4041678 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4041678]Скачать обновления[/url][/b][/color]
HotFix KB4056894 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056894]Скачать обновления[/url][/b][/color]
HotFix KB4056897 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897]Скачать обновления[/url][/b][/color]
HotFix KB4074587 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4074587]Скачать обновления[/url][/b][/color]
HotFix KB4103712 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4103712]Скачать обновления[/url][/b][/color]
HotFix KB4343899 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4343899]Скачать обновления[/url][/b][/color]
HotFix KB4457145 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4457145]Скачать обновления[/url][/b][/color]
HotFix KB4462923 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4462923]Скачать обновления[/url][/b][/color]
HotFix KB4471318 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4471318]Скачать обновления[/url][/b][/color][/QUOTE]Обновите Java:[QUOTE]Java SE Development Kit 7 Update 79 (64-bit) v.1.7.0.790 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее, скачать и установить [b][url=http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html]Java SDK 8[/url] (jdk-8u192-windows-x64.exe)[/b].
Java 8 Update 181 v.8.0.1810.13 [color=red][b]Внимание! [url=http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию и установите новую (jre-8u192-windows-i586.exe)^[/b][/color][/QUOTE]И FF:[QUOTE]Mozilla Firefox 61.0.2 (x64 ru) v.61.0.2 [color=red][b]Внимание! [url=https://www.mozilla.org/ru/firefox/all/]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Справка - О Firefox!^[/b][/color][/QUOTE]И на этом всё.

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]2[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]9[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] \tdsskiller_quarantine\18.12.2018_09.46.00\mbr0000\mbr0000\ts=
k0000.dta - [B]Trojan.Boot.DarkGalaxy.a[/B][*] \tdsskiller_quarantine\18.12.2018_09.46.00\mbr0000\mbr0000\ts=
k0001.dta - [B]Trojan.Boot.DarkGalaxy.a[/B][*] \tdsskiller_quarantine\19.12.2018_16.55.06\mbr0000\mbr0000\ts=
k0000.dta - [B]Trojan.Boot.DarkGalaxy.a[/B][*] \tdsskiller_quarantine\19.12.2018_16.55.06\mbr0000\mbr0000\ts=
k0001.dta - [B]Trojan.Boot.DarkGalaxy.a[/B][/LIST][/LIST]