последствия майнера

Как вариант - с лечащего диска пролечиться, есть шанс, что увидится руткит.
[URL="https://www.kaspersky.ru/downloads/thank-you/free-rescue-disk"]Kaspersky Rescue Disk[/URL]
[URL="https://free.drweb.ru/livedisk/how_it_works"]Dr.Web LiveDisk[/URL]

Добрый день! Я грузился с DrWeb, безрезультатно. Сейчас попробую еще раз.

DrWeb LiveCD запустился с ошибкой. При сканировании ничего не нашел. Сейчас попробую Касперского.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Просканировал krd. Нашел 5 троянов, пока не удалял. Вот лог.

Удаляйте всё, но это, скорее всего, не то, с чем боремся.

Давайте такую процедуру сделаем.
Скачайте архив с программой [URL="https://www.ventoy.net/en/index.html"]Ventoy[/URL], распакуйте архив полностью.
Подготовьте свободную флэшку размером от 4 Гб, [B]всё её содержимое будет стёрто[/B].
Запустите программу Ventoy2Disk.exe, выберите нужное устройство и нажмите Установить/Install.

Скачайте образ [URL="https://www.hirensbootcd.org/files/HBCD_PE_x64.iso"]Hiren’s BootCD PE x64[/URL] и скопируйте в корень флэшки с Ventoy.

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL], распакуйте на загрузочную флэшку с Ventoy, загрузитесь с неё, выбрав образ HBCD_PE_x64.iso в меню.
Запустите файл start.exe, пункт "Выберите каталог Windows (выбрана активная система)", укажите папку Windows на системном разделе. Далее в главном меню программы выбираете пункт: Файл -> Cохранить полный образ автозапуска. Лог сохраните в удобной для Вас папке. Если образ автоматически был упакован в архив 7z, то дополнительно упаковывать и перепаковывать не надо, если же у Вас получился обычный текстовый файл, добавьте его в архив RARили 7-zip и прикрепите к сообщению, или загрузите в доступное облачное хранилище/файлообменник без капчи и дайте ссылку.

Добрый день! Вот ссылка [url]https://files.fm/f/deyb6kyz3[/url]

Добрый день! Вот ссылка! [url]https://files.fm/f/deyb6kyz3[/url]

Давайте так попробуем.

Скачайте архив с программой [URL="https://www.ventoy.net/en/index.html"]Ventoy[/URL], распакуйте архив полностью.
Подготовьте свободную флэшку размером от 4 Гб, [B]всё её содержимое будет стёрто[/B].
Запустите программу Ventoy2Disk.exe, выберите нужное устройство и нажмите Установить/Install.

Скачайте образ [URL="https://www.hirensbootcd.org/files/HBCD_PE_x64.iso"]Hiren’s BootCD PE x64[/URL] и скопируйте в корень флэшки с Ventoy.

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL], распакуйте на загрузочную флэшку с Ventoy, загрузитесь с неё, выбрав образ HBCD_PE_x64.iso в меню.

Запустите файл start.exe из папки Support, пункт "Выберите каталог Windows (выбрана активная система)", укажите папку Windows на системном разделе. Далее в главном меню программы выбираете пункт: Файл -> Cохранить полный образ автозапуска. Лог сохраните в удобной для Вас папке. Если образ автоматически был упакован в архив 7z, то дополнительно упаковывать и перепаковывать не надо, если же у Вас получился обычный текстовый файл, добавьте его в архив RARили 7-zip и прикрепите к сообщению, или загрузите в доступное облачное хранилище/файлообменник без капчи и дайте ссылку.

[url]https://www.sendspace.com/file/oojr62[/url]

Загрузитесь с Hiren’s BootCD с флэшки, так же, как и в тот раз, запустите start.exe из папки Support, пункт "Выберите каталог Windows" с системой на HDD, в главном меню программы - Скрипты -> выполнить скрипт из файла (сохраните в текстовый файл и поместите в папку с UVS заранее):[CODE];uVS v4.11.10 [http://dsrt.dyndns.org:8888]
;Target OS: NTv0.0
v400c
delref %Sys32%\VSJITDEBUGGER.EXE
delref %SystemDrive%\USERS\VVV\APPDATA\LOCAL\YANDEX\UPDATER\YUPDATE-CTRL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.92\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.102\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.92\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.102\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
dirzoo %SystemDrive%\ProgramData\FileOpen
dirzoo %SystemDrive%\ProgramData\cm-lock
deldir %SystemDrive%\ProgramData\FileOpen
deldir %SystemDrive%\ProgramData\cm-lock
deltmp
apply
czoo[/CODE]В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл на файлообменник и дайте ссылку [B]в личном сообщении[/B].

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Добрый день!
Выскакивает ошибка: Текст скрипта содержит ошибки, либо не содержит команд uvs, выполнение таких скриптов запрещено".
Запускаю Проверка скрипта.. выдает Неизвестная команда в строке 1
Что делаю не так?

Нет ошибок в скрипте. Сохраните из вложения.
[ATTACH=CONFIG]685949[/ATTACH]

Скрипт прошел, а вот ZOO_ не создался.. есть папка ZOO, но она пустая.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Спасибо! DrWeb установился.

Лог выполнения скрипта приложите.

И, для контроля, сделайте новый лог FRST.

Добрый день! Лог ZOO_ почему то не сформировался, а FRST вот.

Лог выполнения скрипта -текстовый файл с именем из даты и времени выполнения в папке с UVS.

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
Unlock: C:\ProgramData\Discord
Folder: C:\ProgramData\Discord
FirewallRules: [{1CE43237-CFDD-4C77-9799-FCE889F1BC9E}] => (Block) C:\users\vvv\appdata\local\ntwebservcspinteraction\ntwebservcspinteraction.exe => Нет файла
FirewallRules: [{82D90313-53EC-4712-B1E8-ADC2BF55F8AD}] => (Block) C:\users\vvv\appdata\local\ntwebservcspinteraction\ntwebservcspinteraction.exe => Нет файла
AdShield 1.0.0.1 (HKLM-x32\...\{df2155a9-d3aa-4685-a99b-161473cc0132}) (Version: 1.0.0.1 - Limbo Solutions) Hidden
FirewallRules: [{DBF4C3BF-1AEB-4E1C-B69A-BBB91C56E1A0}] => (Allow) C:\Users\vvv\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{83297902-669B-4EE9-AC39-57272D8B42EC}] => (Allow) C:\Users\vvv\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Удалите приложение AdShield 1.0.0.1, если штатно не выйдет - с помощью [URL="https://geekuninstaller.com/ru/download"]Geek Uninstaller Free[/URL].

Сообщите, что с проблемами.

DrWeb установился, спасибо! Вроде все в порядке!

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

AdShield 1.0.0.1 удалил с помощью Geek Uninstaller Free

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Спасибо огромное!

Последний Fixlog.txt бы ещё увидеть.

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.

Есть.

[QUOTE]------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3177467]Скачать обновления[/url][/b][/color]
HotFix KB4012212 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212]Скачать обновления[/url][/b][/color]
HotFix KB4499175 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175]Скачать обновления[/url][/b][/color]
HotFix KB4539602 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4539602]Скачать обновления[/url][/b][/color][/QUOTE]
Устанавливайте, это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в 2017 году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами и троянами.
Вообще, с учётом того, что расширенная поддержка 7-ки закончилась 14.01.2020, систему крайне желательно обновить по полной, через автоматическое обновление, а лучше - с помощью [URL="https://blog.simplix.info/update7/"]Набора обновлений UpdatePack7R2 для Windows 7 SP1 и Server 2008 R2 SP1[/URL] - там есть критический патч от уязвимости [URL="https://www.anti-malware.ru/news/2020-09-24-1447/33759"]Zerologon[/URL], который через автоматическое обновление для Windows 7 не распространяется.

[QUOTE]Microsoft Office профессиональный плюс 2010 v.14.0.7015.1000 [color=red][b]Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до [url=https://products.office.com/ru-ru/]последней версии[/url] или используйте [url=https://products.office.com/ru-RU/office-online/]Office Online[/url] или [url=https://ru.libreoffice.org/download/]LibreOffice[/url][/b][/color][/QUOTE]Устаревшие версии MS Office имеют незакрытые критические уязвимости.

[QUOTE]VMware Workstation v.12.5.2 [color=red][b]Внимание! [url=https://download3.vmware.com/software/wkst/file/VMware-workstation-full-16.1.1-17801498.exe]Скачать обновления[/url][/b][/color]
Microsoft .NET Framework 4.8 v.4.8.03761 [color=red][b]Внимание! [url=https://dotnet.microsoft.com/download/dotnet-framework/net48]Скачать обновления[/url][/b][/color]
Foxit Reader v.6.2.1.618 [color=red][b]Внимание! [url=https://www.foxitsoftware.com/ru/pdf-reader/]Скачать обновления[/url][/b][/color]
[color=blue][b]^Локализованные версии могут обновляться позже англоязычных!^[/b][/color]
Notepad++ v.7 [color=red][b]Внимание! [url=https://notepad-plus-plus.org/downloads/]Скачать обновления[/url][/b][/color]
TeamViewer v.15.19.5 [b][+][/b]
Ghostscript GPL 8.64 (Msi Setup) v.8.64 [color=red][b]Внимание! [url=https://ghostscript.com/download/gsdnld.html]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию, скачайте и установите новую.^[/b][/color][/QUOTE]Это всё тоже по возможности обновить.

[QUOTE]Java 7 Update 80 (64-bit) v.7.0.800 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее, скачать и установить [b][url=https://java.com/download/manual.jsp]Java SE 8[/url] (jre-8u291-windows-x64.exe)[/b].
Java 7 Update 21 v.7.0.210 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее, скачать и установить [b][url=https://java.com/download/manual.jsp]Java SE 8[/url] (jre-8u291-windows-i586.exe)[/b].[/QUOTE]А Java обновить до 8-й версии обязательно, или удалить совсем, если не нужна.

Flash Player удалите обязательно:[QUOTE]Adobe Flash Player 23 ActiveX v.23.0.0.207 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее.
Adobe Flash Player 19 NPAPI v.19.0.0.207 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее.[/QUOTE]

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

И на этом всё.