появляется майнер и вирусы при сканировании CURE IT [Trojan.Boot.DarkGalaxy.a]

Добрый день, уважаемое сообщество.
Прошу помощи, никак не выводится зловред, антивирус не видит, Cure IT лечит, но после перезагрузки все заново.

Уважаемый(ая) [B]Stand[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('c:\windows\temp\conhost.exe');
QuarantineFile('C:\Windows\debug\item.dat', '');
QuarantineFile('c:\windows\debug\ok.dat', '');
QuarantineFile('C:\Windows\help\lsmosee.exe', '');
QuarantineFile('c:\windows\temp\conhost.exe', '');
DeleteFile('C:\Windows\debug\item.dat', '');
DeleteFile('c:\windows\debug\ok.dat', '');
DeleteFile('C:\Windows\help\lsmosee.exe', '');
DeleteFile('c:\windows\temp\conhost.exe', '');
ExecuteFile('schtasks.exe', '/delete /TN "Mysa" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Mysa1" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Mysa2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Mysa3" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "ok" /F', 0, 15000, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте и запустите TDSSKiller: [url]http://support.kaspersky.ru/viruses/disinfection/5350[/url].
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.

Карантин приложил, дважды, но выкинуло ошибку.

Буткит должен быть удалён.

Сделайте новый лог такой версией [URL="https://yadi.sk/d/7dgjMleO3E3E9b"]Autologger[/URL].

Выполнил, во вложении.

Надеюсь, после лечения TDSSKiller систему перезагрузили?

Выполните скрипт в новой версии AVZ:[CODE]begin
TerminateProcessByName('c:\windows\help\lsmosee.exe');
QuarantineFile('c:\windows\help\lsmosee.exe', '');
QuarantineFile('C:\Windows\debug\item.dat', '');
QuarantineFile('c:\windows\debug\ok.dat', '');
DeleteFile('c:\windows\help\lsmosee.exe', '');
DeleteFile('C:\Windows\debug\item.dat', '');
DeleteFile('a.exe', '64');
DeleteFile('c:\windows\debug\item.dat', '64');
DeleteFile('c:\windows\debug\ok.dat', '64');
DeleteSchedulerTask('Mysa');
DeleteSchedulerTask('Mysa1');
DeleteSchedulerTask('Mysa2');
DeleteSchedulerTask('Mysa3');
DeleteSchedulerTask('ok');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start', '32');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.[/CODE]После перезагрузки сообщите, что с проблемой.

да перезагрузил.
не дает выполнить скрипт
[ATTACH=CONFIG]675603[/ATTACH]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Хотел сказать что
D:\MapDisk.cmd
это нужный файл. точно.

Читайте внимательно, написал же:[QUOTE]Выполните скрипт в новой версии AVZ[/QUOTE]Там, где последний Autologger запускали.
Файл D:\MapDisk.cmd только в карантин брали,не удаляем. Убрал из скрипта, выполняйте.

Скрипт выполнен, перезагрузка.
Cure it нашел всеравно зловред.

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('C:\Windows\debug\lsmose.exe');
TerminateProcessByName('c:\windows\temp\conhost.exe');
QuarantineFile('C:\Windows\debug\lsmose.exe', '');
QuarantineFile('c:\windows\debug\ok.dat', '');
QuarantineFile('c:\windows\temp\conhost.exe', '');
QuarantineFile('D:\MapDisk.cmd', '');
DeleteFile('C:\Windows\debug\lsmose.exe', '');
DeleteFile('C:\Windows\debug\lsmose.exe', '64');
DeleteFile('c:\windows\debug\ok.dat', '64');
DeleteFile('c:\windows\temp\conhost.exe', '');
DeleteFile('D:\MapDisk.cmd', '64');
DeleteSchedulerTask('Mysa');
DeleteSchedulerTask('ok');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MapDisk', '64');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start', '32');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(1);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

[url=http://virusinfo.info/showthread.php?t=4491]Профиксите[/url] в HijackThis из папки ..\AutoLogger\HiJackThis
[CODE]O4 - HKLM\..\Run: [CL-23-78B4C69C-9942-4129-88AE-FE15008CF35D] = C:\Program Files\Common Files\Bitdefender\SetupInformation\CL-23-78B4C69C-9942-4129-88AE-FE15008CF35D\setuplauncher.exe /run:"C:\Program Files\Common Files\Bitdefender\SetupInformation\CL-23-78B4C69C-9942-4129-88AE-FE15008CF35D\Installer.exe" (file missing)
O7 - IPSec: Name: win (2018/12/19) - {3ef09712-d430-44cc-9b2d-5146af0823d1} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/19) - {3ef09712-d430-44cc-9b2d-5146af0823d1} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/19) - {3ef09712-d430-44cc-9b2d-5146af0823d1} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/19) - {3ef09712-d430-44cc-9b2d-5146af0823d1} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/19) - {3ef09712-d430-44cc-9b2d-5146af0823d1} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver: (default) = C:\Windows\system32\GPhotos.scr (file missing)
O8 - Context menu item: HKU\S-1-5-19\..\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver: (default) = C:\Windows\system32\GPhotos.scr (file missing)
O8 - Context menu item: HKU\S-1-5-20\..\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver: (default) = C:\Windows\system32\GPhotos.scr (file missing)
O22 - Task (.job): (disabled) (Ready) GoogleUpdateTaskUserS-1-5-21-1541470958-3637839021-1478725071-1000Core.job - C:\Users\Андоей\AppData\Local\Google\Update\GoogleUpdate.exe (file missing) /c
O22 - Task (.job): (disabled) (Ready) GoogleUpdateTaskUserS-1-5-21-1541470958-3637839021-1478725071-1000UA.job - C:\Users\Андоей\AppData\Local\Google\Update\GoogleUpdate.exe (file missing) /ua /installsource scheduler
O22 - Task: (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (file missing)
O22 - Task: GoogleUpdateTaskUserS-1-5-21-1541470958-3637839021-1478725071-1000Core - C:\Users\Андоей\AppData\Local\Google\Update\GoogleUpdate.exe /c (file missing)
O22 - Task: GoogleUpdateTaskUserS-1-5-21-1541470958-3637839021-1478725071-1000UA - C:\Users\Андоей\AppData\Local\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (file missing)
O22 - Task: {47761E2E-7882-4604-90EE-A23FE1F76B2A} - C:\Program Files (x86)\Skype\Phone\Skype.exe (file missing)
O22 - Task: {860ED1FA-334E-4F46-8E20-06D072F99174} - C:\Program Files (x86)\Entensys\UserGate 5\usergate.exe (file missing)
O23 - Service S2: Foxit Cloud Safe Update Service - (FoxitCloudUpdateService) - C:\Program Files (x86)\Foxit Software\Foxit Reader\Foxit Cloud\FCUpdateService.exe (file missing)
[/CODE]

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url]. Для [u]повторной[/u] диагностики запустите снова Autologger.

И проверку TDSSKiller после этого сразу сделайте, сообщите, если снова Rootkit.Boot.DarkGalaxy.a найдёт.

про TDS прочитал же после загрузки , просканировал после включения интеренета, руткит нашел.
странно, не дает прикрепить лог.
понимаю что не по правилам, но все же, выложил тут [url]https://fex.net/986205260720[/url]

Места не хватает, упакуйте в архив с максимальным сжатием и прикрепите. На том ресурсе требует регистрацию и номер сотового :( Или хоть на rghost.ru залейте.
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url]. Залейте тоже на rghost.ru.

[quote="Vvvyg;1493604"]Или хоть на rghost.ru залейте.[/quote]
rghost давно испортился, закачайте архив на любой файлообменник, не требующий ввода капчи (например: [url=https://disk.yandex.ru/]Яндекс.Диск[/url], [url=http://www.zippyshare.com/]Zippyshare[/url], [url=http://my-files.ru/]My-Files.RU[/url], [url=http://file.karelia.ru/]karelia.ru[/url], [url=http://www.ge.tt/]Ge.tt[/url] или [url=http://webfile.ru/]WebFile[/url])

+ [URL="http://virusinfo.info/showthread.php?t=40118"]Сделайте лог Gmer[/URL]

+ [LIST=1][*]Найдите в корне системного диска (обычно это диск [I]C:[/I]) папку [B][I]TDSSkiller_Quarantine[/I][/B].[*]Заархивруйте эту папку с паролем [B]virus[/B]. И загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.[/LIST]

[url]https://my-files.ru/cj78gm[/url]
[url]https://my-files.ru/4m6v58[/url]
[url]https://my-files.ru/uo6eoz[/url]
[url]https://my-files.ru/ngs6xr[/url]

Пролечитесь ещё раз TDSSKiller, [COLOR="#FF0000"]при перезагрузке отключите интернет[/COLOR], просто отключите сетевой кабель.
После перезагрузки, в оффлайне долечите остальное. Для этого (инструкции и текст скрипта сохраните заранее):
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
delref HTTP://JS.FTP0930.HOST:280/V.SCT
zoo %SystemRoot%\DEBUG\ITEM.DAT
delall %SystemRoot%\DEBUG\ITEM.DAT
zoo %SystemRoot%\HELP\LSMOSEE.EXE
addsgn 9252775A016AC1CC0B84454E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Win64.Miner.ide [Kaspersky] 7

zoo %SystemRoot%\TEMP\CONHOST.EXE
addsgn 9252770A016AC1CC0B54454E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.Win64.Miner.ijc [Kaspersky] 7

zoo %SystemRoot%\DEBUG\LSMOSE.EXE
addsgn 9AE0D208F282AB8B03D4BE7B0D778E3941C61D7F6E0413CEFB7BE21176F33C517B9494368CC974D41E78F556B4D29A37E64990203885E8CD26C07DF35A3637B8 8 Trojan.BtcMine.3106 [DrWeb] 7

chklst
delvir

deltsk %SystemRoot%\DEBUG\OK.DAT
deltsk A.EXE
deltsk S&C:\WINDOWS\UPDATE.EXE
deltsk S.DAT
deltsk S.RAR
delwmi WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\FUCKYOUMM2_ITIMER
deltmp
czoo
restart
[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

Сделайте проверку TDSSKiller.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме. Если не полезет - на файлообменник и ссылку [COLOR="#FF0000"]в личном сообщении[/COLOR].

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

2018.12.21 10:44
2018.12.21 08:44 (UTC)
--------------------------------------------------------
SeDebug привилегии получены
SeRestore привилегии получены
SeBackup привилегии получены
SeShutdown привилегии получены
SeTakeOwnership привилегии получены
SeLoadDriver привилегии получены
SeManageVolume привилегии получены
SeSecurity привилегии получены
SeTcb привилегии получены
SeImpersonate привилегии получены
SeAssignPrimaryToken привилегии получены
SeCreateTokenPrivilege привилегии получены
SeIncreaseQuotaPrivilege привилегии получены
--------------------------------------------------------
Сигнатур в базе: 0
Загружено поисковых критериев: 0
--------------------------------------------------------
uVS v4.1.2 [[url]http://dsrt.dyndns.org]:[/url] Windows 7 Professional x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]
64-х битный модуль активирован
UAC: 0
Свободно физической памяти 4336Mb из 6042Mb
Свободно на системном диске: 64,8GB
Boot: Normal
--------------------------------------------------------
Internet Explorer v11.0.9600.17843
Firefox v61.0.2 (x64 ru)
--------------------------------------------------------
uVS запущен под пользователем: Andrey-PC\Андрей
Имя компьютера: ANDREY-PC
--------------------------------------------------------
(!) Не удалось открыть файл HOSTS
HOSTS:
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Всего: 0
--------------------------------------------------------
Persistent routes:
Всего: 0
--------------------------------------------------------
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{4eb157e3-72de-46cb-b7b7-306b64b1a9f8}
--------------------------------------------------------
Найден видеоадаптер: PCI#VEN_8086&DEV_0166&SUBSYS_1972103C&REV_09#3&11583659&0&10
Всего найдено видеоадаптеров: 1
Загружено реестров пользователей: 1
Построение списка процессов и модулей...
(!) Процесс нагружает CPU: C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V3.0\WPF\PRESENTATIONFONTCACHE.EXE
Получен ограниченный доступ к защищенному процессу: audiodg.exe [3372]
Анализ автозапуска...
Не удалось прочитать LNK файл: C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\JAVA DEVELOPMENT KIT\Reference Documentation.LNK
Построение списка системных модулей и драйверов...
VBR NTFS [C:]: Неизвестный загрузчик SHA1: A65563E3D994272197E22FC1C63418D61F3CBA08
IPL NTFS [C:]: Неизвестный загрузчик SHA1: 1822DD5ECD50527D15DA57881AEF4A2753079565
VBR NTFS [D:]: Неизвестный загрузчик SHA1: A65563E3D994272197E22FC1C63418D61F3CBA08
IPL NTFS [D:]: Неизвестный загрузчик SHA1: 1822DD5ECD50527D15DA57881AEF4A2753079565
MBR#0 [698,6GB]: Неизвестный загрузчик SHA1: F317F22913A4C836256186768102F4721B87B653
Анализ файлов в списке...
Анализ завершен.
Список готов.
(!) DCOM: Нестандартные свойства связи
======= Начало исполнения скрипта =======
--------------------------------------------------------
v400c
--------------------------------------------------------
--------------------------------------------------------
OFFSGNSAVE
--------------------------------------------------------
--------------------------------------------------------
delref [url]HTTP://JS.FTP0930.HOST:280/V.SCT[/url]
--------------------------------------------------------
--------------------------------------------------------
zoo %SystemRoot%\DEBUG\ITEM.DAT
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\WINDOWS\DEBUG\ITEM.DAT
Файл скопирован в ZOO: C:\USERS\АНДРЕЙ\DOWNLOADS\UVS\SUPPORT\ZOO\ITEM.DAT._6646DC410FFF3D7BCB5470C7D894C120F670F9C9
--------------------------------------------------------
delall %SystemRoot%\DEBUG\ITEM.DAT
--------------------------------------------------------
--------------------------------------------------------
zoo %SystemRoot%\HELP\LSMOSEE.EXE
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\WINDOWS\HELP\LSMOSEE.EXE
Файл скопирован в ZOO: C:\USERS\АНДРЕЙ\DOWNLOADS\UVS\SUPPORT\ZOO\LSMOSEE.EXE._A3C843F323BEF582534AEEB40E27546EFB71CE46
--------------------------------------------------------
addsgn 9252775A016AC1CC0B84454E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Win64.Miner.ide [Kaspersky] 7
--------------------------------------------------------
Добавлена сигнатура: Trojan.Win64.Miner.ide [Kaspersky]
--------------------------------------------------------
zoo %SystemRoot%\TEMP\CONHOST.EXE
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\WINDOWS\TEMP\CONHOST.EXE
Файл скопирован в ZOO: C:\USERS\АНДРЕЙ\DOWNLOADS\UVS\SUPPORT\ZOO\CONHOST.EXE._5382188BCBEB66B40BDCD8AE618561F9A2FF1464
--------------------------------------------------------
addsgn 9252770A016AC1CC0B54454E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.Win64.Miner.ijc [Kaspersky] 7
--------------------------------------------------------
Добавлена сигнатура: Trojan.Win64.Miner.ijc [Kaspersky]
--------------------------------------------------------
zoo %SystemRoot%\DEBUG\LSMOSE.EXE
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\WINDOWS\DEBUG\LSMOSE.EXE
Файл скопирован в ZOO: C:\USERS\АНДРЕЙ\DOWNLOADS\UVS\SUPPORT\ZOO\LSMOSE.EXE._4D1A210BB9C212DF543E18EB31EF041DFA06F9B5
--------------------------------------------------------
addsgn 9AE0D208F282AB8B03D4BE7B0D778E3941C61D7F6E0413CEFB7BE21176F33C517B9494368CC974D41E78F556B4D29A37E64990203885E8CD26C07DF35A3637B8 8 Trojan.BtcMine.3106 [DrWeb] 7
--------------------------------------------------------
Добавлена сигнатура: Trojan.BtcMine.3106 [DrWeb]
--------------------------------------------------------
chklst
--------------------------------------------------------
--------------------------------------------------------
Проверка списка...
--------------------------------------------------------
Не удалось открыть файл: C:\PROGRAM FILES\COMMON FILES\AUTODESK SHARED\WSCOMMCNTR4\LIB\\WSCOMMCNTR4.EXE
Не удалось открыть файл: C:\WINDOWS\SYSTEM32\WBEM\\WMIPJOBJ.DLL
Проверено файлов: 4483
Найдено вирусов: 2
--------------------------------------------------------
delvir
--------------------------------------------------------
--------------------------------------------------------
Применение изменений...
--------------------------------------------------------
Запуск служб блокирован
Построение списка процессов и модулей...
Сбор дополнительной информации...
Остановка сервисов и выгрузка драйверов...
Завершение процессов...
Копирование файла в Zoo: C:\WINDOWS\DEBUG\ITEM.DAT
Файл скопирован в ZOO: C:\USERS\АНДРЕЙ\DOWNLOADS\UVS\SUPPORT\ZOO\ITEM.DAT._6646DC410FFF3D7BCB5470C7D894C120F670F9C9
Удаление ссылок...
Не удалось прочитать LNK файл: C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\JAVA DEVELOPMENT KIT\Reference Documentation.LNK
Удаление файлов...
C:\WINDOWS\DEBUG\ITEM.DAT будет удален после перезагрузки
--------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 1 из 2
--------------------------------------------------------
Запуск служб разблокирован
--------------------------------------------------------
Применение изменений...
--------------------------------------------------------
Запуск служб блокирован
Построение списка процессов и модулей...
Сбор дополнительной информации...
Остановка сервисов и выгрузка драйверов...
Завершение процессов...
Успешно выгружен C:\WINDOWS\HELP\LSMOSEE.EXE [pid=1036]
Копирование файла в Zoo: C:\WINDOWS\HELP\LSMOSEE.EXE
Файл скопирован в ZOO: C:\USERS\АНДРЕЙ\DOWNLOADS\UVS\SUPPORT\ZOO\LSMOSEE.EXE._A3C843F323BEF582534AEEB40E27546EFB71CE46
Копирование файла в Zoo: C:\WINDOWS\DEBUG\LSMOSE.EXE
Файл скопирован в ZOO: C:\USERS\АНДРЕЙ\DOWNLOADS\UVS\SUPPORT\ZOO\LSMOSE.EXE._4D1A210BB9C212DF543E18EB31EF041DFA06F9B5
Удаление ссылок...
Не удалось прочитать LNK файл: C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\JAVA DEVELOPMENT KIT\Reference Documentation.LNK
Удаление файлов...
--------------------------------------------------------
Завершено процессов: 1 из 1
Изменено/удалено объектов автозапуска 0 из 0
Удалено файлов: 2 из 2
--------------------------------------------------------
Запуск служб разблокирован
--------------------------------------------------------
deltsk %SystemRoot%\DEBUG\OK.DAT
--------------------------------------------------------
--------------------------------------------------------
deltsk A.EXE
--------------------------------------------------------
--------------------------------------------------------
deltsk S&C:\WINDOWS\UPDATE.EXE
--------------------------------------------------------
--------------------------------------------------------
deltsk S.DAT
--------------------------------------------------------
--------------------------------------------------------
deltsk S.RAR
--------------------------------------------------------
--------------------------------------------------------
delwmi WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\FUCKYOUMM2_ITIMER
--------------------------------------------------------
--------------------------------------------------------
deltmp
--------------------------------------------------------
Удаление всех файлов из каталога: C:\$RECYCLE.BIN
Удаление всех файлов из каталога: D:\$RECYCLE.BIN
Удалено файлов: 8 из 8
Удаление всех файлов из каталога: C:\USERS\A4F7~1\APPDATA\LOCAL\TEMP
Удаление всех файлов из каталога: C:\WINDOWS\TEMP
Удаление всех файлов из каталога: C:\WINDOWS\MINIDUMP
Удаление всех файлов из каталога: C:\WINDOWS\LIVEKERNELREPORTS\WATCHDOG
Удаление всех файлов из каталога: C:\WINDOWS\SERVICEPROFILES\LOCALSERVICE\APPDATA\LOCAL\TEMP
Удаление всех файлов из каталога: C:\WINDOWS\SERVICEPROFILES\LOCALSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\WINDOWS\SERVICEPROFILES\LOCALSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\WINDOWS\SERVICEPROFILES\LOCALSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\APPDATA\LOCAL\TEMP
Удаление всех файлов из каталога: C:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\АНДРЕЙ\APPDATA\LOCAL\TEMP
Удаление всех файлов из каталога: C:\USERS\АНДРЕЙ\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES
Удаление всех файлов из каталога: C:\USERS\АНДРЕЙ\APPDATA\LOCALLOW\SUN\JAVA\DEPLOYMENT\CACHE
Удаление всех файлов из каталога: C:\USERS\АНДРЕЙ\APPDATA\LOCALLOW\TEMP
Удаление всех файлов из каталога: C:\USERS\АНДРЕЙ\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\АНДРЕЙ\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\АНДРЕЙ\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\АНДРЕЙ\LOCAL SETTINGS\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\N1IMJ646.DEFAULT\CACHE2
Удаление всех файлов из каталога: C:\USERS\АНДРЕЙ\LOCAL SETTINGS\GOOGLE\CHROME\USER DATA\DEFAULT\CACHE
Удаление всех файлов из каталога: C:\USERS\POLYESTER\APPDATA\LOCAL\TEMP
Удаление всех файлов из каталога: C:\USERS\POLYESTER\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES
Удаление всех файлов из каталога: C:\USERS\POLYESTER\APPDATA\LOCALLOW\SUN\JAVA\DEPLOYMENT\CACHE
Удаление всех файлов из каталога: C:\USERS\POLYESTER\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\POLYESTER\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\POLYESTER\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\TEMP
Удаление всех файлов из каталога: C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\АНДОЕЙ\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\АНДОЕЙ\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\АНДОЕЙ\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\DEFAULT\APPDATA\LOCAL\TEMP
Удаление всех файлов из каталога: C:\USERS\DEFAULT\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES
Удаление всех файлов из каталога: C:\USERS\DEFAULT\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\DEFAULT\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\DEFAULT\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\PROGRAMDATA\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\PROGRAMDATA\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\PROGRAMDATA\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\ARCHIVE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\ARCHIVE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\ARCHIVE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\DROPBOX\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\DROPBOX\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\DROPBOX\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\JOBS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\JOBS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\JOBS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\PUBLIC\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\PUBLIC\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\PUBLIC\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\SERVERJOB\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\SERVERJOB\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\SERVERJOB\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\SERVERS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\SERVERS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\SERVERS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\TEMP\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\TEMP\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\TEMP\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\UPDATES\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\UPDATES\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\UPDATES\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\ЀнХрей\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\ЀнХрей\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\ЀнХрей\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\������\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\������\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\������\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удалено файлов: 3165 из 3174
Удаление исполняемых файлов из каталога: C:\WINDOWS\FONTS
Удаление исполняемых файлов из каталога: C:\WINDOWS\PREFETCH
Удаление исполняемых файлов из каталога: C:\USERS\АНДРЕЙ\COOKIES
Удаление исполняемых файлов из каталога: C:\USERS\POLYESTER\COOKIES
Удаление исполняемых файлов из каталога: C:\USERS\DEFAULT\COOKIES
Удалено файлов: 0 из 0
Очистка завершена
--------------------------------------------------------
czoo
--------------------------------------------------------
--------------------------------------------------------
restart
--------------------------------------------------------
--------------------------------------------------------
Применение изменений...
--------------------------------------------------------
Удаление ссылок...
Не удалось прочитать LNK файл: C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\JAVA DEVELOPMENT KIT\Reference Documentation.LNK
--------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 4 из 4
--------------------------------------------------------
--------------------------------------------------------
Всего 9636Kb
Архивация...
C:\USERS\АНДРЕЙ\DOWNLOADS\UVS\SUPPORT\ZOO_2018-12-21_10-49-23
Операция успешно завершена.

TDSSKiller буткит удалил? Что с проблемой сейчас?

Да, удалил, но майнер на месте(((
[url]http://prntscr.com/lxvj79[/url]

Мда, трэш.
Сделайте новый полный образ автозапуска uVS.

Готово.
[url]https://my-files.ru/4dtvsw[/url]

На момент создания образа - только хвосты от майнера.

[url=http://virusinfo.info/showthread.php?t=130567]Удалите старый образ автозапуска из вложений[/url].

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
adddir %SystemRoot%\DEBUG
zoo %SystemRoot%\DEBUG\XMRSTAK_CUDA_BACKEND.DLL
addsgn BA653BBE5D22C5262FC4E23820EC0A85DF8BF3730BF81F78D69592E9185B446144723C1FB3EB9DA95E7ED3AE9D2780B2FE12179A05DAB02C2CACD02D34C5A96D 24 PUA:Win32/CoinMiner 7
addsgn 9252775A016AC1CC0B84454E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Win64.Miner.ide [Kaspersky] 7
addsgn 9252770A016AC1CC0B54454E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.Win64.Miner.ijc [Kaspersky] 7
addsgn 9AE0D208F282AB8B03D4BE7B0D778E3941C61D7F6E0413CEFB7BE21176F33C517B9494368CC974D41E78F556B4D29A37E64990203885E8CD26C07DF35A3637B8 8 Trojan.BtcMine.3106 [DrWeb] 7

chklst
delvir

delref %Sys32%\DRIVERS\00626451.SYS
delref %Sys32%\DRIVERS\52934237.SYS
delref %Sys32%\DRIVERS\93797981.SYS
delref %Sys32%\DRIVERS\96367593.SYS
delref MBAMSERVICE\[SERVICE]
delref %Sys32%\DRIVERS\ASWHDSKE.SYS
delref %Sys32%\DRIVERS\VBOXNETFLT.SYS
delref %Sys32%\DRIVERS\VDI1MZQW.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.8\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\AUTODESK\3DS MAX DESIGN 2014\3DSMAX.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.8\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\NOX\BIN\NOX.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\NOX\BIN\NOX_UNLOAD.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\HIDEGUARD VPN\UNINSTALLER.EXE
delref %SystemDrive%\UNIFIED_ANDROID_TOOLKIT\TOOLKIT.EXE
delref %SystemDrive%\UNIFIED_ANDROID_TOOLKIT\TOOLKITCLEAN.EXE
delref %SystemDrive%\PROGRAM FILES\THE BAT!\THEBAT.EXE
delref %SystemDrive%\PROGRAM FILES\ANDROID\ANDROID STUDIO1\BIN\STUDIO64.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\VCG\MESHLAB\MESHLAB.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\VCG\MESHLAB\UNINST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\VCG\MESHLAB\MESHLAB.URL
delref %SystemDrive%\PROGRAM FILES (X86)\PROXYFINDERENTERPRISE\PROXYFINDER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\PROXYFINDERENTERPRISE\UNINSTAL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TELEPORT PRO\SCHEDULER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TELEPORT PRO\PRO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TELEPORT PRO\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\SAMLAB.WS.URL
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\TOTALCMD.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\PLUGINS\EXE\TWEAKTC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\PLUGINS\EXE\DECRYPTC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\UUDS\UUDISCSSTUDIO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\DEVEJECT\REMOVEDRIVE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\PLUGINS\WFX\BADCOPY\NSCOPY\NSCOPY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\PASSWORDCRACKER\PWDCRACK.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\PLUGINS\WLX\AMPVIEW\AMPVIEW.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\STARTER\STARTER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\MYUNINSTALLER\MYUNINST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\DISKCLEANER\WISEDISKCLEANER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\REGCLEANER\WISEREGISTRYCLEANER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\USERGATE\USERGATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\USERGATE\UNINSTAL.EXE
deltmp
czoo
restart[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

выполнил
[URL]https://my-files.ru/9myrtq[/URL]
[COLOR=#333333][FONT=&quot]https://my-files.ru/dg8r84
[/FONT][/COLOR]
[COLOR=#333333][FONT=&quot][/FONT][/COLOR]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
FF NewTab: Mozilla\Firefox\Profiles\n1imj646.default -> hxxps://search.yahoo.com/yhs/web?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__hp_WCYID10420__180609__yaff
FF SearchPlugin: C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles\n1imj646.default\searchplugins\yahoo-lavasoft-ff59.xml [2018-06-09]
U0 aswVmm; no ImagePath
CMD: type C:\Windows\pools.txt
CMD: type C:\Windows\cpu.txt
CMD: type C:\Windows\config.txt
2018-12-12 14:25 - 2018-12-21 07:11 - 000000336 _____ C:\Windows\pools.txt
2018-12-12 14:25 - 2018-12-12 14:25 - 000002587 _____ C:\Windows\cpu.txt
2018-12-12 14:37 - 2018-12-21 10:13 - 000000081 _____ C:\Windows\system32\s
2018-12-12 14:37 - 2018-12-21 10:13 - 000000079 _____ C:\Windows\system32\ps
2018-12-12 14:37 - 2018-12-21 10:13 - 000000077 _____ C:\Windows\system32\p
Virustotal: C:\Windows\SysWOW64\Drivers\64.exe
2018-12-12 14:24 - 2018-12-19 16:48 - 015038553 _____ C:\Windows\SysWOW64\Drivers\64.exe
2018-12-21 07:11 - 2018-05-06 09:12 - 000000406 _____ C:\Windows\config.txt
2018-12-12 13:54 - 2018-09-01 14:32 - 000000000 ____D C:\ProgramData\Bitdefender
2017-11-27 14:32 - 2017-11-27 14:32 - 000213112 _____ () C:\Users\Андрей\AppData\Roaming\DMGR_1N1I1F1S1T1I0M1F1Q2Y1I1P1B0C1F1Q1P.txt
Task: {485ECABD-B74C-4915-BD41-ECA33956CB09} - \ok -> No File <==== ATTENTION
Task: {546E6989-A0A4-47F0-9EC6-79F6ACCB044B} - \Mysa -> No File <==== ATTENTION
Task: {67A96AD8-3446-4C85-AEF3-EAA749CEDA4C} - \Mysa2 -> No File <==== ATTENTION
Task: {71FF8DB6-6C52-471A-AD16-C2815E8F7116} - \Mysa1 -> No File <==== ATTENTION
Task: {8DB7DCE1-0892-4879-8532-951303C11AD3} - \Mysa3 -> No File <==== ATTENTION
FirewallRules: [{EC9702A7-14D4-4A4A-8BB2-24A59B574D3E}] => (Block) LPort=445
FirewallRules: [{608B6E86-F408-418A-BAE5-F96C2598ACB8}] => (Block) LPort=139
Tcpip\..\Interfaces\{8C66E564-1429-4471-AE54-F1119E26071D}: [NameServer] 46.166.179.52 46.166.179.53
Tcpip\..\Interfaces\{8C66E564-1429-4471-AE54-F1119E26071D}: [DhcpNameServer] 46.166.179.52 46.166.179.53
CMD: ipconfig /flushdns
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U],
Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой, подробно, по возможности.

сделал.

[QUOTE=Vvvyg;1493948]Сообщите, что с проблемой, подробно, по возможности.[/QUOTE]
Жду комментариев, по последним двум логам были только хвосты от троянов/майнеров.

вроде все тихо. cure it находит только хвосты в темпори интернет файлах, благополучно удалил. tnx
загрузка системы очень быстрая

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.

Выполнил.

[QUOTE][color=red][b]Контроль учётных записей пользователя [b]отключен[/b] (Уровень 1)[/b][/color]
[color=blue][b]^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^[/b][/color]
[color=red][b]Автоматическое обновление отключено[/b][/color][/QUOTE]С учётом того, что зловреды активно используют уязвимости системы, хотя бы критические патчи нужно своевременно устанавливать:[QUOTE]------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3115858]Скачать обновления[/url][/b][/color]
HotFix KB3140735 [color=red][b]Внимание! [url=https://docs.microsoft.com/en-us/security-updates/securitybulletins/2016/ms16-026]Скачать обновления[/url][/b][/color]
HotFix KB3138910 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3138910]Скачать обновления[/url][/b][/color]
HotFix KB3138962 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3138962]Скачать обновления[/url][/b][/color]
HotFix KB3145739 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3145739]Скачать обновления[/url][/b][/color]
HotFix KB3146963 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3146963]Скачать обновления[/url][/b][/color]
HotFix KB3156013 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3156013]Скачать обновления[/url][/b][/color]
HotFix KB3156016 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3156016]Скачать обновления[/url][/b][/color]
HotFix KB3155178 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3155178]Скачать обновления[/url][/b][/color]
HotFix KB3153171 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3153171]Скачать обновления[/url][/b][/color]
HotFix KB3170455 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3170455]Скачать обновления[/url][/b][/color]
HotFix KB3178034 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3178034]Скачать обновления[/url][/b][/color]
HotFix KB3185911 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3185911]Скачать обновления[/url][/b][/color]
HotFix KB3184122 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3184122]Скачать обновления[/url][/b][/color]
HotFix KB3192391 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3192391]Скачать обновления[/url][/b][/color]
HotFix KB3197867 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3197867]Скачать обновления[/url][/b][/color]
HotFix KB3205394 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3205394]Скачать обновления[/url][/b][/color]
HotFix KB4019263 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4019263]Скачать обновления[/url][/b][/color]
HotFix KB4022722 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4022722]Скачать обновления[/url][/b][/color]
HotFix KB4015546 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4015546]Скачать обновления[/url][/b][/color]
HotFix KB4025337 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4025337]Скачать обновления[/url][/b][/color]
HotFix KB4034679 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4034679]Скачать обновления[/url][/b][/color]
HotFix KB4041678 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4041678]Скачать обновления[/url][/b][/color]
HotFix KB4056894 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056894]Скачать обновления[/url][/b][/color]
HotFix KB4056897 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897]Скачать обновления[/url][/b][/color]
HotFix KB4074587 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4074587]Скачать обновления[/url][/b][/color]
HotFix KB4103712 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4103712]Скачать обновления[/url][/b][/color]
HotFix KB4343899 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4343899]Скачать обновления[/url][/b][/color]
HotFix KB4457145 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4457145]Скачать обновления[/url][/b][/color]
HotFix KB4462923 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4462923]Скачать обновления[/url][/b][/color]
HotFix KB4471318 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4471318]Скачать обновления[/url][/b][/color][/QUOTE]Обновите Java:[QUOTE]Java SE Development Kit 7 Update 79 (64-bit) v.1.7.0.790 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее, скачать и установить [b][url=http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html]Java SDK 8[/url] (jdk-8u192-windows-x64.exe)[/b].
Java 8 Update 181 v.8.0.1810.13 [color=red][b]Внимание! [url=http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию и установите новую (jre-8u192-windows-i586.exe)^[/b][/color][/QUOTE]И FF:[QUOTE]Mozilla Firefox 61.0.2 (x64 ru) v.61.0.2 [color=red][b]Внимание! [url=https://www.mozilla.org/ru/firefox/all/]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Справка - О Firefox!^[/b][/color][/QUOTE]И на этом всё.

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]2[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]9[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] \tdsskiller_quarantine\18.12.2018_09.46.00\mbr0000\mbr0000\ts=
k0000.dta - [B]Trojan.Boot.DarkGalaxy.a[/B][*] \tdsskiller_quarantine\18.12.2018_09.46.00\mbr0000\mbr0000\ts=
k0001.dta - [B]Trojan.Boot.DarkGalaxy.a[/B][*] \tdsskiller_quarantine\19.12.2018_16.55.06\mbr0000\mbr0000\ts=
k0000.dta - [B]Trojan.Boot.DarkGalaxy.a[/B][*] \tdsskiller_quarantine\19.12.2018_16.55.06\mbr0000\mbr0000\ts=
k0001.dta - [B]Trojan.Boot.DarkGalaxy.a[/B][/LIST][/LIST]