Загрузка центрального процессора [HEUR:Trojan.Win64.Miner.gen, HEUR:Trojan.Win32.Agentb.gen]

1. браузер не позволяет войти на сайты с антивирусами
2. не стабильно работает система

Уважаемый(ая) [B]Денис Богач[/B], спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте,

HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[B]Важно[/B]: необходимо отметить и профиксить [B]только[/B] то, что указано ниже.
[CODE]
R3 - HKCU\..\URLSearchHooks: (no name) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - (no file)
O2 - HKLM\..\BHO: YoutubeDownloader - {DF4BBE8F-62D5-47BC-8D78-E06A18ED510E} - C:\Program Files (x86)\BdAKRcyEFIE\th9m0OamU.dll
O17 - DHCP DNS 1: 185.192.111.210
O17 - DHCP DNS 2: 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{21d2a517-287b-4f5e-bdf5-4d711cb3788d}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{21d2a517-287b-4f5e-bdf5-4d711cb3788d}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{3a887698-3677-4027-be51-c7b3f5f2514b}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{3a887698-3677-4027-be51-c7b3f5f2514b}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{4d8c7716-956d-43a0-893c-00869d6d09d6}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{4d8c7716-956d-43a0-893c-00869d6d09d6}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9114a420-654e-4d8f-938d-31881cbc8c9f}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{9114a420-654e-4d8f-938d-31881cbc8c9f}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{a3a674f6-876e-4bf5-af28-3df8760cfe7d}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{a3a674f6-876e-4bf5-af28-3df8760cfe7d}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{b5addf36-5134-484e-be4f-d4fe6c88c996}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{b5addf36-5134-484e-be4f-d4fe6c88c996}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{d2776857-da7b-11ea-b3d3-806e6f6e6963}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{d2776857-da7b-11ea-b3d3-806e6f6e6963}: [NameServer] = 37.59.58.122
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)
O22 - Task: gZaNTwEAcszYFtGWkmA2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\LpROwAoVAdOJC\MfHJXAC.dll",#1
O22 - Task: hZWdCklbJJKUAe - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\wnaqsFdhQNmU2\VtgcOArltKTxp.dll",#1
O22 - Task: txOoFsZvhktTFIT2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\QoARRVEKU\tcAlKx.dll",#1
O22 - Task: XHzoDqsLChdlDpKJg2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\qHVAdQiwZxEdpsDTUKR\OFHTBnS.dll",#1
O22 - Task: zWaRGDdIQUFJO2 - C:\WINDOWS\system32\wscript.exe "C:\ProgramData\rJOKrOTOvoFGzgVB\jGaUDrS.wsf"
[/CODE]


Если пропадет интернет пропишите на сетевом интерфейсе в качестве днс-серверов:
[CODE]
8.8.8.8
8.8.4.4
[/CODE]

AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\ProgramData\rJOKrOTOvoFGzgVB\jGaUDrS.wsf','');
QuarantineFileF('C:\ProgramData\rJOKrOTOvoFGzgVB', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
QuarantineFile('C:\Program Files (x86)\qHVAdQiwZxEdpsDTUKR\OFHTBnS.dll','');
QuarantineFileF('C:\Program Files (x86)\qHVAdQiwZxEdpsDTUKR', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
QuarantineFile('C:\Program Files (x86)\QoARRVEKU\tcAlKx.dll','');
QuarantineFileF('C:\Program Files (x86)\QoARRVEKU', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
QuarantineFile('C:\Program Files (x86)\wnaqsFdhQNmU2\VtgcOArltKTxp.dll','');
QuarantineFileF('C:\Program Files (x86)\wnaqsFdhQNmU2', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
QuarantineFile('C:\Program Files (x86)\LpROwAoVAdOJC\MfHJXAC.dll','');
QuarantineFileF('C:\Program Files (x86)\LpROwAoVAdOJC', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
DeleteSchedulerTask('gZaNTwEAcszYFtGWkmA2');
DeleteFile('C:\Program Files (x86)\LpROwAoVAdOJC\MfHJXAC.dll','64');
DeleteFile('C:\Program Files (x86)\wnaqsFdhQNmU2\VtgcOArltKTxp.dll','64');
DeleteSchedulerTask('hZWdCklbJJKUAe');
DeleteSchedulerTask('txOoFsZvhktTFIT2');
DeleteFile('C:\Program Files (x86)\QoARRVEKU\tcAlKx.dll','64');
DeleteFile('C:\Program Files (x86)\qHVAdQiwZxEdpsDTUKR\OFHTBnS.dll','64');
DeleteFile('C:\ProgramData\rJOKrOTOvoFGzgVB\jGaUDrS.wsf','64');
DeleteSchedulerTask('zWaRGDdIQUFJO2');
DeleteSchedulerTask('XHzoDqsLChdlDpKJg2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.


[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Malwarebytes)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt[/COLOR][/B] (где x - любая цифра).[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Спасибо, что помогаете!

Удалите следующие приложение через установку приложений в панели управления:
[CODE]NetShield Kit 1.3.30.0 [2020/10/14 10:19:18]-->"C:\ProgramData\Package Cache\{d8c15a17-bf17-4678-9985-85121f00d1e5}\nsk-win32-bundle.exe" /uninstall
NetShield Kit 1.3.40.1 [20201022]-->"C:\Program Files (x86)\NetShield Kit\unins000.exe"[/CODE]
P.S. если не найдете в списке то проигнорируйте и продолжите выполнять рекомендации дальше.

[url=https://virusinfo.info/showthread.php?t=218752&p=1480599&viewfull=1#post1480599]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[QUOTE=SQ;1518562]Удалите следующие приложение через установку приложений в панели управления:
[CODE]NetShield Kit 1.3.30.0 [2020/10/14 10:19:18]-->"C:\ProgramData\Package Cache\{d8c15a17-bf17-4678-9985-85121f00d1e5}\nsk-win32-bundle.exe" /uninstall
NetShield Kit 1.3.40.1 [20201022]-->"C:\Program Files (x86)\NetShield Kit\unins000.exe"[/CODE]
P.S. если не найдете в списке то проигнорируйте и продолжите выполнять рекомендации дальше.

[URL="https://virusinfo.info/showthread.php?t=218752&p=1480599&viewfull=1#post1480599"]Удалите в AdwCleaner[/URL] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.[/QUOTE]

Отчёт во вложении. В списке программа была, а при удалении выдало сообщение (на скрине во вложении). Обнаружил в карантине, удалил.

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.corovin.info/FRST_Icon.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"SigCheckExt"[/i].
[img]https://i.corovin.info/FRST.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]

Скрин приложил, снял галку один месяц и поставил 90 дней

[LIST][*] Закройте и сохраните все открытые приложения.[*] Выделите следующий код::
[CODE]
Start::
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {B8A92035-E88B-4B00-A490-E9D1EDDDFD7D} - \HP\HP CoolSense\HP CoolSense Start at Logon -> Нет файла <==== ВНИМАНИЕ
Edge DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
Edge DefaultSearchKeyword: Default -> search-cdn.net
FF HKLM\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\McAfee\MSKHKLM => не найдено
CHR Extension: (YoutubeDownloader) - C:\Users\bogac\AppData\Local\Google\Chrome\User Data\Default\Extensions\lpiicpcahmechbpjeaooigpehcphgjgn [2020-10-14] [UpdateUrl:hxxps://clients72.google.com/service/update2/crx] <==== ВНИМАНИЕ
Zip: C:\ProgramData\juutbubq.wrj;C:\ProgramData\mijprvzl.ern;
2021-02-13 12:47 - 2021-02-13 12:47 - 000012763 _____ C:\ProgramData\juutbubq.wrj
2021-02-13 12:47 - 2021-02-13 12:47 - 000000016 _____ C:\ProgramData\mntemp
2021-02-01 22:42 - 2021-02-01 22:42 - 000012670 _____ C:\ProgramData\mijprvzl.ern
File: C:\WINDOWS\system32\rdsxvmaudio.dll
Folder: C:\Users\bogac\AppData\Local\krnlss
Folder: C:\Users\bogac\AppData\Roaming\extrimhack
Folder: C:\Program Files\Common Files\PUBG
Folder: C:\ProgramData\Flock
2020-12-05 23:24 - 2021-02-25 14:57 - 000000000 ____D C:\ProgramData\Flock
ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => -> Нет файла
ContextMenuHandlers1: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Нет файла
ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => -> Нет файла
ContextMenuHandlers6: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Нет файла
Folder: C:\Program Files (x86)\Transmission
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [778]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [778]
AlternateDataStreams: C:\Users\bogac\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\bogac\Application Data:NT [40]
AlternateDataStreams: C:\Users\bogac\Application Data:NT2 [778]
AlternateDataStreams: C:\Users\bogac\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\bogac\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\bogac\AppData\Roaming:NT2 [778]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [778]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [778]
FirewallRules: [{4DF18B91-D959-40DA-A2C2-BC2E630EBFEC}] => (Allow) 㩃啜敳獲扜杯捡䅜灰慄慴剜慯業杮瑜捯坜㑃偸攮數 => Нет файла
FirewallRules: [{7A8B2F6D-86A4-416F-9AD9-8B74E3E88BDB}] => (Allow) 㩃啜敳獲扜杯捡䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{045ABB4B-8A5C-414A-9E11-36017CD33FE9}] => (Allow) 㩃啜敳獲扜杯捡䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{8045BCAC-4456-47B5-8631-F098CC10A4B8}] => (Allow) 㩃啜敳獲扜杯捡䅜灰慄慴剜慯業杮瑜捯呜䥘⹶硥e => Нет файла
Reboot:
End::
[/CODE][*] Скопируйте выделенный текст ([b]правой кнопкой - Копировать[/b]).[*] Запустите FRST/FRST64 (от имени администратора). [*] Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). . [*] Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

На рабочем столе образуется карантин вида [B]<date>.zip[/B] загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

Карантин загружен.

Спасибо, уточните где лог fixlog.txt? Сообщите, что с проблемой?

[url]https://cloud.mail.ru/public/TcMn/U6Dc1aTPZ[/url]

не загрузился fixlog.txt, превысил допустимый объём, выложил в облако

Процесс: Утилита поиска строк (GREP) загружается как и прежде, исполнительный файл find.exe из C:\Windows\System32

Скачайте программу [url="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/url] и [url="http://virusinfo.info/showthread.php?t=121767"]сделайте полный образ автозапуска uVS[/url].

[url]https://cloud.mail.ru/public/kajY/WZLrDZo4W[/url]

В логах ничего подозрительно не заметил только битые ссылки на объекты. в процессах нет запуска find.exe, уточните пожалуйста если он появляется сразу посе запуска ПК?

[URL="https://virusinfo.info/showthread.php?t=121767&p=897827&viewfull=1#post897827"]Выполните скрипт в uVS:[/URL]
[CODE];uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
;------------------------autoscript---------------------------
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\77.0.3865.90\INSTALLER\CHRMSTP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
;-------------------------------------------------------------
restart[/CODE]

Обратите внимание, что компьютер перегрузится, после выполнения фикса.

Прошу прощения, видимо я его закрыл вручную. Процесс запускается при перезагрузке. Я выполнил указанный скрипт и снова сделал образ, не выключая процесс. Новый образ по этой ссылке
[url]https://cloud.mail.ru/public/VJAX/NZg9bWBV6[/url]
так же лог после скрипта прикрепил

[URL="https://virusinfo.info/showthread.php?t=121767&p=897827&viewfull=1#post897827"]Выполните скрипт в uVS:[/URL]
[CODE];Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
zoo %SystemDrive%\ProgramData\Slack\find.exe
zoo %SystemDrive%\USERS\BOGAC\APPDATA\LOCAL\TEMP\BXSDK64.DLL
czoo
apply
;-------------------------------------------------------------
restart[/CODE]

Обратите внимание, что компьютер перегрузится, после выполнения фикса.

Прикрепите пожалуйста карантин по ссылке "[COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR]" вверху темы.

Скрипт отработал.
Карантин загрузил.
Проблема не ушла.
Образ после скрипта сделал:
[url]https://cloud.mail.ru/public/3PV9/gb1fgrcvL[/url]

Спасибо за карантин, я его отправил на проверку в вирлаб. я вам сообщу о результатах как получу.

На данный момент я пытаюсь понять по логам, источник запуска процесса find.exe

[ATTACH=CONFIG]684549[/ATTACH]

Могли бы проверить пожалуйста, если имется у Вас папка:
[CODE]C:\ProgramData\Slack[/CODE]

[LIST][*] Закройте и сохраните все открытые приложения.[*] Выделите следующий код::
[CODE]
Start::
CreateRestorePoint:
Folder: C:\ProgramData\Slack
File: C:\USERS\BOGAC\APPDATA\LOCAL\TEMP\BXSDK64.DLL
File: C:\Windows\System32\DRIVERSTORE\FILEREPOSITORY\HPANALYTICSCOMP.INF_AMD64_F98B15466093B28E\X64\NEWTONSOFT.JSON.DLL
C:\USERS\BOGAC\APPDATA\LOCAL\TEMP\BXSDK64.DLL
Reboot:
End::
[/CODE][*] Скопируйте выделенный текст ([b]правой кнопкой - Копировать[/b]).[*] Запустите FRST/FRST64 (от имени администратора). [*] Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). . [*] Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Здравствуйте,

Я получил ответ от вирлаба:
[QUOTE]Судя по всему, данная DLL является частью следующего вполне легитимного продукта:
[url]https://www.boxedapp.com/docs/index.html[/url]

Сама по себе она не вредоносная.[/QUOTE]
Я в логах не нашел данного ПО у Вас в логах, Вам что-то говорит указанная вирус аналитиком ПО?

1. Да, папка Slack в наличии и файл запуска с аналогичным названием в ней.

2. Лог сделал, приложил (в этот момент не уверен, что работал процесс "Утилита поиска строк (GREP)")

3. Ни малейшего представления о указанном ПО не имею

Проверьте пожалуйста файл на портале [URL="https://www.virustotal.com/"]virustotal.com[/URL]:
[CODE]2021-02-27 11:55 - 2021-03-06 09:03 - 000155168 ____A [A0E17640B020A6B7DF1B4CCE0C176141] () C:\ProgramData\Slack\Slack.exe[/CODE]
и сообщите пожалуйста результат.

Уточните пожалуйста если не запускать slack воспроизводиться ли ваша проблема?

Не проверяет файл slack.exe на virustotal.com. Загружаю файл но никаких сообщений не выводится. Прикладываю скрины.
[url]https://cloud.mail.ru/public/ajr4/JqLpvwGbb[/url]
[url]https://cloud.mail.ru/public/Fs8c/Xe44HEhyJ[/url]
[url]https://cloud.mail.ru/public/DE7v/Yem3NwBYT[/url]
То что файл slack.exe вирусный тут без вариантов, я его не запускаю.
Попробовал запустить его, но антивирус McAfee поместил в карантин, я его удалил из карантина, но после перезагрузки компьютера он снова был в папке как ни в чём не бывало.

Давайте возьмем весь каталог в карантин, я его отправлю на исследование.

[LIST][*] Закройте и сохраните все открытые приложения.[*] Выделите следующий код::
[CODE]
Start::
CreateRestorePoint:
CloseProcesses:
Folder: C:\hp
Folder: C:\ProgramData\VkontaekatDJ
Zip: C:\ProgramData\Slack;C:\ProgramData\Flock;C:\Program Files (x86)\BdAKRcyEFIE;C:\ProgramData\rJOKrOTOvoFGzgVB;C:\ProgramData\VkontaekatDJ
2021-02-28 10:05 - 2020-10-14 10:21 - 000000000 ____D C:\ProgramData\rJOKrOTOvoFGzgVB
2021-02-28 10:03 - 2020-10-14 10:21 - 000000000 ____D C:\Program Files (x86)\BdAKRcyEFIE
File: C:\WINDOWS\system32\rtvcvfw64.dll
Reboot:
End::
[/CODE][*] Скопируйте выделенный текст ([b]правой кнопкой - Копировать[/b]).[*] Запустите FRST/FRST64 (от имени администратора). [*] Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). . [*] Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

На рабочем столе образуется карантин вида [B]<date>.zip[/B] загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

Всё сделал, сформировавшийся лог-файл прикрепил на всякий случай

Похоже по предварительным данным найдено новое вредоносное ПО, я отправил карантин на исследование в ВирЛаб, ожидайте ответа.

[CODE]\bdakrcyefie\bypms49.dll - HEUR:Trojan.Win32.Agentb.gen
\bdakrcyefie\files\kernel.js - not-a-virus:HEUR:AdWare.Script.Generic
\slack\slack.exe - HEUR:Trojan.Win64.Miner.gen
\slack\slackg.exe - HEUR:Trojan.Win64.Miner.gen[/CODE]

Если Вы сами не устанавливали slack то выполните следующие инструкции:

[LIST][*] Закройте и сохраните все открытые приложения.[*] Выделите следующий код::
[CODE]
Start::
CreateRestorePoint:
CloseProcesses:
C:\ProgramData\Slack
C:\Program Files (x86)\BdAKRcyEFIE
C:\ProgramData\rJOKrOTOvoFGzgVB
Reboot:
End::
[/CODE][*] Скопируйте выделенный текст ([b]правой кнопкой - Копировать[/b]).[*] Запустите FRST/FRST64 (от имени администратора). [*] Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). . [*] Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

Всё выполнил. Утилита снова в работе, как ни в чём не бывало.

ВирЛаб подвердил детектирование вредоносного ПО.

Подготовьте пожалуйста новый лог утилиты FRST (frst.txt и addition.txt).

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Также сообщите пожалуйста, что из следующего вам известно?
[CODE]S3 FACEITService; D:\FACEIT AC\faceitservice.exe [19606416 2021-02-22] (FACE IT LIMITED -> )
R2 Transmission; C:\Program Files (x86)\Transmission\transmission-daemon.exe [1558232 2020-05-22] (SignPath Foundation -> Transmission Project)
S3 zksvc; C:\Program Files\Common Files\PUBG\zksvc.exe [6929144 2020-12-07] (PUBG CORPORATION -> PUBG Corporation)[/CODE]

Если вам ничего из этого неизвестно и если временно отключить запуск этих служб, проблема проявляется?

Этот известен:
S3 FACEITService; D:\FACEIT AC\faceitservice.exe [19606416 2021-02-22] (FACE IT LIMITED -> )
Остальные нет.

Addition:
[url]https://cloud.mail.ru/public/Scrs/N1fPSgqk3[/url]

Удалите старые вложения Мой кабинет => Вложения

[LIST][*] Закройте и сохраните все открытые приложения.[*] Выделите следующий код::
[CODE]
Start::
CreateRestorePoint:
CloseProcesses:
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
U3 aspnet_state; не ImagePath
2021-03-02 10:33 - 2021-03-08 10:40 - 000000258 __RSH C:\ProgramData\ntuser.pol
EmptyTemp:
Reboot:
End::
[/CODE][*] Скопируйте выделенный текст ([b]правой кнопкой - Копировать[/b]).[*] Запустите FRST/FRST64 (от имени администратора). [*] Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). . [*] Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

Могли бы просканировать вашу систему утилитой [URL="https://www.kaspersky.com/downloads/thank-you/free-virus-removal-tool"]KVRT[/URL] (предварительно отключив ваш антивирус перед сканированием)

Скрипт выполнил. Лог прикрепил.
KVRT проверку провёл, всё что вирусом признавалось удалил. Скрины в облаке.
[url]https://cloud.mail.ru/public/fSSo/kBPkgJxwF[/url]
[url]https://cloud.mail.ru/public/m3kc/A5hdvyJwa[/url]
[url]https://cloud.mail.ru/public/m5tz/Eck9EEyfG[/url]
[url]https://cloud.mail.ru/public/2c24/GV6f3ioUG[/url]
[url]https://cloud.mail.ru/public/tgkc/w98LScwz5[/url]

В общем не с первого раза добился очистки от всего.
Но! Нужно сказать, что после всех мероприятий процесс больше не включается. KVRT ничего не находит.

Отлично, активное вредоносное ПО, которое восстанавливало работу процессов, находился тут:
[CODE]C:\Program Files (x86)\Transmission[/CODE]
Если вы уверены, что этот каталог вам неизвестен и не нужен, то деинсталируйте эту программу через установку приложений в панели управления.

[B]Завершающие шаги[/B], если проблема не воспроизводиться, то:

1. Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.



Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2. Загрузите [URL="https://www.comss.ru/page.php?id=1813"]SecurityCheck by glax24 & Severnyj[/URL], сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [COLOR="#0000FF"]C:\SecurityCheck\SecurityCheck.txt[/COLOR]
Прикрепите этот файл к своему следующему сообщению.

Всё сделал.

Здравствуйте,

ознакомьтесь с рекомендациями:

---------------------- [ AntiVirusFirewallInstall ] -----------------------
McAfee LiveSafe v.16.0 R26 [color=red][b]Внимание! [url=https://home.mcafee.com/secure/protected/login.aspx?]Скачать обновления[/url][/b][/color]
-------------------------------- [ Arch ] ---------------------------------
7-Zip 21.00 alpha (x64) v.21.00 alpha [color=red][b]Данная версия программы больше не поддерживается разработчиком.[/b][/color]. [b]Удалите старую версию, [url=https://www.7-zip.org/download.html]скачайте[/url] и установите новую.[/b]
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45852 [color=red][b]Внимание! Клиент сети P2P с рекламным модулем![/b][/color].
---------------------------- [ UnwantedApps ] -----------------------------
WindowsRar 5.72.0.5625 [color=red][b]Внимание! Подозрение на Adware![/b][/color] Если данная программа Вам неизвестна, [color=blue][b]рекомендуется ее деинсталляция и сканирование ПК с помощью [url=https://www.malwarebytes.org/mwb-download/]Malwarebytes Anti-Malware[/url] и [URL=https://ru.malwarebytes.com/adwcleaner/]Malwarebytes AdwCleaner[/URL][/b][/color] [i]Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!![/i]
----------------------------- [ End of Log ] ------------------------------

Прикрепил текстовый файл после сканирования Malwarebytes всё отправил в карантин
AdwCleaner логи прикрепил, в первом добавил в исключения папки и сделал второе сканирование

[QUOTE=Денис Богач;1518858]Прикрепил текстовый файл после сканирования Malwarebytes всё отправил в карантин
[/QUOTE]

Похоже на хвосты от вредоносного ПО в реетре были. Попробуйте перепроверить еще раз утилитой KVRT но необходимо скачать его заново, как она выпускатся раз в два часа с новыми сигнатурами баз-данных.

всё чисто, ничего не находит

отлично, на этом все.

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]4[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]131[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] \bdakrcyefie\bypms49.dll - [B]HEUR:Trojan.Win32.Agentb.gen[/B][*] \bdakrcyefie\files\kernel.js - [B]not-a-virus:HEUR:AdWare.Scrip=
t.Generic[/B][*] c:\programdata\rjokrotovofgzgvb\jgaudrs.wsf - [B]HEUR:Trojan-Do=
wnloader.Script.SLoad.gen[/B] ( AVAST4: Script:SNH-gen [Adw] )[*] \slack\slack.exe - [B]HEUR:Trojan.Win64.Miner.gen[/B] ( AVAST4: =
Win64:Trojan-gen )[*] \slack\slackg.exe - [B]HEUR:Trojan.Win64.Miner.gen[/B] ( AVAST4:=
Win64:Trojan-gen )[/LIST][/LIST]