Создаются папки, заполняется системный диск, частый синий экран смерти

[ixdit]

Создаются папки по всему диску имя произвольное и даже на кирилице, но всегда присутствует эта часть ivbfwecv
Компьютер часто падает в синий экран смерти с ошибкой memory_management не уверен что верно написал
Заполняется С диск (системный), где и какими файлами не понятно

[Info_bot]

Уважаемый(ая) ixdit, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Активного майнера нет, только остатки.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O7 - Policy: *\..\Policies\Explorer\DisallowRun: Fix all
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Apeaksoft Studio\23 (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ASUS (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\VideoSolo Studio\11 (empty)
O22 - Tasks: \Microsoft\Windows\Wininet\Cleaner - C:\Programdata\WindowsTask\winlogon.exe (file missing)
O22 - Tasks: \Microsoft\Windows\Wininet\RealtekHDControl - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\Wininet\RealtekHDStartUP - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\Wininet\Taskhost - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\Wininet\Taskhostw - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\Cleaner - C:\Programdata\WindowsTask\winlogon.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\RealtekHDControl - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\RealtekHDStartUP - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\Taskhost - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\Taskhostw - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - Account: (RDP Group) User 'john' is a member of Remote desktop group
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - (no service) - (allow RDP) - (all applications)
O27 - RDP: (Port) 3389 TCP opened as inbound - (no service) - (Remote Desktop) - (all applications)

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл, переместите в любую папку, кроме рабочего стола и загрузок. Не поможет - запустите из безопасного режима с поддержкой сети.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[ixdit]

Рекомендации выполнены. Файлы прикладываю к сообщению

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
CHR HKLM-x32\...\Chrome\Extension: [imhlianhlhdicjchlbmbfaefhhjencbe]
CustomCLSID: HKU\S-1-5-21-1949547929-2342940103-2429929325-1001_Classes\CLSID\{1F9E0710-2073-435F-9C1B-F29946205947}\InprocServer32 -> C:\Users\Hellraiser\AppData\Local\Google\Update\1.3.36.152\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1949547929-2342940103-2429929325-1001_Classes\CLSID\{2919A592-BF5E-4AF5-A658-84454D70841E}\InprocServer32 -> C:\Users\Hellraiser\AppData\Local\Google\Update\1.3.36.202\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1949547929-2342940103-2429929325-1001_Classes\CLSID\{5D44759C-CF3F-433D-9EA0-267E45577C77}\InprocServer32 -> C:\Users\Hellraiser\AppData\Local\Google\Update\1.3.36.212\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1949547929-2342940103-2429929325-1001_Classes\CLSID\{85D8EE2F-794F-41F0-BB03-49D56A23BEF4}\InprocServer32 -> C:\Users\Hellraiser\AppData\Local\Google\Update\1.3.36.352\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1949547929-2342940103-2429929325-1001_Classes\CLSID\{8D422533-936A-4A82-B15C-BD5319AB0026}\InprocServer32 -> C:\Users\Hellraiser\AppData\Local\Google\Update\1.3.36.332\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1949547929-2342940103-2429929325-1001_Classes\CLSID\{AE9899FA-E21F-4D91-BD1F-59BC10E56CA1}\InprocServer32 -> C:\Users\Hellraiser\AppData\Local\Google\Update\1.3.36.292\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1949547929-2342940103-2429929325-1001_Classes\CLSID\{B9C751AA-D9CF-4E09-A270-E5BBD2194F83}\InprocServer32 -> C:\Users\Hellraiser\AppData\Local\Google\Update\1.3.36.352\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1949547929-2342940103-2429929325-1001_Classes\CLSID\{CA07EE63-A212-4373-AE82-FBF92FCA8DCC}\InprocServer32 -> C:\Users\Hellraiser\AppData\Local\Google\Update\1.3.36.242\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1949547929-2342940103-2429929325-1001_Classes\CLSID\{DA06AAE8-5748-4509-850F-17AA522F8372}\InprocServer32 -> C:\Users\Hellraiser\AppData\Local\Google\Update\1.3.36.272\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1949547929-2342940103-2429929325-1001_Classes\CLSID\{E4949BE6-C9FF-4AFA-8672-6127D857418B}\InprocServer32 -> C:\Users\Hellraiser\AppData\Local\Google\Update\1.3.36.312\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1949547929-2342940103-2429929325-1001_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\Hellraiser\AppData\Local\Google\Update\1.3.36.352\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1949547929-2342940103-2429929325-1001_Classes\CLSID\{ED0BC9DB-3CE6-49E5-9B2F-590DCEF8C016}\InprocServer32 -> C:\Users\Hellraiser\AppData\Local\Google\Update\1.3.36.342\psuser_64.dll => Нет файла
ShellIconOverlayIdentifiers: [  00BitrixShellExt] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} =>  -> Нет файла
ShellIconOverlayIdentifiers: [  00BitrixShellExt_C] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [  00BitrixShellExt_E] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} =>  -> Нет файла
ShellIconOverlayIdentifiers: [  00BitrixShellExt_L] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} =>  -> Нет файла
ShellIconOverlayIdentifiers: [  00BitrixShellExt_S] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} =>  -> Нет файла
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [  00BitrixShellExt] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [  00BitrixShellExt_C] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [  00BitrixShellExt_E] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [  00BitrixShellExt_L] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [  00BitrixShellExt_S] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} =>  -> Нет файла
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> Нет файла
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Нет файла
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> Нет файла
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> Нет файла
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Нет файла
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Нет файла
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1C Предприятие.lnk -> C:\Program Files (x86)\1cv8\common\1cestart.exe (Нет файла) <==== Cyrillic
AlternateDataStreams: C:\ProgramData:54157ab4 [1870]
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
AlternateDataStreams: C:\Users\Hellraiser\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [UDP Query User{3D1180FE-986F-4618-ABEC-994D15F8BF88}C:\program files\adobe\adobe dreamweaver cc 2017\node\node.exe] => (Allow) C:\program files\adobe\adobe dreamweaver cc 2017\node\node.exe => Нет файла
FirewallRules: [TCP Query User{EB886FED-BFA5-47F4-A0B0-B53B54BC2C01}C:\program files\adobe\adobe dreamweaver cc 2017\node\node.exe] => (Allow) C:\program files\adobe\adobe dreamweaver cc 2017\node\node.exe => Нет файла
FirewallRules: [{0DFF83C0-AA7B-4554-9A75-1A745E39402D}] => (Allow) C:\Users\Hellraiser\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{8A597733-04C3-485D-8DD5-C4FFE6B89C2D}] => (Allow) C:\Users\Hellraiser\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{2A488865-3992-48F8-839C-8771DFDB492A}] => (Allow) C:\Users\Hellraiser\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{696237B2-4457-49E4-9D29-5EAF6F3E2E1B}] => (Allow) C:\Users\Hellraiser\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{A23294BB-277C-46AE-A2F7-EBB16E01A580}] => (Allow) C:\Users\Hellraiser\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{FD0CCED8-E4BC-4576-B20D-907450CCC1A2}] => (Allow) C:\Users\Hellraiser\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [TCP Query User{B7F038CE-8E0D-484F-9FFC-314CF44175A3}C:0\osp\ospanel\open server x64.exe] => (Allow) C:0\osp\ospanel\open server x64.exe => Нет файла
FirewallRules: [UDP Query User{47593055-EAD0-441A-A2F3-E546A2096162}C:0\osp\ospanel\open server x64.exe] => (Allow) C:0\osp\ospanel\open server x64.exe => Нет файла
FirewallRules: [TCP Query User{4BF271C9-98F2-485D-A7E0-A16DF93DBE05}C:\users\hellraiser\appdata\local\tmetric desktop\tmetricdesktop.exe] => (Allow) C:\users\hellraiser\appdata\local\tmetric desktop\tmetricdesktop.exe => Нет файла
FirewallRules: [UDP Query User{BCC8B8AF-BD0B-4238-BAAE-D7F2251411DB}C:\users\hellraiser\appdata\local\tmetric desktop\tmetricdesktop.exe] => (Allow) C:\users\hellraiser\appdata\local\tmetric desktop\tmetricdesktop.exe => Нет файла
FirewallRules: [{0A9A37F2-221E-4975-B976-19DAAB591B64}] => (Allow) C:\Program Files\MiniTool ShadowMaker\AgentService.exe => Нет файла
FirewallRules: [{04CDF561-91A6-4F10-B5F2-E8880EEFDDD1}] => (Allow) C:\Program Files\MiniTool ShadowMaker\AgentService.exe => Нет файла
FirewallRules: [{087798A6-FCA9-4A3F-BC2A-9A38C88A2941}] => (Allow) C:\Program Files\MiniTool ShadowMaker\AgentService.exe => Нет файла
FirewallRules: [{9D7E7E5F-5C61-48C6-BEDA-671EFD873680}] => (Allow) C:\Program Files\MiniTool ShadowMaker\AgentService.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\*.*"
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
del /s /q C:\Windows\Minidump\*.dmp
ipconfig /flushdns
sfc /scannow
dir C:\
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив .RAR с максимальным сжатием и прикрепите к своему следующему сообщению.
Компьютер будет перезагружен.

[ixdit]

выполнил рекомендацию, но после подтверждения о перезагрузке система выдала синий экран, ошибку не успел увидеть

[Vvvyg]

Активных вредоносов не было, хвосты майнера подчистили. По возможным причинам BSOD смотрите, например, тут. В папке c:\Windows\Minidump могут быть дампы, помогут анализу причин.

Что касается странных папок - установлено много программ, видимо, одна из них создаёт. Можно так, например, отследить, какая именно.
Загрузите Process Monitor, распакуйте и запустите Procmon.exe. Меню Filter -> Filter..., в строке Display entries matching these conditions: Path contains впечатываете ivbfwecv then Include, далее Add, Apply и OK.
Когда в окне появятся записи, упоминающие эти папки, остановите мониторинг, смотрите подробности.

[ixdit]

Огромное Вам человеческое спасибо за помощь!

[Vvvyg]

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.