Комп тормозит, похоже вирус майнер.

[Stolyar]

Очень сильно тормозит комп, очень похоже что вирус майнер. Кроме того с большим трудом запустил Autologger, с помощью переименования папки и файла, иначе не запускался и не открывалась папка даже.
Создал архив с логами. Помогите вылечить эту заразу. Спасибо!

[Info_bot]

Уважаемый(ая) Stolyar, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O7 - Policy: *\..\Policies\Explorer\DisallowRun: Fix all
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - Account: (RDP Group) User 'John' is a member of Remote desktop group
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - (no service) - (Remote Desktop) - (all applications)
O27 - RDP: (Port) 3389 TCP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)) - C:\WINDOWS\system32\svchost.exe
O27 - RDP: (Port) 3389 UDP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик UDP)) - C:\WINDOWS\system32\svchost.exe

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Запустите сразу из любой папки, кроме рабочего стола и загрузок. Не поможет - запустите из безопасного режима с поддержкой сети.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

Сделайте новый лог Autologger.

[Stolyar]

Всё проделал, только вот эту строчку не нашел в списке:

O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1

Выкладываю новые логи.

[Vvvyg]

Выглядит хорошо, дочистим остатки.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Stolyar]

Вот эти логи.

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-2675518513-1914698858-716837223-1112\...\MountPoints2: {7d6112f8-fcd0-11e7-ab1c-000b0e0f00ed} - "F:\Autoplay.exe" -auto
HKU\S-1-5-21-2675518513-1914698858-716837223-1112\...\MountPoints2: {bf8b06b1-9b5b-11eb-b23f-000b0e0f00ed} - "E:\start.exe" 
HKU\S-1-5-18\...\Run: [] => [X]
Task: {120A8859-3ED9-4D2E-9E40-F28423A9D75A} - \KMSAutoNet -> Нет файла <==== ВНИМАНИЕ
Task: {ACB6739D-0D18-42D6-8AEF-4D04DA034E42} - \Driverupdater -> Нет файла <==== ВНИМАНИЕ
2024-07-11 13:33 - 2024-07-04 09:58 - 000005002 _____ C:\WINDOWS\system32\Drivers\etc\2024-07-11_13-33_hosts.bak
2024-06-17 09:55 C:\Program Files\ReasonLabs
2024-06-17 09:55 C:\Program Files (x86)\Wise
2024-06-17 09:54 - 2024-06-17 09:54 - 000037376 _____ (Microsoft Corporation) C:\WINDOWS\system32\rfxvmt.dll
CustomCLSID: HKU\S-1-5-21-2675518513-1914698858-716837223-1112_Classes\CLSID\{1108FD1C-492F-4251-B9DB-77F0274267B2}\InprocServer32 -> C:\Users\n.pomazkova\AppData\Local\Microsoft\EdgeUpdate\1.3.187.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2675518513-1914698858-716837223-1112_Classes\CLSID\{2EF7E390-2F7C-4F9A-9B7D-4A87B56B711D}\InprocServer32 -> C:\Users\n.pomazkova\AppData\Local\Microsoft\EdgeUpdate\1.3.173.51\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2675518513-1914698858-716837223-1112_Classes\CLSID\{38971E90-14FD-44F6-AA45-1447B653F873}\InprocServer32 -> C:\Users\n.pomazkova\AppData\Local\Microsoft\EdgeUpdate\1.3.173.45\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2675518513-1914698858-716837223-1112_Classes\CLSID\{608D599A-DCA6-4A7C-BED7-AFCD8465345A}\InprocServer32 -> C:\Users\n.pomazkova\AppData\Local\Microsoft\EdgeUpdate\1.3.175.29\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2675518513-1914698858-716837223-1112_Classes\CLSID\{64C6EFB9-8F79-4106-B975-067448DC768F}\InprocServer32 -> C:\Users\n.pomazkova\AppData\Local\Microsoft\EdgeUpdate\1.3.177.11\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2675518513-1914698858-716837223-1112_Classes\CLSID\{6DD6748E-7DAE-47EF-B4D5-03AA1B06D697}\InprocServer32 -> C:\Users\n.pomazkova\AppData\Local\Microsoft\EdgeUpdate\1.3.187.39\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2675518513-1914698858-716837223-1112_Classes\CLSID\{72726D01-426C-4B35-8266-B4496CAA889E}\InprocServer32 -> C:\Users\n.pomazkova\AppData\Local\Microsoft\EdgeUpdate\1.3.183.29\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2675518513-1914698858-716837223-1112_Classes\CLSID\{7C9A348D-C321-47AC-904F-150312A5430F}\InprocServer32 -> C:\Users\n.pomazkova\AppData\Local\Microsoft\EdgeUpdate\1.3.175.27\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2675518513-1914698858-716837223-1112_Classes\CLSID\{AE1542A7-3989-481B-93A9-1500C5F56B14}\InprocServer32 -> C:\Users\n.pomazkova\AppData\Local\Microsoft\EdgeUpdate\1.3.185.27\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2675518513-1914698858-716837223-1112_Classes\CLSID\{B29F5F83-90DF-479A-BDE7-8A9F4412E394}\InprocServer32 -> C:\Users\n.pomazkova\AppData\Local\Microsoft\EdgeUpdate\1.3.171.39\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2675518513-1914698858-716837223-1112_Classes\CLSID\{CAE1760A-CB07-481B-8F9A-BC65510AF5D5}\InprocServer32 -> C:\Users\n.pomazkova\AppData\Local\Microsoft\EdgeUpdate\1.3.185.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2675518513-1914698858-716837223-1112_Classes\CLSID\{DAA7499A-B3AC-4419-A89B-124318504051}\InprocServer32 -> C:\Users\n.pomazkova\AppData\Local\Microsoft\EdgeUpdate\1.3.185.29\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2675518513-1914698858-716837223-1112_Classes\CLSID\{E3D57E77-FE71-4D06-BD34-D48820074909}\InprocServer32 -> C:\Users\n.pomazkova\AppData\Local\Microsoft\EdgeUpdate\1.3.181.5\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2675518513-1914698858-716837223-1112_Classes\CLSID\{E76F97B1-1AE9-497C-9FA4-F57BBABAD54A}\InprocServer32 -> C:\Users\n.pomazkova\AppData\Local\Microsoft\EdgeUpdate\1.3.185.17\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2675518513-1914698858-716837223-1112_Classes\CLSID\{E8791438-3525-48BF-A600-C577AD1674C2}\InprocServer32 -> C:\Users\n.pomazkova\AppData\Local\Microsoft\EdgeUpdate\1.3.173.49\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2675518513-1914698858-716837223-1112_Classes\CLSID\{F1CBF5EB-347F-4E4C-90AC-E43339FC34EC}\InprocServer32 -> C:\Users\n.pomazkova\AppData\Local\Microsoft\EdgeUpdate\1.3.173.55\psuser_64.dll => Нет файла
ShellExecuteHooks: Нет имени - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} -  -> Нет файла
ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} =>  -> Нет файла
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Нет файла
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [162]
FirewallRules: [{B04267CF-A1B9-4718-B594-89D4027623C7}] => (Allow) C:\Users\pomazkova\AppData\Local\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{09694ECF-AAA8-48FC-8D67-A6D01ED28196}] => (Allow) C:\Users\pomazkova\AppData\Local\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [TCP Query User{14B97A09-CA2B-4E5B-912D-2216D6119AEA}C:\users\n.pomazkova\documents\1c-connect\bin\bph_rda\rms\rutserv.exe] => (Block) C:\users\n.pomazkova\documents\1c-connect\bin\bph_rda\rms\rutserv.exe => Нет файла
FirewallRules: [UDP Query User{D40C6FD8-AACF-4841-A821-8ACCDEE6A3EA}C:\users\n.pomazkova\documents\1c-connect\bin\bph_rda\rms\rutserv.exe] => (Block) C:\users\n.pomazkova\documents\1c-connect\bin\bph_rda\rms\rutserv.exe => Нет файла
FirewallRules: [TCP Query User{C5D627C3-ACDA-4E66-80AD-09413A73429D}C:\program files (x86)\1cv8\8.3.18.1289\bin\1cv8.exe] => (Allow) C:\program files (x86)\1cv8\8.3.18.1289\bin\1cv8.exe => Нет файла
FirewallRules: [UDP Query User{04E73BDE-9047-42B6-AB68-F5982399F152}C:\program files (x86)\1cv8\8.3.18.1289\bin\1cv8.exe] => (Allow) C:\program files (x86)\1cv8\8.3.18.1289\bin\1cv8.exe => Нет файла
FirewallRules: [TCP Query User{888B2FC9-47EA-4AE3-9AE7-F36E2374AAC7}C:\program files (x86)\1cv8\8.3.18.1289\bin\1cv8c.exe] => (Allow) C:\program files (x86)\1cv8\8.3.18.1289\bin\1cv8c.exe => Нет файла
FirewallRules: [UDP Query User{92986773-6DA0-4398-A463-6C819D97AA34}C:\program files (x86)\1cv8\8.3.18.1289\bin\1cv8c.exe] => (Allow) C:\program files (x86)\1cv8\8.3.18.1289\bin\1cv8c.exe => Нет файла
FirewallRules: [{EDDA2BA6-765B-4FA4-A0DD-77FA991960BD}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.75.140.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{62A29C4D-78C6-456F-8C73-780CD1687ECB}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.75.140.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{F44F877B-B75C-4B95-825E-3B01B9AE8BA6}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.75.140.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{4AADE452-331A-4699-A89B-9BD339C5BD96}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.75.140.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [TCP Query User{F278689D-54DB-4D18-8160-CB5487DE6E71}C:\windows\system32\wscript.exe] => (Allow) C:\windows\system32\wscript.exe
FirewallRules: [UDP Query User{337834C5-741F-4D33-BAAF-8DC4C9E15188}C:\windows\system32\wscript.exe] => (Allow) C:\windows\system32\wscript.exe
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
ipconfig /flushdns
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив .RAR и прикрепите к своему следующему сообщению.
Компьютер будет перезагружен.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[Stolyar]

Всё это проделал, вот логи:

[Vvvyg]

Ещё исправление нужно.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
StartPowerShell:
Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt), выложите его.

[Stolyar]

Сделал. Вот лог:

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O22 - Task (.job): Adobe Flash Player Updater.job - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (sign: 'Adobe Systems Incorporated')

WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
Архиватор WinRAR Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.

Обновите WinRar: Российские хакеры используют недавнюю уязвимость в WinRAR.

AusLogics BoostSpeed 10.0.24.0 v.10.0.24.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция.

Drive c: (SYSTEM) (Fixed) (Total:144.55 GB) (Free:3.61 GB) NTFS

Критически мало свободного места на системном диске.

Не правильно, что у пользователя есть права администратора, без них подобный майнер не установится.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

[Stolyar]

Всё проделал, спасибо!!!!!