Сама по себе появилась вторая учетная запись [Trojan.Win64.Miner.qn, Trojan-Ransom.Win32.Wanna.m ]

[Headsmen]

Всем привет. Проблемы начались вчера. У меня проводной интернет. Подключен через роутер. Со вчерашнего дня стал пропадать интернет. Помогало только перезагрузка роутера ( по советам тех. поддержки моего провайдера ) Но после перезагрузки, через минут 20-30, интернет снова пропадал. В конце концов подключил интернет кабель на прямую в системный блок и помогло. Все вроде работало. Сегодня при включении компьютера обнаружил что появилась вторая учетная запись. Название SQL. USER. Запаролена. Компьютер давненько стал подтормаживать. Решил просканировать Курейтом. Сканировал правильно, в безопасном режиме. В итоге 5 вирусов. Три вируса под названием Back Door. Graybird , Back Door. Siggen , VBS. Siggen , один Троян и ещё какой то. Номера к сожалению не переписал. Не догадался так как думал что возможно избавился от проблемы. Подозрительная учетная запись осталась. Решил повторно пройтись курейтом. Нашел ещё один, Trojan. Siggen6. 44651. Учетная запись осталась. В итоге удалил её в ручную. Вопросы к вам такие, связаны ли все эти проблемы ? И всё ли правильно я сделал ? Ось Windows 7. Дальше ещё хуже. Переустанавливал ОС. Но проблемы те же. Недавно синий экран и опять та же учетная запись появилась

[Info_bot]

Уважаемый(ая) Headsmen, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Headsmen]

Как прикрепить логи ?report1.logreport2.log

- - - - -Добавлено - - - - -

CollectionLog-2017.12.13-20.53.zip

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\Windows\Fonts\1sass.exe');
 TerminateProcessByName('C:\Windows\Fonts\svchost.exe');
 TerminateProcessByName('c:\windows\fonts\wininit.exe');
 StopService('RpcEptManger');
 StopService('Samserver');
 QuarantineFile('C:\Windows\Fonts\1sass.exe', '');
 QuarantineFile('C:\Windows\Fonts\svchost.exe', '');
 QuarantineFile('c:\windows\fonts\wininit.exe', '');
 QuarantineFile('C:\Windows\mssecsvc.exe', '');
 DeleteFile('C:\Windows\Fonts\1sass.exe', '32');
 DeleteFile('C:\Windows\Fonts\svchost.exe', '32');
 DeleteFile('c:\windows\fonts\wininit.exe', '32');
 DeleteFile('C:\Windows\mssecsvc.exe', '32');
 DeleteService('RpcEptManger');
 DeleteService('Samserver');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Закрывайте дыру, заплатка для которой вышла ещё в апреле: http://www.catalog.update.microsoft....px?q=KB4012598
Иначе взломают снова.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Headsmen]

Addition.txtFRST.txt

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
HKU\S-1-5-21-4243549005-3158866523-1559013322-1000\...\Run: [ASRockOCTuner] => [X]
HKU\S-1-5-21-4243549005-3158866523-1559013322-1000\...\Run: [ASRockIES] => [X]
HKU\S-1-5-21-4243549005-3158866523-1559013322-1000\...\Run: [zASRockInstantBoot] => [X]
FF Homepage: Mozilla\Firefox\Profiles\ni6fget0.default -> hxxp://home.sweetim.com/?crg=4.0002002
FF Extension: (AlterGeo Addons) - C:\Users\Олег\AppData\Roaming\Mozilla\Firefox\Profiles\ni6fget0.default\Extensions\{B100D0FF-0001-8CE4-2790-AACE49B8AE35} [2012-03-12] [Legacy] [not signed]
FF SearchPlugin: C:\Users\Олег\AppData\Roaming\Mozilla\Firefox\Profiles\ni6fget0.default\searchplugins\sweetim.xml [2012-02-14]
CHR HKLM-x32\...\Chrome\Extension: [hdjacnejoohiamgmaciljlpniffgkojd] - <no Path/update_url>
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S3 SWUMX20; system32\DRIVERS\swumx20.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2017-12-12 23:59 - 2017-12-12 23:59 - 000633112 _____ C:\ProgramData\inis33.exe
2017-12-11 22:56 - 2017-12-13 17:34 - 003514368 ____S C:\Windows\tasksche.exe
2017-12-11 22:56 - 2017-12-13 17:33 - 003514368 ____S C:\Windows\qeriuwjhrf
2017-12-12 00:10 - 2017-12-12 00:10 - 000000000 ____D C:\Users\123
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Windows Firewall is disabled.
EnableLUA: 0

Файрволл и UAC отключены, обновления, хотя бы то, что я явно указал, не установили. Ждите рецидива.

[Headsmen]

В какую папку с Farbar Recovery Scan Tool ?

- - - - -Добавлено - - - - -

Обновил всё. На это потребовалась целая ночь

- - - - -Добавлено - - - - -

Fixlog.txt

[Vvvyg]

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[Headsmen]

SecurityCheck.txt

[Vvvyg]

Adobe Flash Player 11 ActiveX 64-bit v.11.1.102.55 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin 64-bit v.11.1.102.55 Внимание! Скачать обновления

Очень старые версии с множеством критических уязвимостей. Обновите, или удалите вовсе.

Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Обновите Internet Explorer до 11-й версии, даже если им не пользуетесь, это критически важный для безопасности компонент Windows.

И всё на этом.

[Headsmen]

Всё сделал как посоветовали. Буду наблюдать дальше. Огромное спасибо

[Vvvyg]

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\fonts\svchost.exe - Trojan.Win64.Miner.qn
  2. c:\windows\mssecsvc.exe - Trojan-Ransom.Win32.Wanna.m ( BitDefender: Gen:Variant.Adware.Barys.1890 )