появляется майнер и вирусы при сканировании CURE IT [Trojan.Boot.DarkGalaxy.a]

[Vvvyg]

Мда, трэш.
Сделайте новый полный образ автозапуска uVS.

[Stand]

Готово.
https://my-files.ru/4dtvsw

[Vvvyg]

На момент создания образа - только хвосты от майнера.

Удалите старый образ автозапуска из вложений.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
adddir %SystemRoot%\DEBUG
zoo %SystemRoot%\DEBUG\XMRSTAK_CUDA_BACKEND.DLL
addsgn BA653BBE5D22C5262FC4E23820EC0A85DF8BF3730BF81F78D69592E9185B446144723C1FB3EB9DA95E7ED3AE9D2780B2FE12179A05DAB02C2CACD02D34C5A96D 24 PUA:Win32/CoinMiner 7
addsgn 9252775A016AC1CC0B84454E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Win64.Miner.ide [Kaspersky] 7
addsgn 9252770A016AC1CC0B54454E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.Win64.Miner.ijc [Kaspersky] 7
addsgn 9AE0D208F282AB8B03D4BE7B0D778E3941C61D7F6E0413CEFB7BE21176F33C517B9494368CC974D41E78F556B4D29A37E64990203885E8CD26C07DF35A3637B8 8 Trojan.BtcMine.3106 [DrWeb] 7

chklst
delvir

delref %Sys32%\DRIVERS\00626451.SYS
delref %Sys32%\DRIVERS\52934237.SYS
delref %Sys32%\DRIVERS\93797981.SYS
delref %Sys32%\DRIVERS\96367593.SYS
delref MBAMSERVICE\[SERVICE]
delref %Sys32%\DRIVERS\ASWHDSKE.SYS
delref %Sys32%\DRIVERS\VBOXNETFLT.SYS
delref %Sys32%\DRIVERS\VDI1MZQW.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.8\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\AUTODESK\3DS MAX DESIGN 2014\3DSMAX.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.8\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\NOX\BIN\NOX.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\NOX\BIN\NOX_UNLOAD.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\HIDEGUARD VPN\UNINSTALLER.EXE
delref %SystemDrive%\UNIFIED_ANDROID_TOOLKIT\TOOLKIT.EXE
delref %SystemDrive%\UNIFIED_ANDROID_TOOLKIT\TOOLKITCLEAN.EXE
delref %SystemDrive%\PROGRAM FILES\THE BAT!\THEBAT.EXE
delref %SystemDrive%\PROGRAM FILES\ANDROID\ANDROID STUDIO1\BIN\STUDIO64.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\VCG\MESHLAB\MESHLAB.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\VCG\MESHLAB\UNINST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\VCG\MESHLAB\MESHLAB.URL
delref %SystemDrive%\PROGRAM FILES (X86)\PROXYFINDERENTERPRISE\PROXYFINDER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\PROXYFINDERENTERPRISE\UNINSTAL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TELEPORT PRO\SCHEDULER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TELEPORT PRO\PRO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TELEPORT PRO\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\SAMLAB.WS.URL
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\TOTALCMD.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\PLUGINS\EXE\TWEAKTC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\PLUGINS\EXE\DECRYPTC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\UUDS\UUDISCSSTUDIO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\DEVEJECT\REMOVEDRIVE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\PLUGINS\WFX\BADCOPY\NSCOPY\NSCOPY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\PASSWORDCRACKER\PWDCRACK.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\PLUGINS\WLX\AMPVIEW\AMPVIEW.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\STARTER\STARTER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\MYUNINSTALLER\MYUNINST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\DISKCLEANER\WISEDISKCLEANER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\REGCLEANER\WISEREGISTRYCLEANER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\USERGATE\USERGATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\USERGATE\UNINSTAL.EXE
deltmp
czoo
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Stand]

выполнил
https://my-files.ru/9myrtq
https://my-files.ru/dg8r84

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
FF NewTab: Mozilla\Firefox\Profiles\n1imj646.default -> hxxps://search.yahoo.com/yhs/web?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__hp_WCYID10420__180609__yaff
FF SearchPlugin: C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles\n1imj646.default\searchplugins\yahoo-lavasoft-ff59.xml [2018-06-09]
U0 aswVmm; no ImagePath
CMD: type C:\Windows\pools.txt
CMD: type C:\Windows\cpu.txt
CMD: type C:\Windows\config.txt
2018-12-12 14:25 - 2018-12-21 07:11 - 000000336 _____ C:\Windows\pools.txt
2018-12-12 14:25 - 2018-12-12 14:25 - 000002587 _____ C:\Windows\cpu.txt
2018-12-12 14:37 - 2018-12-21 10:13 - 000000081 _____ C:\Windows\system32\s
2018-12-12 14:37 - 2018-12-21 10:13 - 000000079 _____ C:\Windows\system32\ps
2018-12-12 14:37 - 2018-12-21 10:13 - 000000077 _____ C:\Windows\system32\p
Virustotal: C:\Windows\SysWOW64\Drivers\64.exe
2018-12-12 14:24 - 2018-12-19 16:48 - 015038553 _____ C:\Windows\SysWOW64\Drivers\64.exe
2018-12-21 07:11 - 2018-05-06 09:12 - 000000406 _____ C:\Windows\config.txt
2018-12-12 13:54 - 2018-09-01 14:32 - 000000000 ____D C:\ProgramData\Bitdefender
2017-11-27 14:32 - 2017-11-27 14:32 - 000213112 _____ () C:\Users\Андрей\AppData\Roaming\DMGR_1N1I1F1S1T1I0M1F1Q2Y1I1P1B0C1F1Q1P.txt
Task: {485ECABD-B74C-4915-BD41-ECA33956CB09} - \ok -> No File <==== ATTENTION
Task: {546E6989-A0A4-47F0-9EC6-79F6ACCB044B} - \Mysa -> No File <==== ATTENTION
Task: {67A96AD8-3446-4C85-AEF3-EAA749CEDA4C} - \Mysa2 -> No File <==== ATTENTION
Task: {71FF8DB6-6C52-471A-AD16-C2815E8F7116} - \Mysa1 -> No File <==== ATTENTION
Task: {8DB7DCE1-0892-4879-8532-951303C11AD3} - \Mysa3 -> No File <==== ATTENTION
FirewallRules: [{EC9702A7-14D4-4A4A-8BB2-24A59B574D3E}] => (Block) LPort=445
FirewallRules: [{608B6E86-F408-418A-BAE5-F96C2598ACB8}] => (Block) LPort=139
Tcpip\..\Interfaces\{8C66E564-1429-4471-AE54-F1119E26071D}: [NameServer] 46.166.179.52 46.166.179.53
Tcpip\..\Interfaces\{8C66E564-1429-4471-AE54-F1119E26071D}: [DhcpNameServer] 46.166.179.52 46.166.179.53
CMD: ipconfig /flushdns
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры,
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой, подробно, по возможности.

[Stand]

сделал.

[Vvvyg]

Сообщите, что с проблемой, подробно, по возможности.

Жду комментариев, по последним двум логам были только хвосты от троянов/майнеров.

[Stand]

вроде все тихо. cure it находит только хвосты в темпори интернет файлах, благополучно удалил. tnx
загрузка системы очень быстрая

[Vvvyg]

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[Stand]

Выполнил.

[Vvvyg]

Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено

С учётом того, что зловреды активно используют уязвимости системы, хотя бы критические патчи нужно своевременно устанавливать:

------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138910 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3170455 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
HotFix KB4056894 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления
HotFix KB4074587 Внимание! Скачать обновления
HotFix KB4103712 Внимание! Скачать обновления
HotFix KB4343899 Внимание! Скачать обновления
HotFix KB4457145 Внимание! Скачать обновления
HotFix KB4462923 Внимание! Скачать обновления
HotFix KB4471318 Внимание! Скачать обновления

Обновите Java:

Java SE Development Kit 7 Update 79 (64-bit) v.1.7.0.790 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SDK 8 (jdk-8u192-windows-x64.exe).
Java 8 Update 181 v.8.0.1810.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u192-windows-i586.exe)^

И FF:

Mozilla Firefox 61.0.2 (x64 ru) v.61.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^

И на этом всё.

[CyberHelper]

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

• =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 2
• =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 9
• =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
  =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
  
  1. \tdsskiller_quarantine\18.12.2018_09.46.00\mbr0000 \mbr0000\ts=
     k0000.dta - Trojan.Boot.DarkGalaxy.a
  2. \tdsskiller_quarantine\18.12.2018_09.46.00\mbr0000 \mbr0000\ts=
     k0001.dta - Trojan.Boot.DarkGalaxy.a
  3. \tdsskiller_quarantine\19.12.2018_16.55.06\mbr0000 \mbr0000\ts=
     k0000.dta - Trojan.Boot.DarkGalaxy.a
  4. \tdsskiller_quarantine\19.12.2018_16.55.06\mbr0000 \mbr0000\ts=
     k0001.dta - Trojan.Boot.DarkGalaxy.a