Майнеры и прочее

**kingfossil** · 14.08.2021, 18:10

Добрый день.
Некоторое время назад заметил сбои в работе видеокарты - крашились и тормозили игры, крашился плеер при просмотре фильмов. Изредка раздавались стандартные звуки ошибки без каких-либо видимых причин. Иногда компьютер не выключался полностью после "завершения работы".
Наконец-то дошли руки "проверить на вирусы" AutoLogger'ом, результаты чего прилагаю во вложении.
В протоколе AVZ явно заметны вредоносные программы типа Unarchiver.exe и прочие отклонения от желательной нормы, но собственных знаний для исправления всего этого у меня не хватает.
Буду признателен за помощь в решении проблемы.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 14.08.2021, 18:12

Уважаемый(ая) kingfossil, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**kingfossil** · 14.08.2021, 18:48

Запустил AutoLogger еще раз, потому что не уверен, что первый раз сделал это "от имени администратора".

Ко всему прочему обнаружил, что не могу запустить планировщик заданий – при нажатии на его иконку в меню "пуск" ничего не происходит, а при использовании строки "выполнить" пишет, "операция отменена из за ограничений действующих на этом компьютере".

**Vvvyg** · 15.08.2021, 11:10

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Dima Kadanov\AppData\Roaming\Unarchiver\Unarchiver.exe', '');
 QuarantineFileF('c:\users\dima kadanov\appdata\roaming\unarchiver', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', false, '', 0 , 0);
 DeleteFile('C:\Program Files (x86)\Lavasoft\Web', '64');
 DeleteFile('C:\Users\Dima Kadanov\AppData\Roaming\Unarchiver\Unarchiver.exe', '64');
 DeleteService('AvastWscReporter');
 DeleteFileMask('c:\program files (x86)\lavasoft', '*', true);
 DeleteFileMask('c:\users\dima kadanov\appdata\roaming\unarchiver', '*', true);
 DeleteDirectory('c:\program files (x86)\lavasoft');
 DeleteDirectory('c:\users\dima kadanov\appdata\roaming\unarchiver');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Web Companion', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Web Companion', '64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run', 'OneDriveSetup', 'x32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run', 'OneDriveSetup', 'x64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run', 'OneDriveSetup', 'x32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run', 'OneDriveSetup', 'x64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 DeleteSchedulerTask('ContentManagement');
 DeleteSchedulerTask('Microsoft\Windows\applicationdata\ApplicationData');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O22 - Task: PCIeBusPower - C:\Windows\system32\vssadmin.exe delete shadows /all /quiet
O22 - Task: PCIeBusQueue - C:\Windows\system32\wevtutil.exe cl System

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**kingfossil** · 15.08.2021, 22:12

Логи FSRT во вложении.

**Vvvyg** · 15.08.2021, 22:41

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-3758377842-3776851621-992298731-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-3758377842-3776851621-992298731-1001\...\Policies\Explorer\DisallowRun: [1] Autoruns.exe
HKU\S-1-5-21-3758377842-3776851621-992298731-1001\...\Policies\Explorer\DisallowRun: [2] Autoruns64.exe
HKU\S-1-5-21-3758377842-3776851621-992298731-1001\...\Policies\Explorer\DisallowRun: [3] Autoruns64a.exe
HKU\S-1-5-21-3758377842-3776851621-992298731-1001\...\Policies\Explorer\DisallowRun: [4] autorunsc.exe
HKU\S-1-5-21-3758377842-3776851621-992298731-1001\...\Policies\Explorer\DisallowRun: [5] autorunsc64.exe
HKU\S-1-5-21-3758377842-3776851621-992298731-1001\...\Policies\Explorer\DisallowRun: [6] autorunsc64a.exe
HKU\S-1-5-21-3758377842-3776851621-992298731-1001\...\Policies\Explorer\DisallowRun: [7] RogueKiller_setup.exe
HKU\S-1-5-21-3758377842-3776851621-992298731-1001\...\Policies\Explorer\DisallowRun: [8] taskschd.msc
HKU\S-1-5-21-3758377842-3776851621-992298731-1001\...\Policies\Explorer\DisallowRun: [9] mmc.exe
CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
2021-08-13 19:47 - 2021-05-09 09:05 - 000000000 _RSHD C:\ProgramData\Windows
2021-08-12 11:55 - 2021-05-11 01:12 - 1241245159 _____ C:\Windows\MEMORY.DMP
FirewallRules: [TCP Query User{7064A172-BE91-452A-9C25-5010936D2D91}C:\downloads\utorrent\utorrent.exe] => (Allow) C:\downloads\utorrent\utorrent.exe => Нет файла
FirewallRules: [UDP Query User{E0AFF868-FBCF-413D-844C-631CA902884E}C:\downloads\utorrent\utorrent.exe] => (Allow) C:\downloads\utorrent\utorrent.exe => Нет файла
FirewallRules: [{8F43655F-2FF7-4666-8311-EEFD94B8C5CC}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{9FB49666-BE3F-403B-9E20-E340F2B2E89A}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
FirewallRules: [{A37EFDDD-5F39-4461-B0EE-A64CDEF1F1D3}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
FirewallRules: [TCP Query User{CE00DB9C-FA82-4EAE-9C3D-00D3EFCE14CE}C:\games\forzahorizon4\forzahorizon4.exe] => (Block) C:\games\forzahorizon4\forzahorizon4.exe => Нет файла
FirewallRules: [UDP Query User{8E9CDE4A-8A95-4ADD-AA48-348D52C7C0D4}C:\games\forzahorizon4\forzahorizon4.exe] => (Block) C:\games\forzahorizon4\forzahorizon4.exe => Нет файла
FirewallRules: [TCP Query User{C81CEFF2-279E-4263-BAE2-42EB48F31D55}C:\games\gtav\gta5.exe] => (Block) C:\games\gtav\gta5.exe => Нет файла
FirewallRules: [UDP Query User{9997DF79-A1A2-410E-ADF9-869BF07765F2}C:\games\gtav\gta5.exe] => (Block) C:\games\gtav\gta5.exe => Нет файла
FirewallRules: [TCP Query User{CCCC3DC3-D607-4C10-BE89-CB6EC4256B62}C:\games\far cry 4\bin\farcry4.exe] => (Block) C:\games\far cry 4\bin\farcry4.exe => Нет файла
FirewallRules: [UDP Query User{5B91234A-2B71-4C4B-BC23-898F14F56F32}C:\games\far cry 4\bin\farcry4.exe] => (Block) C:\games\far cry 4\bin\farcry4.exe => Нет файла
FirewallRules: [TCP Query User{4B4216B3-4B8E-4F7D-AC9B-25B721D30E20}C:\games\crash bandicoot 4\lava\binaries\win64\lava-win64-shipping.exe] => (Block) C:\games\crash bandicoot 4\lava\binaries\win64\lava-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{A4B6EC62-5DF3-4F22-9664-E04EC26BF6CC}C:\games\crash bandicoot 4\lava\binaries\win64\lava-win64-shipping.exe] => (Block) C:\games\crash bandicoot 4\lava\binaries\win64\lava-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{7725C563-41FC-442D-AC54-2E9C2FF73CEA}C:\program files (x86)\steam\steamapps\common\divinity original sin 2\defed\bin\eocapp.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\divinity original sin 2\defed\bin\eocapp.exe => Нет файла
FirewallRules: [UDP Query User{A486D2E2-85CF-43E9-A2F7-A28CFC2D6BB9}C:\program files (x86)\steam\steamapps\common\divinity original sin 2\defed\bin\eocapp.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\divinity original sin 2\defed\bin\eocapp.exe => Нет файла
FirewallRules: [TCP Query User{AE52BD8F-AB91-4BC7-9E8E-CD3C307A6D71}C:\program files (x86)\steam\steamapps\common\backbone prologue\detective\binaries\win64\detective-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\backbone prologue\detective\binaries\win64\detective-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{1A039398-BA28-4F25-ABD8-F37449484BE8}C:\program files (x86)\steam\steamapps\common\backbone prologue\detective\binaries\win64\detective-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\backbone prologue\detective\binaries\win64\detective-win64-shipping.exe => Нет файла
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемами.

**kingfossil** · 16.08.2021, 22:53

Сообщите, что с проблемами.

Теперь всё супер. Системник перестал греться и шуметь куллерами, диспетчер задач корректно отображает графики на вкладке производительность, ничего не притормаживает и всё летает.
Большое спасибо за вашу помощь.

**Vvvyg** · 17.08.2021, 07:02

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Майнеры и прочее (заявка № 227088)

Опции темы