Папка Ethash появляется на системном диске и съедает всю память. Логи прилагаю, заранее благодарю за помощь. Система 64-х разрядная, поэтому 2 файла.
Папка Ethash появляется на системном диске и съедает всю память. Логи прилагаю, заранее благодарю за помощь. Система 64-х разрядная, поэтому 2 файла.
Уважаемый(ая) xMPAKx, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Дима\AppData\Roaming\Funswitch\Ctfhost\ctfhost.exe',''); QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Program Files (x86)\Google\chrome.bat',''); DeleteService('wpnfd_1_10_0_5'); QuarantineFile('C:\Windows\system32\drivers\wpnfd_1_10_0_5.sys',''); DeleteFile('C:\Windows\system32\drivers\wpnfd_1_10_0_5.sys','32'); DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\Users\Дима\AppData\Roaming\Funswitch\Ctfhost\ctfhost.exe','32'); DeleteFile('C:\Windows\system32\Tasks\CTF Host','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Сделайте лог CheckBrowsers' Lnk
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Новые логи
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал все как написано. Логи:
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
2. Нажмите Файл – Сохранить какКод:CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKU\S-1-5-21-3926043303-3836525786-3379081396-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=d60dca6c3a98c0f9ba573af79e6bf3b2&text={searchTerms} HKU\S-1-5-21-3926043303-3836525786-3379081396-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=d60dca6c3a98c0f9ba573af79e6bf3b2&text={searchTerms} SearchScopes: HKU\S-1-5-21-3926043303-3836525786-3379081396-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=d60dca6c3a98c0f9ba573af79e6bf3b2&text={searchTerms} SearchScopes: HKU\S-1-5-21-3926043303-3836525786-3379081396-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=d60dca6c3a98c0f9ba573af79e6bf3b2&text={searchTerms} SearchScopes: HKU\S-1-5-21-3926043303-3836525786-3379081396-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=d60dca6c3a98c0f9ba573af79e6bf3b2&text= DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=d60dca6c3a98c0f9ba573af79e6bf3b2&text= <==== ATTENTION CHR Extension: (Tampermonkey) - C:\Users\Дима\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2015-12-10] OPR Extension: (Переводчик для Chrome 2) - C:\Users\Дима\AppData\Roaming\Opera Software\Opera Stable\Extensions\mdanidgdpmkimeiiojknlnekblgmpdll [2015-01-04] 2015-01-04 21:19 - 2015-01-04 21:19 - 0354905 _____ (AnySend.com) C:\Users\Дима\AppData\Local\nsq32AB.tmp Task: {EAF8BE16-6A6A-415D-A32E-E4EDF13347FD} - \CTF Host -> No File <==== ATTENTION Reboot:
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Лог после фикса:
Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Удалил папку Ethash, перезагрузил комп - папка заново не появилась. Послежу за местом на системном диске и завтра отпишусь. В любом случае, огромное спасибо!
Проблема решена, закрывайте тему. Спасибо, вы лучшие!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\users\дима\appdata\roaming\funswitch\ctfhost\ct fhost.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.aai ( DrWEB: Tool.BtcMine.652, AVAST4: Win64:Malware-gen )
Уважаемый(ая) xMPAKx, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.