Компьютер стал тормозить.
Пропадает место на диске ощутимо.
В процессах появился chrome.exe хотя его не устанавливал.
Компьютер стал тормозить.
Пропадает место на диске ощутимо.
В процессах появился chrome.exe хотя его не устанавливал.
Уважаемый(ая) MacKen, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Где Вы эти майнеры берёте, двое суток ещё не прошло, как предыдущий почистили...
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin QuarantineFileF('C:\Users\Igor\AppData\Roaming\URSoft\Chrome', '*.exe, *.bat, *.vbs, *.js', true, '', 0, 0); DeleteFileMask('C:\Users\Igor\AppData\Roaming\URSoft\Chrome', '*', true); DeleteDirectory('C:\Users\Igor\AppData\Roaming\URSoft\Chrome'); ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateTaskUI" /F', 0, 15000, true); ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
WBR,
Vadim
Сейчас все сделаю
- - - - -Добавлено - - - - -
Прошу прощения, Вы наверное меня с кем то перепутали. Я 2 дня назад за помощью не обращался.
А что такое майнер?
Карантин выслал
Результат загрузки
Файл сохранён как 160511_000018_quarantine_57324be25226f.zip
Размер файла 2109052
MD5 1d27df023e11a5b97e7078edc704bbd2
Файл закачан, спасибо!
Пара вопросов.
Вот по этому пути эта же штука прописалась c:\Users\Igor\AppData\Roaming\Skype\Chrome\ как ее убрать? Вы наверное ее пропустили?
Последний раз редактировалось MacKen; 11.05.2016 в 00:10.
Пардон, это год назад было.
В Вашем случае - троян, использующий вычислительные мощности Вашего ПК для генерации биткойнов для того, кто Вам эту программу подсадил.
Не всё по начальным логам видно, дочистим.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Код:CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION Toolbar: HKU\S-1-5-21-2251983573-2894451759-1175134314-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File C:\Users\Igor\AppData\Roaming\Skype\Chrome Task: {155C3378-E713-4077-A8EF-6C4EB8D81058} - \GoogleUpdateTaskUserS-1-5-21-1970835742GUI -> No File <==== ATTENTION Task: {219599EF-9DFF-424D-9A2E-A8252C6AA138} - \AdobePlayerUpdate-298-76-CI -> No File <==== ATTENTION Task: {65B9A9BD-363A-4D62-A6FF-F174F0142C26} - \AdobeFlashPlayer-S-1-2-1298-9822 -> No File <==== ATTENTION Task: {7E64B9AA-7725-4CC2-8B62-BC94FEB96826} - no filepath Task: {25CCD82D-49AF-4BF0-BA7B-787A31F5B9AD} - System32\Tasks\AmigabitDataRecovery => C:\Program Files (x86)\Amigabit\Data Recovery\Tray.exe Task: {D02B8A7C-BD34-483C-8EF2-ED5670612590} - \Steam-S-1-8-22-9865GUI -> No File <==== ATTENTION Task: {DC67048F-00B7-44F6-8AD2-79CF0A942CDA} - \AdobeFlashPlayer-S-2-1-24-198293847112UI -> No File <==== ATTENTION Task: C:\WINDOWS\Tasks\AmigabitDataRecovery.job => C:\Program Files (x86)\Amigabit\Data Recovery\Tray.exe /autorun Tray.exe AlternateDataStreams: C:\ProgramData\Temp:10D14739 [147] AlternateDataStreams: C:\ProgramData\Temp:1CE11B51 [174] EmptyTemp: Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Посмотрите, в папке C:\Users\Igor\AppData\Roaming\URSoft что-то полезное есть?
WBR,
Vadim
В папке C:\Users\Igor\AppData\Roaming\URSoft лежат ini и log файлы от программы Your Unin-staller! Я ей пользуюсь. Убирать не надо.
Проблема решена?
WBR,
Vadim
ПО-моему, да. Спасибо.
Удалите папку C:\FRST со всем содержимым.
Выполните рекомендации после лечения.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) MacKen, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.