Похоже на вирус майнер [UDS:DangerousObject.Multi.Generic ]

[Wolffe]

Здравствуйте, заметил что нагрузка на центральный процессор начала возрастать рывками+ сильно нагружается оперативная память.
Проверил ПК сканером антивирусом dr.web он устранил 3 угрозы, но проблема не решилась.
После проверил ПК с помощью Malwarebytes программа нашла 4 угрозы с отметкой BitCoinMiner, могу выложить скриншот с вашего позволения.
Заранее извините если не соблюл все условия форума.

[Info_bot]

Уважаемый(ая) Wolffe, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Код:

userinit 6.3.9600.17415 [20170105]-->C:\Windows\TEMP\Microsoft Corporation\userinit\Uninstall.exe

Это что за программа? Она вам знакома? Если нет, то деинсталируйте.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Windows\еxplоrеr.exe');
 QuarantineFile('C:\Windows\еxplоrеr.exe', '');
 QuarantineFile('C:\Windows\TEMP\Microsoft Corporation\userinit\Uninstall.exe', '');
 DeleteFile('C:\Windows\еxplоrеr.exe', '32');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

- Сделайте повторные логи по правилам.

[Wolffe]

При попытке деинсталлировать userinit 6.3.9600.17415 с помощью программы клинер выдает ошибку что: не удается найти указанный файл.
После проведения всех процедур немного разгрузилась оперативная память, и система стала работать вроде как быстрей.
Нагрузка на цп все еще странно скачет возможно проблема в самом "железе" ?

- - - - -Добавлено - - - - -

Поработав немного обнаружил что что-то забирает 4гб оперативной памяти, при том что все программы были закрыты а в диспетчере задач не отображается ни один процесс потребляющий столько ресурсов.

[regist]

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

где ссылка на отчёт?

[Wolffe]

Эту ссылку правильно?
https://virusinfo.info/virusdetector...81EBD7388D87DE

[regist]

Профиксите в HijackThis из папки ..\AutoLogger\HiJackThis

Код:

O4 - MSConfig\startupfolder: C:^Users^User^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Nexon Launcher.lnk - C:\Program Files (x86)\Nexon\Nexon Launcher\nexon_launcher.exe (2016/07/29) (file missing)
O4 - MSConfig\startupreg: [GameCenterMailRu] C:\Users\User\AppData\Local\Mail.Ru\GameCenter\[email protected] -autostart (file missing) (HKCU) (2017/01/22)
O4 - MSConfig\startupreg: [MyComGames] C:\Users\User\AppData\Local\MyComGames\MyComGames.exe -autostart (file missing) (HKCU) (2015/09/13)
O4 - MSConfig\startupreg: [SDTray] C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe  (file missing) (HKLM) (2015/07/14)
O4 - MSConfig\startupreg: [gflauncher] D:\GFACE\GFACE Launcher\live\gflauncher.exe --autostart (file missing) (HKCU) (2016/07/28)
O22 - Task (Ready): Realtek HD Audio - C:\Users\User\AppData\Roaming\TeamViewer\Realtek HD\rthdcpl.exe 409df0715A9BF6a544F2f8a3887802f55C9e92C3 (file missing)

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

[Wolffe]

Готово, мне нужно выложить этот архив?

[regist]

Выполните скрипт в uVS и пришлите карантин

Код:

;uVS v4.0b13 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
zoo %SystemDrive%\PROGRAM FILES (X86)\NOKIA\PHOENIX\PT6_7TESTINGFN.DLL
zoo %SystemDrive%\PROGRAM FILES (X86)\NOKIA\PHOENIX\GSMGTXPOWERLEVELTUNINGFN.DLL
bl A872AFD6074B6AB4512E84D499FE15DE 468480
zoo %SystemRoot%\ЕXPLОRЕR.EXE
delall %SystemRoot%\ЕXPLОRЕR.EXE
zoo %SystemDrive%\USERS\USER\DOWNLOADS\CPU-Z_1.72.1-EN.EXE
zoo %SystemDrive%\USERS\USER\DOWNLOADS\SAVEFROMNETHELPER-WEB-E8E9684821.EXE
zoo %SystemDrive%\USERS\USER\DOWNLOADS\DCUO_SETUP.EXE
zoo %SystemDrive%\USERS\USER\DESKTOP\BOT UPDATE\ADRENALIN.EXE
czoo
restart

Сделайте свежий образ автозапуска.

[Wolffe]

Все сделал.
Спасибо, система слала работать вроде стабильней, следует ли предпринимать еще какие-то действия?
К сожалению не могу выложить лог т.к. из-за предыдущих логов превышаю лимит выделенной памяти для загрузки файлов на форум.

[regist]

закачайте архив на любой файлообменник, не требующий ввода капчи (например: Zippyshare, My-Files.RU, File.Karelia) ссылку на скачивание оставьте в своём сообщение.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 15
• В ходе лечения обнаружены вредоносные программы:
  
  1. \adrenalin.exe._ace65128c7ac9056874d00ea4499bf4842 64d5b9 - UDS:DangerousObject.Multi.Generic ( BitDefender: Gen:Trojan.Heur.TP.5OW@bShGhOlc )