Очень тормозит компьютер, пока не откроешь Диспетчер задач. [not-a-virus:RiskTool.Win32.BitCoinMiner.jtz, not-a-virus:RiskTool.Win32.BitCoinMiner.lrc ]

**vadepra** · 08.06.2018, 13:28

При запуске компьютера, он начинает слишком тормозить, но когда я открываю Диспетчер задач, то загрузка ЦП с 60% моментально падает до 1%. Использовал скрипты из подобных топиков с Вашего форума, не помогло.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 08.06.2018, 13:30

Уважаемый(ая) vadepra, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 09.06.2018, 06:53

Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\windows\core.exe');
 TerminateProcessByName('c:\windows\cpu.exe');
 TerminateProcessByName('c:\windows\cuda.exe');
 TerminateProcessByName('c:\windows\proxy.exe');
 QuarantineFile('c:\windows\core.exe', '');
 QuarantineFile('c:\windows\cpu.exe', '');
 QuarantineFile('c:\windows\cuda.exe', '');
 QuarantineFile('c:\windows\proxy.exe', '');
 DeleteFile('c:\windows\core.exe', '');
 DeleteFile('c:\windows\cpu.exe', '');
 DeleteFile('c:\windows\cuda.exe', '');
 DeleteFile('c:\windows\proxy.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{96C95A6D-3445-4EF5-A1ED-175D1202B542}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "UpCH" /F', 0, 15000, true);
 DeleteDirectory('c:\program files (x86)\bittorrent');
 DeleteDirectory('c:\program files (x86)\mail.ru');
 DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run-', 'Cracked Steam Service');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Google Update');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\6225077d19320883e9977c49', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD', 'command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог Autologger.

Сделайте лог Malwarebytes AdwCleaner.

**vadepra** · 09.06.2018, 14:54

Скрипт выполнил, архив карантина загрузил, новый лог autologger выполнил, лог от malwarebytes тоже выполнил

**Vvvyg** · 09.06.2018, 22:54

Выполните в AVZ скрипт:

Код:

begin
 DeleteFile('c:\windows\core.exe', '');
 DeleteFile('c:\windows\cpu.exe', '');
 DeleteFile('c:\windows\cuda.exe', '');
 DeleteFile('c:\windows\proxy.exe', '');
 ExecuteSysClean;
RebootWindows(false);
end.

Компьютер перезагрузится.

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**vadepra** · 10.06.2018, 01:59

Выполнил

**Vvvyg** · 10.06.2018, 22:55

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
AppInit_DLLs-x32: C:\PROGRA~3\VKSaver\vksaver3.dll => No File
FF Plugin HKU\S-1-5-21-1860536928-3875823121-3467282845-1001: @mail.ru/GameCenter -> C:\Users\Вадим\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File]
CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx
S0 BootDefragDriver; System32\drivers\BootDefragDriver.sys [X]
S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X]
2013-07-08 20:06 - 2013-07-08 20:06 - 004249600 _____ () C:\Program Files (x86)\GUTCB8.tmp
Task: {1B0F5C14-477B-4238-9DCB-7F028DF3635C} - \Программа онлайн-обновления Adobe. -> No File <==== ATTENTION
Task: {41653969-7B35-4237-ABEF-43D98C9E0CB4} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe
Task: {6C8C181A-B336-440A-9A98-E5E143BEBC3E} - System32\Tasks\GameNet => C:\QGNA\qgna.exe
Task: {ED7C4E14-B2A0-4550-BECE-26032F031B04} - System32\Tasks\VKSaverUpdate => C:\ProgramData\VKSaver\VKSaver.exe <==== ATTENTION
MSCONFIG\startupreg: CMD => cmd.exe /k if %date:~6,4%%date:~3,2%%date:~0,2% LEQ 20130909 (exit) else (start http://alt-rutor.org && exit)
MSCONFIG\startupreg: MailRuUpdater => C:\Users\Вадим\AppData\Local\Mail.Ru\MailRuUpdater.exe
MSCONFIG\startupreg: 6225077d19320883e9977c49 => iexplore.exe
MSCONFIG\startupreg: ApnUpdater => 
FirewallRules: [{07783433-A442-41B5-BB15-E7F8733EF25D}] => (Allow) C:\Windows\cuda.exe
FirewallRules: [{327B56DA-3104-46B2-A2A1-61842029B158}] => (Allow) C:\Windows\ati.exe
FirewallRules: [{98C2CE3D-61F1-419A-B0A3-F3EA7D31C81D}] => (Allow) C:\Windows\cpu.exe
FirewallRules: [{7A0ACB4F-A0A1-404A-A543-505393D35B3E}] => (Allow) C:\Windows\proxy.exe
CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Guard.Mail.ru}" /f /reg:32
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Java 8 обязательно обновите до текущего билда, у Вас устаревшая версия со множеством критических уязвимостей.

**vadepra** · 11.06.2018, 00:19

Все сделал, яву обновил

**Vvvyg** · 11.06.2018, 11:47

Полагаю, проблема решена?

**vadepra** · 11.06.2018, 13:12

Да, все, спасибо огромное!

Очень помогли!

**Vvvyg** · 11.06.2018, 13:32

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

**CyberHelper** · 11.06.2018, 13:42

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 9
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\core.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.ibeb ( DrWEB: Trojan.Starter.2934, BitDefender: Gen:Variant.Symmi.40454 )
2. c:\windows\cpu.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.lrc ( DrWEB: Tool.BtcMine.605, BitDefender: Application.BitCoinMiner.BK )
3. c:\windows\cuda.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.jtz ( DrWEB: Tool.BtcMine.243, BitDefender: Trojan.Generic.11901028 )
4. c:\windows\proxy.exe - not-a-virus:RiskTool.Python.Miner.b ( DrWEB: Tool.BtcMine.292 )

Очень тормозит компьютер, пока не откроешь Диспетчер задач. [not-a-virus:RiskTool.Win32.BitCoinMiner.jtz, not-a-virus:RiskTool.Win32.BitCoinMiner.lrc ] (заявка № 219232)

Опции темы