Сначала запускается несколько процессов powershell
потом запускается блокнот и грузит весь процессор
при открытии диспечера задач - все моментально завершается
блокнот запускается с параметром
notepad.exe -o playgrounddonate.sytes.net:5555 -u NoFile -p x --randomx-mode=light --threads=4 -k --nicehash --donate-level=0
родительский процесс powershell.exe
спасибо system explorer, иначе не знаю как бы увидел что это грузит проц
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) pronyr, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\Professional\AppData\Roaming\WindowsShell\WindowsDiagnostics.dll', ''); QuarantineFile('C:\WINDOWS\system32\HelloExtNoAtl.dll', ''); DeleteFile('C:\Users\Professional\AppData\Roaming\WindowsShell\WindowsDiagnostics.dll', '64'); DeleteFile('C:\WINDOWS\system32\HelloExtNoAtl.dll'); DeleteFileMask('c:\users\professional\appdata\roaming\windowsshell', '*', false); DeleteDirectory('c:\users\professional\appdata\roaming\windowsshell'); DeleteSchedulerTask('ASC_PerformanceMonitor'); DeleteSchedulerTask('ASC_SkipUac_Professional'); DeleteSchedulerTask('Win32Utilities'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
WBR,
Vadim
не прикрепляется архив от UVS
пришлось закинуть на диск
https://yadi.sk/d/PAfxHL9TS1r-bA
Что сейчас с проблемой? Если сохраняется, сделайте такие логи.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Скачайте и запустите TDSSKiller: https://support.kaspersky.ru/viruses/disinfection/5350.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
WBR,
Vadim
тут все 3 файла в архиве
блокнот и powershell больше не запускались без моего ведома и процессор ничего не грузит
кажется проблема решена
Похоже, сканирование в TDSSKiller не запускали. Но, раз проблема решена, неактуально.
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: CloseProcesses: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION S4 uze2odaw; C:\WINDOWS\SysWOW64\Drivers\uze2odaw.sys [11264 2020-03-04] () [File not signed] S4 cpuz145; \??\C:\WINDOWS\temp\cpuz145\cpuz145_x64.sys [X] S4 iobit_monitor_server; \??\C:\Program Files (x86)\Advanced SystemCare Pro\drivers\Monitor_win10_x64.sys [X] 2020-03-04 01:32 - 2019-12-30 11:12 - 000000000 ____D C:\ProgramData\IObit 2020-03-04 01:32 - 2019-06-18 09:59 - 000000000 ____D C:\Users\Professional\AppData\Roaming\IObit 2020-02-25 21:46 - 2020-01-19 15:03 - 000000000 ____D C:\ProgramData\boost_interprocess 2020-01-06 23:19 - 2020-03-01 17:31 - 000000076 _____ () C:\Users\Professional\AppData\Local\update_progress.txt ContextMenuHandlers1: [ESET Security Shell] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} => -> No File Reboot: End::
Компьютер будет перезагружен автоматически.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
сканирование в TDSSKiller вроде как запускал и даже прикладывал файл текстовый который он создал. не знаю даже
Полезность всех этих твикеров под большим вопросом.---------------------------- [ UnwantedApps ] -----------------------------
Auslogics BoostSpeed 11 v.11.4.0.2 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
Auslogics Registry Cleaner 8.4.0.2 v.8.4.0.2 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
Glary Utilities Pro 5.136.0.162 v.5.136.0.162 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
Wise Registry Cleaner 10.2.7.687 v.10.2.7.687 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
В остальном порядок.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
WBR,
Vadim
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 1
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
- c:\users\professional\appdata\roaming\windowsshell \windowsdi=
agnostics.dll - UDS:DangerousObject.Multi.Generic
Уважаемый(ая) pronyr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
