Утилита атрибутов грузит ПК. [Trojan.Win32.Miner.bde]

[DilikSR]

Здравствуйте, такая проблема: время от времени запускается и со временем "исчезает" в диспетчере задач утилита атрибутов и очень сильно грузит ПК, лагает. Благодарю за любую помощь.

[Info_bot]

Уважаемый(ая) DilikSR, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[thyrex]

Выполните скрипт в AVZ из папки Autologger

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Computer\AppData\Roaming\Microsoft\Windows\Helper.exe','');
 DeleteService('xhunter1');
 DeleteFile('C:\Windows\xhunter1.sys','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\4419868','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1535198','x64');
 DeleteFile('C:\Users\Computer\AppData\Roaming\c52pcykmczv\k0z1rg3ijwq.exe','64');
 DeleteFile('C:\Users\Computer\AppData\Roaming\wf3mbzynjjj\bvlo3gnvjxn.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\5072736','x64');
 DeleteFile('C:\Users\Computer\AppData\Local\Temp\is-91BJ7.tmp\Streaming.exe','64');
 DeleteFile('C:\Users\Computer\AppData\Roaming\4fl1mvnjgll\msvlnknh0om.exe','64');
 DeleteFile('C:\Users\Computer\AppData\Roaming\rz0bhedzlvc\met1tn24iox.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\7080678','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\6516071','x64');
 DeleteSchedulerTask('System\SystemCheck');
 DeleteFile('C:\Users\Computer\AppData\Roaming\Microsoft\Windows\Helper.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[DilikSR]

Пока не запускается, спасибо.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[DilikSR]

Все.

[thyrex]

1. Выделите следующий код:

Код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Computer\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {AA7900AD-8656-43FF-A9BB-82364D5F49D5} - \Browserupdphenix -> No File <==== ATTENTION
Task: {EFE74856-9A3C-46E9-A9F1-DA9C5C25E673} - \ByteFence -> No File <==== ATTENTION
CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
CHR HomePage: System Profile -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: System Profile -> "hxxps://find-it.pro/?utm_source=distr_m" 
CHR HomePage: Guest Profile -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Guest Profile -> "hxxps://find-it.pro/?utm_source=distr_m" 
FCheck: C:\Windows\SysWOW64\lastpass_1337.exe [2019-04-29] <==== ATTENTION (zero byte File/Folder)
ShellIconOverlayIdentifiers: [
 MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  -> No File
ShellIconOverlayIdentifiers: [
 MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  -> No File
ShellIconOverlayIdentifiers: [
 MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> No File
ShellIconOverlayIdentifiers-x32: [
 MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  -> No File
ShellIconOverlayIdentifiers-x32: [
 MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  -> No File
ShellIconOverlayIdentifiers-x32: [
 MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> No File
ContextMenuHandlers1: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> No File
ContextMenuHandlers2: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> No File
ContextMenuHandlers3: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> No File
ContextMenuHandlers4: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> No File
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [664]
AlternateDataStreams: C:\Windows\System32:tdsrset.gfc [5846]
AlternateDataStreams: C:\Users\All Users:NT [0]
AlternateDataStreams: C:\Users\All Users:NT2 [0]
AlternateDataStreams: C:\Users\Computer:Heroes & Generals [38]
AlternateDataStreams: C:\Users\Все пользователи:NT [0]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [0]
AlternateDataStreams: C:\ProgramData\Application Data:NT [0]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [0]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [664]
AlternateDataStreams: C:\Users\Computer\Application Data:!uuid [0]
AlternateDataStreams: C:\Users\Computer\Application Data:77a575add9465d78c606d381e5f202fb [0]
AlternateDataStreams: C:\Users\Computer\Application Data:NT [0]
AlternateDataStreams: C:\Users\Computer\Application Data:NT2 [0]
AlternateDataStreams: C:\Users\Computer\AppData\Roaming:!uuid [32]
AlternateDataStreams: C:\Users\Computer\AppData\Roaming:77a575add9465d78c606d381e5f202fb [394]
AlternateDataStreams: C:\Users\Computer\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Computer\AppData\Roaming:NT2 [664]
AlternateDataStreams: C:\Users\Public\AppData:CSM [221]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT [0]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [0]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [0]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [0]
FirewallRules: [TCP Query User{90DE1F3E-AEDF-4E02-B8C6-5656EAA5D72C}C:\program files\java\jre1.8.0_231\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_231\bin\javaw.exe => No File
FirewallRules: [UDP Query User{72BADC75-945F-4C63-A3F0-BA5BFA53A91E}C:\program files\java\jre1.8.0_231\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_231\bin\javaw.exe => No File
FirewallRules: [{6D774D38-68BD-4625-8488-329362BDCE70}] => (Block) C:\program files\java\jre1.8.0_231\bin\javaw.exe => No File
FirewallRules: [{6C541766-40DB-4AD0-9152-B1E5C3861B6A}] => (Block) C:\program files\java\jre1.8.0_231\bin\javaw.exe => No File
FirewallRules: [TCP Query User{B71FB90D-01CC-4C38-8F59-9F9ED2D1427A}C:\program files\java\jre1.8.0_231\bin\java.exe] => (Allow) C:\program files\java\jre1.8.0_231\bin\java.exe => No File
FirewallRules: [UDP Query User{0BE352A8-6C1D-4A25-8288-ECBA4D05B942}C:\program files\java\jre1.8.0_231\bin\java.exe] => (Allow) C:\program files\java\jre1.8.0_231\bin\java.exe => No File
FirewallRules: [{DFE43888-9C45-47F4-A8CB-7A4493AB75C7}] => (Block) C:\program files\java\jre1.8.0_231\bin\java.exe => No File
FirewallRules: [{A8E9A1DE-7E4C-4E75-A608-5187AA4B535B}] => (Block) C:\program files\java\jre1.8.0_231\bin\java.exe => No File
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[DilikSR]

Готово.

[thyrex]

На этом закончим

[CyberHelper]

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

• =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
• =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 1
• =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
  =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
  
  1. c:\users\computer\appdata\roaming\microsoft\window s\helper.=
     exe - Trojan.Win32.Miner.bde