Пропадает/Блокируется интернет

[Gizma 1891813154]

После включения компьютера через 1-30 часов (всегда по разному), пропадает интернет.
Пропадает частично, т.е. несколько программ работают, сайты не открываются и т.д.
Скорей всего проблема в том, что на компьютере какой-то вирус, забивает все сессии.
Netstat выдаёт кучу соединений.

Вложение 684686

[Info_bot]

Уважаемый(ая) Gizma 1891813154, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\user\AppData\Roaming\Adobe\Flash Player\ctmon.exe', '');
 DeleteFile('C:\Users\user\AppData\Roaming\Adobe\Flash Player\ctmon.exe', '32');
 DeleteFile('C:\Users\user\AppData\Roaming\Adobe\Flash Player\ctmon.exe', '64');
 DeleteSchedulerTask('ctmon');
 DeleteSchedulerTask('ctmon.job');
 DeleteSchedulerTask('Poen');
 DeleteSchedulerTask('Poen.job');
 DeleteSchedulerTask('Works');
 DeleteSchedulerTask('Works.job');
 DeleteSchedulerTask('AAct');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Активация Windows и Office (AAct activation).lnk"   -> ["C:\Windows\AAct_Tools\AAct.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows NT\LineSecureCoin.lnk"  -> ["C:\Program Files (x86)\SRBPolaris\LineWallet.exe"]

Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Gizma 1891813154]

Всё выполнил по списку.
Файлы во вложении.

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
Virustotal: C:\Program Files\Updater.exe
Folder: C:\Users\user\AppData\Roaming\Adobe\Flash Player
Folder: C:\Users\user\AppData\Roaming\Adobe\After Effects\15.1\Scripts\Shutdown
Folder: C:\Users\user\AppData\Roaming\Adobe\After Effects\15.1
FirewallRules: [{A0AD23BF-8129-4585-83C2-9BB7A740F237}] => (Allow) C:\Users\user\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{229B2975-8C3C-4716-9CC0-3B1A06B36F07}] => (Allow) C:\Users\user\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

[Gizma 1891813154]

Лог добавил. Буду тестировать, пока проблем не наблюдаю.
Я правильно понял, что я поймал вирус после установки After Effects?

[Vvvyg]

Возможно, сейчас взломанные программы и игры часто идут с нехорошим довеском.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

[Gizma 1891813154]

Проблема вернулась
P.S. Удалил After Effects

[Vvvyg]

phoenixminer сами запускали, нужен?

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\user\AppData\Roaming\Adobe\Flash Player\ctmon.exe', '');
 QuarantineFile('C:\Windows\System32\a_cpahylvy.dll', '');
 QuarantineFile('C:\Windows\System32\b_rvsgfr.dll', '');
 QuarantineFile('C:\Windows\SYSTEM32\cafxz.dll', '');
 QuarantineFile('C:\Windows\SYSTEM32\eaync.dll', '');
 QuarantineFile('C:\Windows\System32\i_ciojgyfu.dll', '');
 QuarantineFile('C:\Windows\System32\k_agqdaobv.dll', '');
 QuarantineFile('C:\Windows\System32\n_jdnwyd.dll', '');
 QuarantineFile('C:\Windows\System32\n_xpbftl.dll', '');
 QuarantineFile('C:\Windows\System32\p_zneitn.dll', '');
 QuarantineFile('C:\Windows\System32\t_ithewaad.dll', '');
 QuarantineFile('C:\Windows\SYSTEM32\uasye.dll', '');
 QuarantineFile('C:\Windows\System32\w_rwqvls.dll', '');
 QuarantineFile('C:\Windows\SYSTEM32\wklrw.dll', '');
 QuarantineFile('C:\Windows\System32\x_snmpxske.dll', '');
 QuarantineFile('C:\Windows\SYSTEM32\yjclg.dll', '');
 DeleteFile('C:\Users\user\AppData\Roaming\Adobe\Flash Player\ctmon.exe', '32');
 DeleteFile('C:\Users\user\AppData\Roaming\Adobe\Flash Player\ctmon.exe', '64');
 DeleteFile('C:\Windows\System32\a_cpahylvy.dll', '32');
 DeleteFile('C:\Windows\System32\b_rvsgfr.dll', '32');
 DeleteFile('C:\Windows\SYSTEM32\cafxz.dll', '32');
 DeleteFile('C:\Windows\SYSTEM32\eaync.dll', '32');
 DeleteFile('C:\Windows\System32\i_ciojgyfu.dll', '32');
 DeleteFile('C:\Windows\System32\k_agqdaobv.dll', '32');
 DeleteFile('C:\Windows\System32\n_jdnwyd.dll', '32');
 DeleteFile('C:\Windows\System32\n_xpbftl.dll', '32');
 DeleteFile('C:\Windows\System32\p_zneitn.dll', '32');
 DeleteFile('C:\Windows\SYSTEM32\uasye.dll', '32');
 DeleteFile('C:\Windows\System32\w_rwqvls.dll', '32');
 DeleteFile('C:\Windows\SYSTEM32\wklrw.dll', '32');
 DeleteFile('C:\Windows\System32\x_snmpxske.dll', '32');
 DeleteFile('C:\Windows\SYSTEM32\yjclg.dll', '32');
 DeleteSchedulerTask('ctmon');
 DeleteSchedulerTask('ctmon.job');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

[Gizma 1891813154]

phoenixminer мой, я его сам запускаю.
quarantine.zip загрузил.
полный образ автозапуска uVS сделал, но не могу его загрузить, т.к. не хватает места.
Через менеджер файлов на форуме старые удалить не смог (нет такой опции).

[Vvvyg]

Удалите вложения, относящиеся к самым старым темам.
Или в облако и ссылку в тему.

[Gizma 1891813154]

Добавил образ автозапуска uVS.

[Vvvyg]

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
regt 39
icsuspend
cexec bitsadmin /reset /allusers
deltmp
deltsk %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CHROME_BITS_9976_1372407582\F0D_7QSIS8LIAWRXCZH6BQ
deltsk %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\F5083D3F.PNG
deltsk %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\KAQIBWJR
deltsk %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\XCGJVUD
deltsk %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\NQEEKTJP
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/viruses/disinfection/5350.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

[Gizma 1891813154]

Готово, файл тут
https://disk.yandex.ru/d/U-6Mrhus6EBW-A

[Gizma 1891813154]

Всё сделал. txt файл весит больше чем всё доступное место. Залил на яндекс диск, а пост со ссылкой не одобряют
disk.yandex.ru/d/U-6Mrhus6EBW-A

[Vvvyg]

Уточняю: что с проблемой?

[Gizma 1891813154]

Тестировал сутки, пока проблемы не видно.
Спасибо.

Есть рекомендации как избежать этого в будущем?

[Vvvyg]

Не пользоваться варезом, с ним сейчас почти 100% получите в нагрузку майнеры, трояны, бэкдоры и т. п.