Решена Майнеры и, возможно, иная грязь

[Saimooon]

Здравствуйте! Приехал в гости к родственникам, пожаловались на тормозящий компьютер, при том железо довольно производительное. Полную переустановку системы не вариант сделать, потому что много файлов, нужных "на память". Cure It'ом обнаружил майнер, но он его типа вылечил. Компьютеру легче не стало. Подозреваю, что осталось еще что то, подскажите пожалуйста, что можно сделать?

 

[Sandor]

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Auslogics DiskDefrag
Bing Bar
Bonjour
Java 8 Update 51 (64-bit)
MediaGet
Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\punto.bat', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Punto Switcher\Puntо Switсhеr.lnk', '');
 QuarantineFile('C:\Users\Home\AppData\Local\Yandex\browser.bat', '');
 QuarantineFile('C:\Users\Home\Desktop\Приложения\Yаndех.lnk', '');
 QuarantineFile('C:\Windows\proxy.exe', '');
 DeleteFile('C:\Program Files (x86)\punto.bat', '');
 DeleteFile('C:\Users\Home\AppData\Local\Yandex\browser.bat', '');
 DeleteFile('C:\Windows\proxy.exe', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.


Ярлыки

C:\Users\Home\Desktop\Приложения\Yаndех.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Punto Switcher\Puntо Switсhеr.lnk

исправьте с помощью утилиты ClearLNK.
Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.


Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.

 

[Saimooon]

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\punto.bat', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Punto Switcher\Puntо Switсhеr.lnk', '');
 QuarantineFile('C:\Users\Home\AppData\Local\Yandex\browser.bat', '');
 QuarantineFile('C:\Users\Home\Desktop\Приложения\Yаndех.lnk', '');
 QuarantineFile('C:\Windows\proxy.exe', '');
 DeleteFile('C:\Program Files (x86)\punto.bat', '');
 DeleteFile('C:\Users\Home\AppData\Local\Yandex\browser.bat', '');
 DeleteFile('C:\Windows\proxy.exe', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.


Ярлыки

исправьте с помощью утилиты ClearLNK.
Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.


Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.

Готово!

 

[Sandor]

• Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[Saimooon]

• Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[Sandor]

Предустановленное ПО не трогайте (не отмечайте галочками). Если им не пользуетесь, деинсталлируйте стандартно.
Остальное чистим:
1.

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  • Сбросить политики IE
  • Сбросить политики Chrome
• Убедитесь, что закрыты все браузеры.
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.

2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Saimooon]

Предустановленное ПО не трогайте (не отмечайте галочками). Если им не пользуетесь, деинсталлируйте стандартно.
Остальное чистим:
1.

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  • Сбросить политики IE
  • Сбросить политики Chrome
• Убедитесь, что закрыты все браузеры.
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.

2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Готово!

 

[Sandor]

Не цитируйте, пожалуйста, полностью предыдущее сообщение нажатием кнопки "Ответить". Пишите в нижнем поле быстрого ответа.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-2963182004-1585628002-3041545668-1000\...\MountPoints2: {4d552c21-667a-11e4-af46-806e6f6e6963} - D:\autorun.exe
  HKU\S-1-5-21-2963182004-1585628002-3041545668-1000\...\MountPoints2: {a92f927b-16a4-11ea-b121-20cf30321a29} - E:\Setup.exe
  HKU\S-1-5-21-2963182004-1585628002-3041545668-1000\...\MountPoints2: {ec6c3364-667a-11e4-8c1c-20cf30321a29} - F:\Autorun.exe
  HKU\S-1-5-21-2963182004-1585628002-3041545668-1003\...\MountPoints2: {4d552c21-667a-11e4-af46-806e6f6e6963} - D:\UI.exe
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  GroupPolicyUsers\S-1-5-21-2963182004-1585628002-3041545668-1000\User: Ограничение <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\Home\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\Админ\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  Task: {044A6734-E90E-4F8F-B357-B2DC8AB3B5EC} - \Microsoft\Windows\Time Synchronization\SynchronizeTime -> Нет файла <==== ВНИМАНИЕ
  Task: {7021E77C-6E4B-49CE-9312-877B20F63CC2} - \Админ -> Нет файла <==== ВНИМАНИЕ
  HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2963182004-1585628002-3041545668-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2963182004-1585628002-3041545668-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  FF user.js: detected! => C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\7kugve9a.default\user.js [2021-11-21]
  CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk]
  CHR HKU\S-1-5-21-2963182004-1585628002-3041545668-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
  CHR HKU\S-1-5-21-2963182004-1585628002-3041545668-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko]
  CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh]
  CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
  CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk]
  CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek]
  CHR HKLM-x32\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko]
  CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni]
  CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl]
  CHR HKLM-x32\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
  CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec]
  CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl]
  CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji]
  U1 aswbdisk; отсутствует ImagePath
  U3 aswblog; отсутствует ImagePath
  2015-03-19 12:07 - 2015-03-19 12:07 - 000000123 ____H () C:\Program Files (x86)\diary.bat
  2016-10-10 14:02 - 2011-07-19 03:37 - 000003262 _____ () C:\Program Files (x86)\Falco.ico
  2016-10-10 14:02 - 2011-07-19 04:05 - 000000046 _____ () C:\Program Files (x86)\Falco.url
  2015-03-19 12:07 - 2015-03-19 12:07 - 000000120 ____H () C:\Program Files (x86)\ps.bat
  2015-03-19 12:07 - 2015-03-19 12:07 - 000000123 ____H () C:\Program Files (x86)\punto.bat
  2015-03-19 12:07 - 2015-03-19 12:07 - 000000126 ____H () C:\Program Files (x86)\WelcomeToPunto.bat
  AlternateDataStreams: C:\Users\Home\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Home\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6352]
  AlternateDataStreams: C:\Users\Админ\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
  AlternateDataStreams: C:\Users\Админ\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
  MSCONFIG\Services: Bonjour Service => 2
  FirewallRules: [{2BCFF33B-6970-4C50-8C5E-3F91829AE26B}] => (Allow) C:\Windows\ati.exe () [Файл не подписан]
  FirewallRules: [{B9935057-D802-4791-9673-A57482A83CBE}] => (Allow) C:\Windows\proxy.exe () [Файл не подписан]
  FirewallRules: [{6B0718EA-0BBF-45ED-A02D-134FE0962F60}] => (Allow) C:\Windows\ati.exe () [Файл не подписан]
  FirewallRules: [{D5111EA4-DC2F-49F8-B1AA-366AF6B8D52D}] => (Allow) C:\Windows\proxy.exe () [Файл не подписан]
  FirewallRules: [{BC150745-5B2C-414A-A348-C8B90D3574BC}] => (Allow) C:\Users\Home\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{8C48B1EF-19B3-4A4E-B6DB-ACD62A98525E}] => (Allow) C:\Users\Home\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{9B67B583-D1C5-4CA3-A9F5-FC886E46B9C1}] => (Allow) C:\Users\Home\MediaGet2\QtWebEngineProcess.exe => Нет файла
  FirewallRules: [{39E6257A-9E4D-4A3A-A7E5-08B390840DB4}] => (Allow) C:\Users\Home\MediaGet2\QtWebEngineProcess.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Следы бывшей установки Avast очистите по соотв. инструкции:
Чистка системы после некорректного удаления антивируса.

 

[Saimooon]

лог прилагаю, в безопасный режим пока не удалось выйти, предлагает либо стандартную загрузку, либо средство восстановления

 

[Sandor]

в безопасный режим пока не удалось выйти

В инструкции перечислены несколько способов. Перепробовали все?

 

[Saimooon]

вторым помогло, пробовал стандартным.

 

[Sandor]

Хорошо, в итоге - проблема решена?

 

[Saimooon]

Стал работать быстрее, если в логах ничего подозрительного нет, то большое спасибо за помощь

 

[akok]

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки

 

[Saimooon]

Сделано!

 

[akok]

Исправьте по возможности.
--------------------------- [ OtherUtilities ] ----------------------------
Foxit Reader 6.2.3.0815 v.v 6.2.3.0815 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
NVIDIA GeForce Experience 3.16.0.140 v.3.16.0.140 Внимание! Скачать обновления
Microsoft Office Профессиональный 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Professional 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 18.05 (x64) v.18.05 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
7-Zip 22.00 (x64 edition) v.22.00.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9001 Внимание! Скачать обновления
Zoom v.5.1 Внимание! Скачать обновления
Skype, версия 8.90 v.8.90 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.17.4 Внимание! Скачать обновления
iTunes v.12.6.1.25 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
Audacity 2.3.3 v.2.3.3 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera Stable 95.0.4635.84 v.95.0.4635.84 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
Falco Toolbar Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.


По последнему блоку, если не используете, то лучше деинсталлировать.

 

[akok]

Запустите AdwCleaner. В меню Параметры прокрутите вниз и выберите Удалить.

 

[Saimooon]

с Adw сделал, обновления, которые возможно, поставил. Некоторые программы требуют 10ку на последних обновлениях

 

[akok]

Поэтому и по возможности. Тему отмечаю решенной, удачи!

 

[Saimooon]

Спасибо! Вам тоже!