Закрыто Остатки майнера, слишком жестко.

[n1koo]

Пожалуйста, помогите, уже неделю мучаюсь.
Скорее всего кернел, куча svchost с параметрами запуска.

 

[n1koo]

 

[regist]

1) Прочитайте правила раздела.
2) >куча svchost с параметрами запуска.
Это нормально.

 

[n1koo]

Так вы посмотрите на эти параметры, это не нормально.
У меня идет около 12 подключений по локальной сети.

 

[regist]

По фотографиям (скриншотам) не гадаем. Только по логам.
Нужна помошь выполните правила раздела.

 

[n1koo]

Вот логи

 

[n1koo]

Доп логи

 

[n1koo]

Помогите, пожалуйста
Уже больше недели никто не может найти ответ(

 

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\temp\af043ca0-c019650-265048d0-7cc98c10\uoefjqqa1qqcj.exe');
 QuarantineFile('c:\windows\temp\af043ca0-c019650-265048d0-7cc98c10\uoefjqqa1qqcj.exe', '');
 DeleteFile('c:\windows\temp\af043ca0-c019650-265048d0-7cc98c10\uoefjqqa1qqcj.exe', '32');
 DeleteFile('c:\windows\temp\af043ca0-c019650-265048d0-7cc98c10\uoefjqqa1qqcj.exe', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
  ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.


Файл quarantine.7z из папки AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, MediaFire, Files.FM, MixDrop или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

[regist]

+

Driver Booster 11 (HKLM-x32\...\Driver Booster_is1) (Version: 11.1.0 - IObit)

Деинсталируйте.

 

[n1koo]

Синий экран при запуске скрипта.

 

[regist]

А если в безопасном режиме?

 

[n1koo]

А если в безопасном режиме?

И в безопасном тоже выбрасывает на синий экран.

 

[regist]

Сделайте остальное, а потом попробуем с другого конца зайти.

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имякомпьютерадата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.​
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

 

[n1koo]

Прикрепляю

 

[regist]

ADinf32 Gen2 - это пока деинсталируйте, скрипт чуть позже дам.
+ Combo Cleaner - не вижу в списке установленных, но вижу его в программ файлс. Его тоже удалите если у него есть какой-то деинсталятор.

 

[n1koo]

Приложения удалил, ожидаю.

 

[regist]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.14 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv10.0
   v400c
   BREG
   breg
   
   sreg
   
   deltmp
   ;---------command-block---------
   delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\11.1.0\DRIVERBOOSTER.EXE
   delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
   delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
   delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
   delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
   delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
   delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
   delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
   apply
   
   areg
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может будет перезагружен.

Подробнее читайте в этом руководстве.

Соберите свежие логи Автологером.

 

[n1koo]

Скрипт провел, проблема не ушла.

 

[n1koo]

.