Решена Пользователь john и 2 майнера puzzlemedia и clr_optimization_v4.0.30318_64

[lehgu]

Активировал офис вместе с майнерами, такая вещь на 4 нотах и 4 стационарах, блочит сайты антивируса, прогнал через curiet, av br, пишет что все чисто, сбрасывал настройки днс, тсп/ип, думал что-то там осталось, но нет,что делать?

 

[thyrex]

По каждому компьютеру придется создавать отдельную тему. А начинать нужно с логов по правилам раздела.

 

[lehgu]

По каждому компьютеру придется создавать отдельную тему

4 стационаре, железо одинаковое, но хорошо

 

[thyrex]

Это ничего не меняет

 

[lehgu]

Это ничего не меняет

Понял

 

[lehgu]

Это ничего не меняет

Что делать?

 

[lehgu]

Вот это?

 

[thyrex]

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O1 - Hosts: 8.8.8.8 codeload.github.com
O1 - Hosts: 8.8.8.8 support.kaspersky.ru
O1 - Hosts: 8.8.8.8 kaspersky.ru
O1 - Hosts: 8.8.8.8 virusinfo.info
O1 - Hosts: 8.8.8.8 forum.kasperskyclub.ru
O1 - Hosts: 8.8.8.8 cyberforum.ru
O1 - Hosts: 8.8.8.8 soft-file.ru
O1 - Hosts: 8.8.8.8 360totalsecurity.com
O1 - Hosts: 8.8.8.8 cezurity.com
O1 - Hosts: 8.8.8.8 www.dropbox.com
O1 - Hosts: 8.8.8.8 193.228.54.23
O1 - Hosts: 8.8.8.8 spec-komp.com
O1 - Hosts: 8.8.8.8 eset.ua
O1 - Hosts: 8.8.8.8 regist.safezone.cc
O1 - Hosts: 8.8.8.8 programki.net
O1 - Hosts: 8.8.8.8 safezone.cc
O1 - Hosts: 8.8.8.8 www.esetnod32.ru
O1 - Hosts: 8.8.8.8 www.comss.ru
O1 - Hosts: 8.8.8.8 forum.oszone.net
O1 - Hosts: 8.8.8.8 blog-pc.ru
O1 - Hosts: 8.8.8.8 securrity.ru
O1 - Hosts: 8.8.8.8 norton.com
O1 - Hosts: 8.8.8.8 vellisa.ru
O1 - Hosts: 8.8.8.8 download-software.ru
O1 - Hosts: 8.8.8.8 drweb-cureit.ru
O1 - Hosts: 8.8.8.8 softpacket.ru
O1 - Hosts: 8.8.8.8 www.kaspersky.com
O1 - Hosts: 8.8.8.8 www.avast.ua
O1 - Hosts: 8.8.8.8 www.avast.ru
O1 - Hosts: 8.8.8.8 zillya.ua
O1 - Hosts: 8.8.8.8 safezone.ua
O1 - Hosts: 8.8.8.8 vms.drweb.ru
O1 - Hosts: 8.8.8.8 www.drweb.ua
O1 - Hosts: 8.8.8.8 free.drweb.ru
O1 - Hosts: 8.8.8.8 biblprog.org.ua
O1 - Hosts: 8.8.8.8 free-software.com.ua
O1 - Hosts: 8.8.8.8 free.dataprotection.com.ua
O1 - Hosts: 8.8.8.8 www.drweb.com
O1 - Hosts: 8.8.8.8 www.softportal.com
O1 - Hosts: 8.8.8.8 www.nashnet.ua
O1 - Hosts: 8.8.8.8 softlist.com.ua
O1 - Hosts: 8.8.8.8 it-doc.info
O1 - Hosts: 8.8.8.8 esetnod32.ru
O1 - Hosts: 8.8.8.8 blog-bridge.ru
O1 - Hosts: 8.8.8.8 remontka.pro
O1 - Hosts: 8.8.8.8 securos.org.ua
O1 - Hosts: 8.8.8.8 pc-helpp.com
O1 - Hosts: 8.8.8.8 softdroid.net
O1 - Hosts: 8.8.8.8 malwarebytes.com
O1 - Hosts: 8.8.8.8 ru.vessoft.com
O1 - Hosts: 8.8.8.8 AlpineFile.ru
O1 - Hosts: 8.8.8.8 malwarebytes-anti-malware.ru.uptodown.com
O1 - Hosts: 8.8.8.8 ProgramDownloadFree.com
O1 - Hosts: 8.8.8.8 download.cnet.com
O1 - Hosts: 8.8.8.8 soft.mydiv.net
O1 - Hosts: 8.8.8.8 spyware-ru.com
O1 - Hosts: 8.8.8.8 remontcompa.ru
O1 - Hosts: 8.8.8.8 www.hitmanpro.com
O1 - Hosts: 8.8.8.8 hitman-pro.ru.uptodown.com
O1 - Hosts: 8.8.8.8 www.bleepingcomputer.com
O1 - Hosts: 8.8.8.8 soft.oszone.net
O1 - Hosts: 8.8.8.8 krutor.org
O1 - Hosts: 8.8.8.8 www.greatis.com
O1 - Hosts: 8.8.8.8 unhackme.ru.uptodown.com
O1 - Hosts: 8.8.8.8 programy.com.ua
O1 - Hosts: 8.8.8.8 rsload.net
O1 - Hosts: 8.8.8.8 softobase.com
O1 - Hosts: 8.8.8.8 www.besplatnoprogrammy.ru
O1 - Hosts: 8.8.8.8 unhackme.com
O1 - Hosts: 8.8.8.8 unhackme.ru
O1 - Hosts: 8.8.8.8 nnm-club.name
O1 - Hosts: 8.8.8.8 vgrom.com
O1 - Hosts: 8.8.8.8 moneropool.com
O1 - Hosts: 8.8.8.8 mine.moneropool.com
O1 - Hosts: 8.8.8.8 xmr.cryptopool.org
O1 - Hosts: 8.8.8.8 pool.monero.org
O1 - Hosts: 8.8.8.8 minexmr.com
O1 - Hosts: 8.8.8.8 monero.crypto-pool.fr
O1 - Hosts: 8.8.8.8 dwarfpool.com
O1 - Hosts: 8.8.8.8 yadi.su
O1 - Hosts: 8.8.8.8 pool.minexmr.to
O1 - Hosts: 8.8.8.8 eset.com
O1 - Hosts: 8.8.8.8 mywot.com
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [1] = eav_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [2] = avast_free_antivirus_setup_online.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [3] = eis_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [4] = essf_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [5] = hitmanpro_x64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [6] = ESETOnlineScanner_UKR.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [7] = ESETOnlineScanner_RUS.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [8] = HitmanPro.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [9] = 360TS_Setup_Mini.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [13] = AV_br.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [14] = KVRT.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [15] = cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [16] = FRST64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [17] = eset_internet_security_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [18] = esetonlinescanner.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [19] = eset_nod32_antivirus_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [20] = MBSetup.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [21] = PANDAFREEAV.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [22] = bitdefender_avfree.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [23] = drweb-12.0-ss-win.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [24] = Cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [25] = TDSSKiller.exe
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O22 - Task (.job): (Not scheduled) Repairing Yandex Browser update service.job - C:\Program Files (x86)\Yandex\YandexBrowser\21.5.1.355\service_update.exe (file missing)
O22 - Task (.job): (Not scheduled) System update for Yandex Browser.job - C:\Program Files (x86)\Yandex\YandexBrowser\21.5.1.355\service_update.exe (file missing)
O22 - Task (.job): (Not scheduled) Восстановление сервиса обновлений Яндекс.Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\21.5.1.355\service_update.exe (file missing)
O22 - Tasks: OneDrive Standalone Update Task-S-1-5-21-2346326400-1865434169-3371002806-500 - C:\Users\user\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Tasks: OneDrive Standalone Update Task-S-1-5-21-295998562-3529760426-2786740881-500 - C:\Users\user\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Tasks: OneDrive Standalone Update Task-S-1-5-21-3778118476-1533958465-2837909611-500 - C:\Users\user\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Tasks: OneDrive Standalone Update Task-S-1-5-21-846675305-3886356740-4145833292-500 - C:\Users\user\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Tasks: Repairing Yandex Browser update service - C:\Program Files (x86)\Yandex\YandexBrowser\21.5.1.355\service_update.exe --repair (file missing)
O22 - Tasks: System update for Yandex Browser - C:\Program Files (x86)\Yandex\YandexBrowser\21.5.1.355\service_update.exe --run-as-launcher (file missing)
O22 - Tasks: Восстановление сервиса обновлений Яндекс.Браузера - C:\Program Files (x86)\Yandex\YandexBrowser\21.5.1.355\service_update.exe --repair (file missing)

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

 

[lehgu]

Не помогло

 

[thyrex]

Конечно не поможет, если фикс не выполнять.

Инструкция по фиксу Как "пофиксить" с помощью HiJackThis. Переделывайте.

 

[lehgu]

Конечно не поможет, если фикс не выполнять.

Инструкция по фиксу Как "пофиксить" с помощью HiJackThis. Переделывайте.

Конечно не поможет, если фикс не выполнять.

Инструкция по фиксу Как "пофиксить" с помощью HiJackThis. Переделывайте.

Там просто некоторые почему-то не сработали, ладно, мой косяк, снова автологгер и лог сюда?

 

[Sandor]

Да.

 

[lehgu]

Новый лог после фикса

 

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

[lehgu]

Готово

 

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1386013775-2308782473-1104977398-1003\...\Run: [YandexBrowserAutoLaunch_359E43767C1BFDADFAAB676785A1E526] => "C:\Program Files (x86)\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
Unlock: C:\FRST
2023-04-14 12:40 - 2023-04-21 09:59 - 000000000 ___HD C:\Program Files\RDP Wrapper
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\ProgramData\WavePad
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\ProgramData\RobotDemo
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\ProgramData\PuzzleMedia
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\ProgramData\Norton
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\ProgramData\McAfee
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\ProgramData\MB3Install
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\ProgramData\Malwarebytes
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\ProgramData\grizzly
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\ProgramData\FingerPrint
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\ProgramData\Evernote
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\ProgramData\ESET
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\ProgramData\Doctor Web
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\ProgramData\BookManager
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\ProgramData\AVAST Software
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\ProgramData\360safe
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\Program Files\SpyHunter
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\Program Files\Ravantivirus
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\Program Files\Rainmeter
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\Program Files\Process Lasso
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\Program Files\Malwarebytes
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\Program Files\Loaris Trojan Remover
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\Program Files\ESET
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\Program Files\Enigma Software Group
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\Program Files\DrWeb
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\Program Files\COMODO
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\Program Files\Common Files\Doctor Web
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\Program Files\Cezurity
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\Program Files\Bitdefender Agent
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\Program Files\AVG
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\Program Files\AVAST Software
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\Program Files (x86)\Transmission
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\Program Files (x86)\AVG
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\Program Files (x86)\360
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\KVRT2020_Data
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\KVRT_Data
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 __SHD C:\AdwCleaner
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 ____D C:\windows\speechstracing
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 ____D C:\Users\konsult\AppData\Roaming\RMS_settings
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 ____D C:\ProgramData\Avira
2023-04-14 12:40 - 2023-04-14 12:40 - 000000000 ____D C:\Program Files (x86)\IObit
2023-04-14 12:39 - 2023-04-14 14:50 - 000000000 ___HD C:\Users\John
2023-04-14 12:39 - 2023-04-14 12:39 - 000000000 ____D C:\ProgramData\System32
2023-02-28 07:50 - 2023-04-14 14:50 - 000000000 __SHD C:\Program Files\Common Files\AV
CMD: net user John /delete
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Microsoft Framework => ""="Microsoft Framework"
FirewallRules: [{E29CE9B8-9327-4943-A1E7-FE5708E23030}] => (Block) LPort=445
FirewallRules: [{A4AFC851-3E00-451F-B785-57B7839EC8C0}] => (Block) LPort=445
FirewallRules: [{DE335004-3AC0-41AB-B3C8-1B22CCB50D72}] => (Block) LPort=139
FirewallRules: [{EFE9FD97-0761-4649-A981-459937D9CF97}] => (Block) LPort=139
FirewallRules: [{3DF1BE19-089D-475C-BA35-AEDB480E3919}] => (Allow) LPort=3389
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[lehgu]

Файл прилагаю

 

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[lehgu]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[akok]

В логе все отлично, удачи!