Решена Словил tool.Btcmine.2660

[ctalic88]

Добрый день. Однажды я играл в свой любимый шутер с другом и вдруг начались странные фризы (подскакивал фреймрейт до 300). Хотя раньше игра шла нормально и хорошо. Я не знал в чем проблема и сразу открыл диспетчер задач.

Увидел, что ЦП долбится в 100%, но при открытии сразу уменьшается. Причем подозрительных процессов, которые так грузили цп я не заметил. Поставил сразу же Аиду, и обнаружил что в течении 5 минут простоя нагрузка на цп и гп увеличивается до 100% что заставляет пк сильно шуметь. Диспетчер задач закрывается сам через 1-2минуты. Браузер полностью офался при открытии сайтов антивирусов и при попытки вбить в поиск. Нашел я вирус с помощью доктора веб кураст. Он его вроде удалил, но после перезагрузки пк тот вернулся. Я с ноута зашел на этот форум, и поискал темы схожие. Скачал AVbr, перекинул его на флешку, и в безопасном режиме прогнал. Он нашел мне нового пользователя, которого посоветовал удалить, что я и сделал. После я перезагрузил пк и вошел в нормальный режим системы. Пока вроде все работает нормально. Чем еще можно проверить пк, чтобы убедиться полностью, что вирус и все его производные, были удалены.? Заранее благодарю за помощь. Да, на этот форум, зашел с зараженного пк, уже после его чистки.

 

[Sandor]

Здравствуйте!

Скачал AVbr, перекинул его на флешку, и в безопасном режиме прогнал

Результат его работы в виде файла AV_block_remove_дата-время.log прикрепите к следующему сообщению.

Затем прочтите и выполните Правила оформления запроса о помощи. Нужное тоже прикрепите.

 

[ctalic88]

Прикрепляю все 3 файла что нашел в папке логов AVbr.

 

[ctalic88]

Архив с логами после запуска в 12:00 автологера.

 

[Sandor]

Хорошо. Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[ctalic88]

Вот результаты сканирования.

 

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

vnktoаktе_DJ
WebAdvisor от McAfee
YoutubeDownloader

Что не сможете удалить стандартно, удаляйте принудительно через Geek Uninstaller

Далее:
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2360769674-1217367193-931054347-1001\...\MountPoints2: {03e69f6b-3e5c-11ec-b199-feb6d23eb0a9} - "E:\Lenovo_Suite.exe" 
  HKU\S-1-5-21-2360769674-1217367193-931054347-1001\...\MountPoints2: {03e69fb1-3e5c-11ec-b199-feb6d23eb0a9} - "E:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2360769674-1217367193-931054347-1001\...\MountPoints2: {05e56d02-31d7-11ed-b229-6e95dcb69eb4} - "E:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2360769674-1217367193-931054347-1001\...\MountPoints2: {2748aa4f-b76e-11ec-b1d7-0276425f414b} - "E:\Lenovo_Suite.exe" 
  HKU\S-1-5-21-2360769674-1217367193-931054347-1001\...\MountPoints2: {e60f02d3-6cd8-11ec-b1b0-0276425f414b} - "E:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2360769674-1217367193-931054347-1001\...\MountPoints2: {fd0b4f21-3dc1-11ec-b196-0276425f414b} - "H:\HiSuiteDownLoader.exe" 
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {0B77AD0D-F818-43A9-AF06-43D1E4ECC1D8} - System32\Tasks\BVNnNpTwNiqDwTx => rundll32 "C:\Program Files (x86)\kdaINigWU\JkmskX.dll",#1
  Task: {5CA2D01C-8D46-4F3F-80C3-A6741B1B8184} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {67485387-494A-46CD-9763-ABE8BF340C94} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {C19EEC61-D04C-46FD-8F9A-CFB164BAC012} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {F91AEC9D-960E-4320-B616-E5AD47F93AC7} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  CHR Notifications: Default -> hxxps:\/\/best-loan-info.com; hxxps:\/\/ccleaner-download.xyz; hxxps:\/\/mail-notification.info; hxxps:\/\/mnthor.xyz; hxxps:\/\/pinghauz.xyz; hxxps:\/\/s-tracking.xyz; hxxps:\/\/supertopfreegames.com; hxxps:\/\/www.youtube.com; hxxps:\/\/zarabotok-online.xyz
  C:\Users\zilco\AppData\Local\Google\Chrome\User Data\Default\Extensions\geidjeefddhgefeplhdlegoldlgiodon
  C:\Users\zilco\AppData\Local\Google\Chrome\User Data\Default\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
  CHR HKU\S-1-5-21-2360769674-1217367193-931054347-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
  CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon]
  OPR Notifications: Opera Stable -> hxxps:\/\/best-loan-info.com; hxxps:\/\/ccleaner-download.xyz; hxxps:\/\/mail-notification.info; hxxps:\/\/mnthor.xyz; hxxps:\/\/pinghauz.xyz; hxxps:\/\/s-tracking.xyz; hxxps:\/\/supertopfreegames.com; hxxps:\/\/zarabotok-online.xyz
  OPR DefaultSearchKeyword: Opera Stable -> find-it.pro
  C:\Users\zilco\AppData\Roaming\Opera Software\Opera Stable\Extensions\meejmcfbiapijdfaadackoblffmidlig
  YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?q={searchTerms}
  YAN DefaultSearchKeyword: Default -> find-it.pro
  YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
  C:\Users\zilco\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox.lnk:980850BA8A [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free Stopwatch.lnk:78E4DE579C [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\God of War.lnk:43B85691E4 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ninjaworld.ru.lnk:CC0B9C8237 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OVGorskiy.ru.URL:FC91667982 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Pirates  Golden Tits.lnk:4A0B8CEEBD [2594]
  FirewallRules: [{9F8B5EDA-A2DE-4BD8-97EB-B7B7E97072D3}] => (Allow) LPort=2869
  FirewallRules: [{15946917-F050-4525-8083-84F34A573D49}] => (Allow) LPort=1900
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[ctalic88]

Сделал все по руководству, вот фикслог.

 

[Sandor]

Хорошо.
Проблема решена?

 

[ctalic88]

Хорошо.
Проблема решена?

Да решена. Спасибо за помощь. Вы очень выручили.)

 

[Sandor]

Отлично!

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.