Заметил что видеокарта начала сильно греться в простое, когда ничего не открыто, посмотрел в hwinfo что gpu ASIC потребляемая мощность на 204W. Решил удалять в диспетчере подозрительные процессы, на процессе "утилита сравнения файлов dos 5" потребляемая мощность упала. Понял что майнер, решил почистить doctorWEB но спустя несколько дней майнер опять вернулся. Прикрепил логи
Решена утилита сравнения файлов dos 5 грузит видеокарту на 100%
- Автор темы Garillaz
- Дата начала
- Статус
- Сообщения
- 25,318
- Решения
- 7
- Реакции
- 13,842
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files (x86)\DriverFix\DriverFix.exe','');
QuarantineFile('C:\Users\Альянс\AppData\Local\Programs\ivanovsasha224\ab81a6e025.msi','');
QuarantineFile('C:\Windows\SysWOW64\mobsync.dll','');
DeleteSchedulerTask('AdLock Update Task-S-1-5-21-1832922372-4241584432-807187859-1001');
DeleteFile('C:\Users\Альянс\AppData\Local\Programs\ivanovsasha224\ab81a6e025.msi','64');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_ImportALL;
RebootWindows(true);
end.После перезагрузки, выполните такой скрипт:
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O7 - Policy: HKLM\Software\Policies\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O22 - Task (.job): (Not scheduled) Восстановление сервиса обновлений Яндекс Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\23.7.3.823\service_update.exe (file missing)
O22 - Task (.job): (Not scheduled) Восстановление сервиса обновлений Яндекс.Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1096\service_update.exe (file missing)
O22 - Task (.job): (Not scheduled) Системное обновление Браузера Яндекс.job - C:\Program Files (x86)\Yandex\YandexBrowser\23.7.3.823\service_update.exe (file missing)
O22 - Tasks: (damaged) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:aemarebackup.dll -f:BackupMareData (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:appraiser.dll -f:DoScheduledTelemetryRun (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) Overwolf Updater Task - C:\Program Files (x86)\Common Files\Overwolf\OverwolfUpdater.exe /RunningFrom Schedule (user missing) (sign: 'Overwolf Ltd')
O22 - Tasks: private-plot - C:\ProgramData\placement-poultry\bin.exe /H (file missing)
O22 - Tasks: Восстановление сервиса обновлений Яндекс Браузера - C:\Program Files (x86)\Yandex\YandexBrowser\23.7.3.823\service_update.exe --repair (file missing)
O22 - Tasks: Восстановление сервиса обновлений Яндекс.Браузера - C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1096\service_update.exe --repair (file missing)
O26 - Debugger: HKLM\..\CompatTelRunner.exe: [Debugger] = C:\Windows\System32\taskkill.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\osppsvc.exe: [VerifierDlls] = C:\Windows\system32\SppExtComObjHook.dll (not signed)
O26 - Debugger: HKLM\..\SppExtComObj.Exe: [VerifierDlls] = C:\Windows\system32\SppExtComObjHook.dll (not signed)Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 3,885
- Реакции
- 2,432
Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, напри-мер, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
После перезагрузки системы соберите новые логи FRST.txt и Addition.txt.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, напри-мер, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
После перезагрузки системы соберите новые логи FRST.txt и Addition.txt.
- Сообщения
- 3,885
- Реакции
- 2,432
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
Код:
Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\...\Run: [AdobeAAMUpdater-1.0] => "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" (Нет файла)
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {CB0AE359-F451-4035-B678-680C36EC0EBA} - System32\Tasks\Системное обновление Браузера Яндекс => C:\Program Files (x86)\Yandex\YandexBrowser\23.7.3.823\service_update.exe --run-as-launcher (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
Edge StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
Edge DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
Edge DefaultSearchKeyword: Default -> cdn
C:\Users\Альянс\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=openpart3","hxxp://www.mysites123.com/?type=hp&ts=1449831777&z=bae934c8d6985981fa0a849g8z0z4t0bdc3g3m0q6e&from=amt&uid=ST750LM022XHN-M750MBB_S2Y7J9DD707690","hxxp://mail.ru/cnt/10445?gp=789106","hxxp://www.yoursearching.com/?type=hp&ts=1449862728&z=a91419ac33fff245bf9cca0g7zbz5t5b3qeo5m4gfg&from=face&uid=ST750LM022XHN-M750MBB_S2Y7J9DD707690","hxxp://mail.ru/cnt/10445?gp=811560","hxxp://mail.ru/cnt/10445?gp=812204","hxxps://find-it.pro/?utm_source=distr_m"
C:\Users\Альянс\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
S2 YandexBrowserService; "C:\Program Files (x86)\Yandex\YandexBrowser\23.7.3.823\service_update.exe" --run-as-service [X]
C:\Windows\SysWOW64\version_IObitDel.dll
CustomCLSID: HKU\S-1-5-21-1832922372-4241584432-807187859-1001_Classes\CLSID\{B2A3192E-2694-0178-2CCC-E179AB5FEBD6}\InprocServer32 -> C:\Program Files (x86)\Common Files\System\ole32.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1832922372-4241584432-807187859-1001_Classes\CLSID\{CD207EA4-DC2F-55B7-A06A-F6F4D087406A}\InprocServer32 -> C:\Users\Альянс\AppData\Roaming\Rostelecom\IFCPlugin\3.1.1.0\x64\IFCPlugin.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1832922372-4241584432-807187859-1001_Classes\CLSID\{d936918b-9c4b-555e-074a-c79314be04e1}\localserver32 -> "C:\Program Files (x86)\Proton Technologies\ProtonVPN\ProtonVPN.exe" -ToastActivated => Нет файла
CustomCLSID: HKU\S-1-5-21-1832922372-4241584432-807187859-1001_Classes\CLSID\{f9517764-05a4-a748-620a-95087d06a241}\localserver32 -> "C:\Program Files\Cloudflare\Cloudflare WARP\Cloudflare WARP.exe" -ToastActivated => Нет файла
FirewallRules: [{CF8D8615-E49F-40E7-9B9D-B0A03283C3B2}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{87C6AF2F-9A49-4CDE-974A-40514AED1A5A}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{BE220B83-DCBB-4F55-9217-2E4DC28C4505}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{99C14494-F34A-4178-845C-AEF874AA6A1F}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{E648B1CD-F346-4300-AAC5-BEB7BD72A3DA}] => (Allow) E:\steam\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла
FirewallRules: [{7B2FA6AB-9813-4E98-8280-9BE2F658ACDA}] => (Allow) E:\steam\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла
FirewallRules: [{56D4F461-ABA7-444D-8474-6106AB4BC50F}] => (Allow) C:\SteamLibrary\steamapps\common\Path of Exile\PathOfExileSteam.exe => Нет файла
FirewallRules: [{B735D472-3AEF-445A-A18D-A60471C4F5AD}] => (Allow) C:\SteamLibrary\steamapps\common\Path of Exile\PathOfExileSteam.exe => Нет файла
FirewallRules: [{71C8D692-1FB8-41A8-9A6B-1E4046173C63}] => (Allow) E:\загрузки\AnyDesk.exe => Нет файла
FirewallRules: [{84B85819-6FB9-4BC5-8DD5-17980851FB3E}] => (Allow) E:\загрузки\AnyDesk.exe => Нет файла
FirewallRules: [{37420F0E-300B-46EA-89C2-98ACEBA94E76}] => (Allow) E:\загрузки\AnyDesk.exe => Нет файла
FirewallRules: [{1A81993A-5A71-4C7B-88B8-D0628E209E9B}] => (Allow) E:\загрузки\AnyDesk.exe => Нет файла
FirewallRules: [{6A7DA4B9-3AEB-4CBB-BFF1-7D4C72B6F93C}] => (Allow) C:\Users\Альянс\AppData\Local\Temp\7zS6419\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{D7DDA905-EDA8-44BF-BB7F-1D47418CFC42}] => (Allow) C:\Users\Альянс\AppData\Local\Temp\7zS6419\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{81DE6538-77C5-4248-9079-CF6038DA9D40}] => (Allow) C:\Users\Альянс\AppData\Local\Temp\7zS6BB7\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{A3F550CE-6707-457A-BF12-2F8EF4A813DE}] => (Allow) C:\Users\Альянс\AppData\Local\Temp\7zS6BB7\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{F93F9CB2-57ED-4D95-89B0-EC402D38FEAE}] => (Allow) C:\HP\Diagnostics\PSDR\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{A373573A-12DD-4773-BBDD-F01622F536D1}] => (Allow) C:\HP\Diagnostics\PSDR\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{4EBBFE50-62F8-43A7-BB01-4205714E2A69}] => (Allow) C:\Users\Альянс\AppData\Local\Temp\7zS718B\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{16744A33-82EA-4E1D-8389-DC922D32057F}] => (Allow) C:\Users\Альянс\AppData\Local\Temp\7zS718B\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{90E6B2D8-16D9-4393-A61E-1F0FA53252B7}] => (Allow) E:\steam\steamapps\common\Rust\Rust.exe => Нет файла
FirewallRules: [{4E43B2E4-AEC3-4ED5-9A82-FA1F57DECCD0}] => (Allow) E:\steam\steamapps\common\Rust\Rust.exe => Нет файла
FirewallRules: [{C9BF0645-BE93-4CC3-9808-D959E7F33E39}] => (Allow) C:\SteamLibrary\steamapps\common\Rust\Rust.exe => Нет файла
FirewallRules: [{4CC8D28E-FC10-4A96-8037-DCF507D8FF27}] => (Allow) C:\SteamLibrary\steamapps\common\Rust\Rust.exe => Нет файла
FirewallRules: [TCP Query User{3196FBE4-A3D3-41AA-AF89-165EC17103E7}E:\загрузки\raft v1.08.10\raft.exe] => (Allow) E:\загрузки\raft v1.08.10\raft.exe => Нет файла
FirewallRules: [UDP Query User{111CDC01-821A-48E4-B0DF-84C59D5D7181}E:\загрузки\raft v1.08.10\raft.exe] => (Allow) E:\загрузки\raft v1.08.10\raft.exe => Нет файла
FirewallRules: [TCP Query User{8D071D5D-8A0D-45A0-95CD-0B67F3628487}C:\gog games\cult of the lamb\cult of the lamb.exe] => (Block) C:\gog games\cult of the lamb\cult of the lamb.exe => Нет файла
FirewallRules: [UDP Query User{ABB20818-9766-4357-A807-8281917AB54E}C:\gog games\cult of the lamb\cult of the lamb.exe] => (Block) C:\gog games\cult of the lamb\cult of the lamb.exe => Нет файла
FirewallRules: [TCP Query User{AE6AD353-5AE5-456B-B33F-A068F5FDD207}C:\users\альянс\appdata\roaming\lantern\lantern.exe] => (Allow) C:\users\альянс\appdata\roaming\lantern\lantern.exe => Нет файла
FirewallRules: [UDP Query User{44BB8A24-5A8B-41CC-97DF-7953D9785326}C:\users\альянс\appdata\roaming\lantern\lantern.exe] => (Allow) C:\users\альянс\appdata\roaming\lantern\lantern.exe => Нет файла
FirewallRules: [{BF30232B-2236-4293-9005-3B253FC0F61E}] => (Allow) C:\Users\Альянс\AppData\Roaming\Zoom\bin\Zoom.exe => Нет файла
FirewallRules: [{BEF8FB85-D0A6-4034-92BB-0486775329EC}] => (Allow) C:\Users\Альянс\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{6FA2A84C-A042-4B4E-9C19-8D23E4DC5000}] => (Allow) C:\Users\Альянс\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [TCP Query User{02C4ECB2-9C92-4F81-8603-307045DA3B18}C:\users\альянс\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe] => (Allow) C:\users\альянс\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{0327FB55-2AE8-4E77-A2A3-F71D23A3DA6F}C:\users\альянс\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe] => (Allow) C:\users\альянс\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{8500C33A-E55E-4C35-BBE5-962D4B5AB194}C:\users\альянс\appdata\roaming\.minecraft\runtime\jre-legacy\windows\jre-legacy\bin\javaw.exe] => (Allow) C:\users\альянс\appdata\roaming\.minecraft\runtime\jre-legacy\windows\jre-legacy\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{DC6DEE88-1A11-4F31-A534-6D7BACF8E92A}C:\users\альянс\appdata\roaming\.minecraft\runtime\jre-legacy\windows\jre-legacy\bin\javaw.exe] => (Allow) C:\users\альянс\appdata\roaming\.minecraft\runtime\jre-legacy\windows\jre-legacy\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{828B4C8D-B7A4-4D3C-8ABE-94862F855E4D}D:\торрент\astroneer jet powered\astro\binaries\win64\astro-win64-shipping.exe] => (Allow) D:\торрент\astroneer jet powered\astro\binaries\win64\astro-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{5B4370AC-AEC4-4562-B477-37A8C9416AA2}D:\торрент\astroneer jet powered\astro\binaries\win64\astro-win64-shipping.exe] => (Allow) D:\торрент\astroneer jet powered\astro\binaries\win64\astro-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{78A84C27-9D21-4171-825A-8493BE9DFD05}D:\торрент\valheim\valheim.exe] => (Allow) D:\торрент\valheim\valheim.exe => Нет файла
FirewallRules: [UDP Query User{F5C43546-2EA5-4C64-BF12-4B683E782F0E}D:\торрент\valheim\valheim.exe] => (Allow) D:\торрент\valheim\valheim.exe => Нет файла
FirewallRules: [{0D6E7CA4-F545-4D6F-AED8-90BB83D32485}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe => Нет файла
FirewallRules: [{F65DF848-A559-45C8-9A3E-3516C026622C}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe => Нет файла
FirewallRules: [{85BA10D7-283D-4BB0-87FD-DB33760FE7B0}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe => Нет файла
FirewallRules: [{785C02EF-5CE1-43E0-9ADD-9A64FC464F19}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe => Нет файла
FirewallRules: [{E1DC7BA0-60F5-4057-A56E-D560DDCF97B5}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe => Нет файла
FirewallRules: [{4C3A46BB-CC5E-4D08-A485-19D9E9DFD9EC}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe => Нет файла
FirewallRules: [{EC2438A4-A7A2-4BA9-803E-FFDB0298B5C4}] => (Allow) C:\Users\Альянс\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{AA384C3F-3B3F-48C0-99DD-542B082D2314}] => (Allow) C:\Users\Альянс\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [TCP Query User{3C26D6D6-1C23-4062-8EE8-F51B2FE712EC}E:\programms\factorio v1.1.74\bin\x64\factorio.exe] => (Allow) E:\programms\factorio v1.1.74\bin\x64\factorio.exe => Нет файла
FirewallRules: [UDP Query User{80DBF37F-5E38-4908-A54B-8106E26ED038}E:\programms\factorio v1.1.74\bin\x64\factorio.exe] => (Allow) E:\programms\factorio v1.1.74\bin\x64\factorio.exe => Нет файла
FirewallRules: [TCP Query User{511AB0EA-F329-41E7-A2E2-9D145CFF81DB}N:\steamlibrary\steamapps\common\stalcraft\bin_ru\win64\java\bin\stalcraftw.exe] => (Allow) N:\steamlibrary\steamapps\common\stalcraft\bin_ru\win64\java\bin\stalcraftw.exe => Нет файла
FirewallRules: [UDP Query User{2AC39DF6-AE7D-42A1-A591-1577D26CFF61}N:\steamlibrary\steamapps\common\stalcraft\bin_ru\win64\java\bin\stalcraftw.exe] => (Allow) N:\steamlibrary\steamapps\common\stalcraft\bin_ru\win64\java\bin\stalcraftw.exe => Нет файла
FirewallRules: [{07E3C1A2-FF36-41E6-8DA0-4F3C16681B1E}] => (Block) N:\steamlibrary\steamapps\common\stalcraft\bin_ru\win64\java\bin\stalcraftw.exe => Нет файла
FirewallRules: [{9884A631-C7BF-4CEA-9B4F-3BB423DA727B}] => (Block) N:\steamlibrary\steamapps\common\stalcraft\bin_ru\win64\java\bin\stalcraftw.exe => Нет файла
FirewallRules: [{9D8E4D0C-1978-43EB-B363-1A13FEC52631}] => (Allow) C:\Users\Альянс\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{54824F22-7878-48B1-8BD1-35B4B41F8DFC}] => (Allow) C:\Users\Альянс\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{0A2F5DC1-4C0A-4327-B886-A5E0038E9DF5}] => (Allow) C:\Users\Альянс\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{C1B18F99-8531-4FBB-9989-B180A43E39B4}] => (Allow) C:\Users\Альянс\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [TCP Query User{9937F843-195E-4065-A71D-D5CF6717F79C}C:\users\альянс\appdata\local\discord\app-1.0.9012\discord.exe] => (Allow) C:\users\альянс\appdata\local\discord\app-1.0.9012\discord.exe => Нет файла
FirewallRules: [UDP Query User{A99FD69C-1A33-4052-B93F-85FA22A1BB69}C:\users\альянс\appdata\local\discord\app-1.0.9012\discord.exe] => (Allow) C:\users\альянс\appdata\local\discord\app-1.0.9012\discord.exe => Нет файла
FirewallRules: [{4F2D8FD4-5136-4F85-B23B-3907F3AFF31E}] => (Block) C:\users\альянс\appdata\local\discord\app-1.0.9012\discord.exe => Нет файла
FirewallRules: [{F76908D9-138B-481E-98E4-602F4AE3999E}] => (Block) C:\users\альянс\appdata\local\discord\app-1.0.9012\discord.exe => Нет файла
FirewallRules: [TCP Query User{3ED7EF57-E994-44BD-A7EC-C6768EC4C9A6}N:\games\escape the backrooms\escapethebackrooms\binaries\win64\backrooms-win64-shipping.exe] => (Allow) N:\games\escape the backrooms\escapethebackrooms\binaries\win64\backrooms-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{5E7546A8-206A-422D-8145-470FE1D889A4}N:\games\escape the backrooms\escapethebackrooms\binaries\win64\backrooms-win64-shipping.exe] => (Allow) N:\games\escape the backrooms\escapethebackrooms\binaries\win64\backrooms-win64-shipping.exe => Нет файла
FirewallRules: [{D70315F5-C442-480D-9051-0DAFD70265D7}] => (Block) N:\games\escape the backrooms\escapethebackrooms\binaries\win64\backrooms-win64-shipping.exe => Нет файла
FirewallRules: [{883563DF-3553-47DF-9977-A110F4D728E2}] => (Block) N:\games\escape the backrooms\escapethebackrooms\binaries\win64\backrooms-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{BE0682F2-7287-4216-932B-86BBF59FC2BC}N:\games\barony\barony.exe] => (Allow) N:\games\barony\barony.exe => Нет файла
FirewallRules: [UDP Query User{BA50404C-A322-47FF-92FB-AE909BDC79BE}N:\games\barony\barony.exe] => (Allow) N:\games\barony\barony.exe => Нет файла
FirewallRules: [{C7B379DE-DE51-4C43-BF3D-9EE46815E0EC}] => (Block) N:\games\barony\barony.exe => Нет файла
FirewallRules: [{BB798F22-7446-458E-BBC3-C717F03FAD8E}] => (Block) N:\games\barony\barony.exe => Нет файла
FirewallRules: [TCP Query User{87CF20A6-FB7C-48CB-A8BD-53EC16383A04}N:\games\hero siege\hero_siege.exe] => (Allow) N:\games\hero siege\hero_siege.exe => Нет файла
FirewallRules: [UDP Query User{D66AEBE3-04CF-46A9-AF9B-90E637FF8A72}N:\games\hero siege\hero_siege.exe] => (Allow) N:\games\hero siege\hero_siege.exe => Нет файла
FirewallRules: [{1B45133C-21C2-42BC-BB3B-849524551909}] => (Block) N:\games\hero siege\hero_siege.exe => Нет файла
FirewallRules: [{B6A0D2E0-70C0-45C3-8A1A-EA2B550F0720}] => (Block) N:\games\hero siege\hero_siege.exe => Нет файла
FirewallRules: [TCP Query User{BEC0260A-001D-46FA-B7B1-CD115487023D}C:\users\альянс\appdata\roaming\.minecraft\runtime\java-runtime-gamma\windows\java-runtime-gamma\bin\javaw.exe] => (Allow) C:\users\альянс\appdata\roaming\.minecraft\runtime\java-runtime-gamma\windows\java-runtime-gamma\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{F7BFAE06-F59D-4665-8DF9-4E4D22ED823A}C:\users\альянс\appdata\roaming\.minecraft\runtime\java-runtime-gamma\windows\java-runtime-gamma\bin\javaw.exe] => (Allow) C:\users\альянс\appdata\roaming\.minecraft\runtime\java-runtime-gamma\windows\java-runtime-gamma\bin\javaw.exe => Нет файла
FirewallRules: [{6782263B-816C-4C32-B0D0-3FFC25934910}] => (Block) C:\users\альянс\appdata\roaming\.minecraft\runtime\java-runtime-gamma\windows\java-runtime-gamma\bin\javaw.exe => Нет файла
FirewallRules: [{4A6C238E-5D7B-4AB9-B298-6B77E28326D2}] => (Block) C:\users\альянс\appdata\roaming\.minecraft\runtime\java-runtime-gamma\windows\java-runtime-gamma\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{8549CA37-CE92-4C70-81E0-40F0680E5AC9}N:\games\baldurs gate 3\bin\bg3.exe] => (Allow) N:\games\baldurs gate 3\bin\bg3.exe => Нет файла
FirewallRules: [UDP Query User{CF32E095-73CC-462C-B040-EB935CB595C9}N:\games\baldurs gate 3\bin\bg3.exe] => (Allow) N:\games\baldurs gate 3\bin\bg3.exe => Нет файла
FirewallRules: [{52A17350-F313-48F4-88FB-39C7E0154C18}] => (Block) N:\games\baldurs gate 3\bin\bg3.exe => Нет файла
FirewallRules: [{B8BC974B-0620-47F1-A1BE-84473C22DB6E}] => (Block) N:\games\baldurs gate 3\bin\bg3.exe => Нет файла
FirewallRules: [TCP Query User{AB465A56-A7ED-47B3-9C3F-E9E4EDE09B4A}N:\games\baldurs gate 3\bin\bg3_dx11.exe] => (Allow) N:\games\baldurs gate 3\bin\bg3_dx11.exe => Нет файла
FirewallRules: [UDP Query User{6E64E16B-C057-45D0-838A-86602AF386B5}N:\games\baldurs gate 3\bin\bg3_dx11.exe] => (Allow) N:\games\baldurs gate 3\bin\bg3_dx11.exe => Нет файла
FirewallRules: [{0DBC1925-9A00-49E6-8203-94661908D846}] => (Block) N:\games\baldurs gate 3\bin\bg3_dx11.exe => Нет файла
FirewallRules: [{32A677CA-2EA4-44AD-B219-14FBC71A49AA}] => (Block) N:\games\baldurs gate 3\bin\bg3_dx11.exe => Нет файла
FirewallRules: [TCP Query User{34837F4C-8C24-42AD-824C-953B9CB1A587}C:\users\альянс\appdata\local\discord\app-1.0.9016\discord.exe] => (Allow) C:\users\альянс\appdata\local\discord\app-1.0.9016\discord.exe => Нет файла
FirewallRules: [UDP Query User{FD8347B0-5834-4067-A346-A32D8880751E}C:\users\альянс\appdata\local\discord\app-1.0.9016\discord.exe] => (Allow) C:\users\альянс\appdata\local\discord\app-1.0.9016\discord.exe => Нет файла
FirewallRules: [{68C2D8E3-4164-459E-A9E4-6E388F985453}] => (Block) C:\users\альянс\appdata\local\discord\app-1.0.9016\discord.exe => Нет файла
FirewallRules: [{D325C75F-253F-4DA9-9A6E-60C7753ED897}] => (Block) C:\users\альянс\appdata\local\discord\app-1.0.9016\discord.exe => Нет файла
FirewallRules: [{C1BC246D-B4F0-4EC4-A917-94635C6415F8}] => (Allow) 㩃啜敳獲쁜ﳫ峱灁䑰瑡屡潒浡湩屧潴屣煮味⹅硥e => Нет файла
FirewallRules: [{92292042-6114-4872-AAF4-3E6ABAAC8591}] => (Allow) 㩃啜敳獲쁜ﳫ峱灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{6CB2C9C4-5470-4723-898C-E95EE194C153}] => (Allow) 㩃啜敳獲쁜ﳫ峱灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯硥e => Нет файла
FirewallRules: [{2223378A-DEF0-4AC1-8006-0953D3C559AC}] => (Allow) 㩃啜敳獲쁜ﳫ峱灁䑰瑡屡潒浡湩屧潴屣湐慁攮數 => Нет файла
FirewallRules: [{E15CDF18-9ED1-4BA1-85C3-865574EEDD15}] => (Allow) C:\Program Files (x86)\Yandex\YandexBrowser\Application\browser.exe => Нет файла
FirewallRules: [{2947362B-6640-4B0D-BAE3-C649B07EE902}] => (Allow) C:\Users\Альянс\AppData\Roaming\utorrent\uTorrent.exe => Нет файла
FirewallRules: [{622F3FD0-67E5-44A8-BC8F-69063E6AB9DF}] => (Allow) C:\Users\Альянс\AppData\Roaming\utorrent\uTorrent.exe => Нет файла
FirewallRules: [{8395EC71-AD6C-4312-9A38-BB74A5A2B292}] => (Allow) C:\Program Files (x86)\Overwolf\0.233.1.2\OverwolfBrowser.exe => Нет файла
FirewallRules: [{E066699A-8A7C-4E4A-8B24-1529A1899D35}] => (Allow) C:\Program Files (x86)\Overwolf\0.233.1.2\OverwolfBrowser.exe => Нет файла
FirewallRules: [{90B7F7CF-3B48-4F55-9D0F-AA5D8F9821E6}] => (Block) C:\Program Files (x86)\Overwolf\0.233.1.2\OverwolfBrowser.exe => Нет файла
FirewallRules: [{8727E89C-4399-49A3-974D-B33B978DFF0E}] => (Block) C:\Program Files (x86)\Overwolf\0.233.1.2\OverwolfBrowser.exe => Нет файла
Unlock: C:\ProgramData\RDP Wrapper
Folder: C:\ProgramData\RDP Wrapper
Reboot:
End::3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание: будет выполнена перезагрузка компьютера.
- Сообщения
- 3,885
- Реакции
- 2,432
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
После скрипта
Код:
Start::
CreateRestorePoint:
Task: {BA0AB7D3-9A59-4EAF-82AB-B58CDC12AEF1} - System32\Tasks\DriverFix => "C:\Program Files (x86)\DriverFix\DriverFix.exe" -auto (Нет файла) <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1832922372-4241584432-807187859-1001\...\Run: [Lantern] => "C:\Users\Альянс\AppData\Roaming\Lantern\lantern.exe" -clear-proxy-settings (Нет файла)
AdBlock Shield 1.0.0.0 (HKU\S-1-5-21-1832922372-4241584432-807187859-1001\...\{13d19efd-5dd6-4f8f-bdf1-54ddd7a092d0}) (Version: 1.0.0.0 - ivanovsasha224) Hidden
NavajoWhite meat 1.4.10.84 (HKLM-x32\...\{863fb230-dc66-404f-88c2-4b523dd7e2ac}) (Version: 1.4.10.84 - Carbone-Ferraro s.r.l. SPA) Hidden
YAN DefaultSearchKeyword: Default -> find-it.pro
C:\ProgramData\RDP Wrapper
C:\Program Files (x86)\NavajoWhite meat
C:\Users\Альянс\AppData\Local\Programs\ivanovsasha224
Folder: C:\ProgramData\FileFort-1b89542b-6488-4a28-84a0-9a4ce1c028db
File: C:\Program Files\WProxy\WinProxy\WinProxy.exe
File: C:\Program Files (x86)\Плагин фиксации действий пользователя\run.vbs
Reboot:
End::3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание: будет выполнена перезагрузка компьютера.
После скрипта
удалите через Установку программ или принудительно с помощью Geek Uninstaller
К сожалению удалить саму папку не могу, она скрыта. Параметр показывать скрытые папки не помогает. Удалил содержимое папки, перезагрузил, запустился майнер, содержимое папки восстановилось с запуском компьютера.
Ссылка на анализ файла:
Ссылка на анализ файла:
- Сообщения
- 3,885
- Реакции
- 2,432
проверьте на virustotal.com и пришлите ссылки на результат анализа
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)
Код:
Start::
CreateRestorePoint:
C:\ProgramData\FileFort-1b89542b-6488-4a28-84a0-9a4ce1c028db
Reboot:
End::3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание: будет выполнена перезагрузка компьютера.
Сделано, майнер и папка все еще остались.C:\Windows\SysWOW64\bind606.dat
C:\Windows\SysWOW64\mobsync.dll
- Сообщения
- 25,318
- Решения
- 7
- Реакции
- 13,842
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
- Скачайте Universal Virus Sniffer (uVS)
- Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Нажмите быструю комбинацию ALT+T (меню Дополнительно - Твики) и в открывшимся окне активируйте твики 39 и 41, после перезапустите компьютер (только дождитесь в начале окончания работы AutorunsVTchecker).
- Опять запустите UVS. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имякомпьютерадата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. - Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.
- Статус
Похожие темы
- Закрыта
- Закрыта
