Решена Вирус-майнер

[kimie]

Вчера словил майнер, вроде удалил его (перестала грузиться видеокарта). Прикреплю архив с логами.

 

[Sandor]

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[kimie]

Программа запустилась, но сопровождалась этим уведомлением

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус, при этом сеть не отключайте.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-19\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-20\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-21-2182997185-2431246531-824255057-1002\...\Run: [Registry] => "C:\Windows\SystemResources\CallingShellApp\Registry.exe" (Нет файла)
  HKU\S-1-5-18\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
  IFEO\calc.exe: [Debugger] win32calc.exe
  IFEO\CompatTelRunner.exe: [Debugger] svchost.exe
  IFEO\upfc.exe: [Debugger] svchost.exe
  HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2182997185-2431246531-824255057-1002\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Task: {36FE3CF6-2339-43E0-BF67-AB6D40A850B4} - System32\Tasks\RegistryR => C:\Windows\SystemResources\CallingShellApp\Registry.exe (Нет файла)
  Task: {38DF93B2-B3D7-4125-A037-9FC328036B95} - System32\Tasks\TR_FastScan_AtLogon => E:\Trojan Remover\Trjscan.exe /boot (Нет файла)
  Task: {5526F390-2650-474E-84DF-E12202D74E33} - System32\Tasks\BlueStacksHelper_nxt => C:\Program Files\BlueStacks_nxt\BlueStacksHelper.exe -sr (Нет файла)
  Task: {58F037DC-0CD5-4C39-BFE1-C7E22ED8EE6D} - System32\Tasks\TR_AntiHijack => E:\Trojan Remover\TRAntiHJ.exe (Нет файла)
  Task: {5C094322-0A71-4CFA-861A-D37265D8F010} - System32\Tasks\TR_FastScan_Daily_SLAVA => E:\Trojan Remover\Trjscan.exe /silent (Нет файла)
  Task: {6F4893B6-9609-43C6-BF20-3C8BFDB60C5A} - System32\Tasks\Trojan Remover => E:\Loaris Trojan Remover\ltr.exe (Нет файла)
  Task: {8B4903D2-31C6-4582-BEEC-0685103FA7A0} - System32\Tasks\Temp => powershell.exe get-childitem -path $env:temp -force -recurse | remove-item -force -recurse
  Task: {C804E3B8-3C36-4DB7-87FC-AEA0AEAA0D89} - System32\Tasks\TR_Updater => E:\Trojan Remover\Trupd.exe /silent (Нет файла)
  Task: {ECDD983B-9DC6-4F69-8316-94B303964DD1} - System32\Tasks\Registry => C:\Windows\SystemResources\CallingShellApp\Registry.exe (Нет файла)
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [165]
  AlternateDataStreams: C:\Users\All Users:NT [40]
  AlternateDataStreams: C:\Users\All Users:NT2 [165]
  AlternateDataStreams: C:\Users\Все пользователи:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи:NT2 [165]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [165]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [165]
  AlternateDataStreams: C:\Users\SLAVA\Application Data:NT [40]
  AlternateDataStreams: C:\Users\SLAVA\Application Data:NT2 [165]
  AlternateDataStreams: C:\Users\SLAVA\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\SLAVA\AppData\Roaming:NT2 [165]
  StartBatch:
    ECHO Y|CHKDSK C: /F
    pushd c:\windows\system32
    bcdedit.exe /set {default} recoveryenabled yes
    net stop bits
    net stop cryptSvc
    net stop wuauserv
    net stop msiserver
    del /s /q C:\Windows\SoftwareDistribution\download\*.*
    del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
    net start bfe
    net start bits
    net start cryptSvc
    net start eventsystem
    net start msiserver
    net start rpcss
    net start sdrsvc
    net start trustedinstaller
    net start vss
    net start winmgmt
    net start wuauserv
  EndBatch:
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Выполнение скрипта может занять некоторое время, дождитесь окончания.
Во время перезагрузки будет запущено исправление возможных ошибок диска, не прерывайте его.

 

[kimie]

Отключите до перезагрузки антивирус, при этом сеть не отключайте.

антивируса у меня нет. Сейчас все сделаю и пришлю файл

 

[kimie]

вот лог файл

 

[Sandor]

Сколько у вас свободного места на диске С?

 

[kimie]

 

[Sandor]

Да, это мало.
Считается, что свободного места на системном диске должно быть не менее 20% от всего объёма.
Постарайтесь освободить.

Ок, возвращайтесь в системный раздел. Там больше специалистов может отвечать, чем здесь.

 

[kimie]

Ок, возвращайтесь в системный раздел. Там больше специалистов может отвечать, чем здесь.

в системный, это куда я вначале писал?

 

[Sandor]

Да, туда.