Подозрение на вирусы

[terrpro 0]

Здравствуйте,подозрение на вирусы.Комп подтормаживает при первой загрузке рабочего стола ,и в процессе работы. ЦП как только запускаю диспечер задач на 98 % ,потом спадает до 10-15%.Из 2.7 ггц он на 2-2,6 ггц загружен,мне кажется что при запуске диспечера задач, спадает нагрузка на проц, а именно кол-во ядер уменьшается,подозрение на майнера,Так как много папок с немонятными названиями типа :bjhsdfa3b2rbsadfabd78bsadbsbds.Проверял на KVRT в безопастном режиме удаляет, при переход в обычный, находит ,перезагружает и опять находит ,и так постоянно.Прилагают отчет AVZ , помогите пожалуйста

avz_sysinfo.htm

avz_sysinfo.xml

[Mark D. Pearlstone 1 704]

Порядок оформления запроса о помощи

[terrpro 0]

Вот мои результаты сканирования

CollectionLog-2018.04.22-01.15.zip

[regist 617]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\system32\drivers\wfcre.sys', '');
 DeleteFile('C:\Windows\system32\drivers\wfcre.sys', '32');
 DeleteService('wfcre');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
• Прикрепите отчет к своему следующему сообщению.

[terrpro 0]

[KLAN-7953786773]

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

quarantine.zip

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

ClearLNK-2018.04.22_02.36.10.log

CollectionLog-2018.04.22-03.01.zip

AdwCleanerS01.txt

[regist 617]

vs_filehandler_amd64 [20180422]-->MsiExec.exe /I{02DD895F-089F-4A63-81A9-78D00142AF20}
vs_FileTracker_Singleton [20180422]-->MsiExec.exe /I{8EB2C670-04C2-482D-BACD-B4095E27FD39}
vs_minshellmsi [20180422]-->MsiExec.exe /I{13E08AD0-D6AC-44C4-9F5B-0AE2EB56B105}

эти программы вам знакомы? Если нет, то деинсталируйте.

 

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
    
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.

  [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.

  [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

1. Скачайте Universal Virus Sniffer (uVS)
   
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
   
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

   
   

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

 

[terrpro 0]

не знаю что это за программы,подскажите как удалить

вот три лога,во втором и третьем я запустил браузер.

 

AdwCleanerC02.txt

AdwCleanerC04.txt

AdwCleanerC05.txt

KAIFOCOMP_2018-04-22_19-41-43.7z

[regist 617]

 

 

не знаю что это за программы,подскажите как удалить

Панель управления - Удаление программ.

 

 

Пожалуйста, запустите adwcleaner.exe

Настройки - Удалить AdwCleaner - Удалить.
 

 

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.11 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.3
   v400c
   BREG
   zoo %Sys32%\DRIVERS\CMNXUSBSER.SYS
   ;---------command-block---------
   delref M:\SETUP.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.169\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
   delref HTTPS://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBEQO0LOCWIXRZS2RCB6IYLXKBYIJEBC5YYFIBWIS1P4X24A7-IYIJ_FDGVQJL_HQZCF4GM6S8JF5OGHCG-NC6A5QIOEZPTKOZIEIYLJUSHUE6BX9ZOROXM1VAVIOZ1HQYFIHRNWQ9OB4-5YDYS5TGDMLUDNXR7XOVMIALUQ9EJWCXGILQA8
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEEMBEEJEKGHKOPIABADONPMFPIGOJOK%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLHEMECHCANJMILLLMCCJBJLDONMNNJJJ%26INSTALLSOURCE%3DONDEMAND%26UC
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\61.0.3163.79\INSTALLER\CHRMSTP.EXE
   delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\BCD12CEE5928F564CE53983CC459001D\9164400FD3AAC9BBEFBE3C956FEFD62D36FF93D7
   delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\4F22303E75D5017D3169C278BD6ACFD0\POWERPOINTINTL-RU-RU.CAB
   delref J:\AUTORUN.EXE
   delref L:\AUTORUN.EXE
   apply
   
   czoo
   restart 

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

+ сделайте логи этой версией Автологера.
 

[terrpro 0]

вот логи с вашей версией автологера

CollectionLog-2018.04.22-22.09.zip