Невозможно удалить вирус(возможно стиллер)

[Tybloko]

Осенью произошла ситуация, что на компьютер попал стиллер ворующий аккаунты, или куки. Переустановил виндоус, вроде бы всё прошло. Недавно пришло уведомления от нескольких сайтов, с примерно таким содержанием: "Мы обнаружили, что на ваш аккаунт заходил злоумышленник через краденные Cookie. Когда мы это обнаружили, мы заблокировали операции с балансом на вашем аккаунте, чтобы никто не смог получить доступ к вашим средствам.".
Решил проверить на всякий случай с помощью cureit-а, нашло пару угроз, которые он обезвредил, но осталось "CHROMIUM:PAGE.MALWARE.URL". Лечение не помогает.

Толи сайты с большим запозданием отправили эту информацию, то ли действительно вирус. Пока-что ничего не было украдено с пк, проблем не было заметно. 

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Нужные логи прикрепите к следующему сообщению в этой теме.

Также прикрепите лог CureIt.

[Tybloko]

CollectionLog-2024.02.08-13.05.zip cureit.zip

[Sandor]

Видны следы бывшего заражения майнером.

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

[Tybloko]

После работы AV block remover проводник перестал открываться. 
Открываю папку любую-рабочий стол перезапускается, проводник закрывается. Хром, стим запускаются.
Отчёт смог загрузить сюда через "выберите файл".
 

AV_block_remove_2024.02.08-13.29.log

Диспетчер задач открывается.

[Sandor]

Автологер запустить можете?

[Tybloko]

CollectionLog-2024.02.08-13.46.zip

[Sandor]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('C:\Users\User\AppData\Local\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\Users\User\AppData\Local\', '*.exe', true);
 DeleteFileMask('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\', '*.bat', true);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

(Или загрузите на облако, а ссылку на скачивание отправьте мне личным сообщением).

 

2. 

Файл Check_Browser_Lnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

3. 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Startup = C:\Users\User\AppData\Local\Temp\1ff8bec27e
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Startup = C:\Users\User\AppData\Local\Temp\1ff8bec27e
O22 - Tasks: \GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem123.0.6268.0{F283B2F1-51DF-4FEE-AA50-55EB8B49A58D} - C:\Program Files (x86)\Google\GoogleUpdater\123.0.6268.0\updater.exe --wake --system --enable-logging --vmodule=*/components/winhttp/*=1,*/components/update_client/*=2,*/chrome/updater/*=2 (sign: 'Google LLC')
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Перезагрузите компьютер вручную.

 

 

4. Для очередной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

[Tybloko]

При выполении первого скрипта AVZ зависает на перемещение файлов в карантин. Перезагрузки не происходит.
После ручной перезагрузки выполнил второй скрипт, всё прошло успешно.
Папки(проводник) снова стали работать.
Все строчки в HijackThis указанные вами были.
Обнаружены новые проблемы:
1.При ввода пароля клавиши будто залипают. Нажимаю первую букву пароля, она вводится 6 раз, пытаюсь стереть только 5 символов-стерается всё. Это продолжается в районе минут, после всё проходит.
2.При открытии Хрома ни одна вкладка не грузит, необходимо его перезапустить(просто закрыть и открыть)
3.Стала более долгая загрука системы.
4.При запуске ПК появилось множество(примерно 30-40) окон консоли и ошибки. Ошибки по типу:"Не удается найти "C:\User\AppData\Local\PzyKkmlqqoBz4YtRrjAVx6pe.exe".
5.Отвалился второй диск.
 

ClearLNK-2024.02.08_14.23.18.log CollectionLog-2024.02.08-14.36.zip

Изменено 8 февраля, 2024 пользователем Tybloko

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Tybloko]

upd:после перезагрузки диск вернулся, возможно что это не связанно с вирусом, такое бывает.

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2aRbyzvJFbPn5IsCs8nWLTwh.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\44V9LGfqyWBpKW4qOWb0aZtl.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\4ZB3OOtOYd5mBiUxPQx2osXR.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6lbClrJT1s8NH2U8QCSXybGA.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6qwLQAPxf8MkxpdZlZOItcxO.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\A3IgAFDJj3BYQpDe6ueGqXQW.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ap8ErNlE53fwzWIpEJwYTHg2.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bgRFKufWuLVMrM6mEb5NX3kc.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bISVZ3YKE5kmYTLP78cBEWZV.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bRzial1MrRhXxNwlPzDkyUnS.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\c3uKCx3LVQYO2qC2fkw35avg.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\c5lK02aKFm4K6E39c81oHOpN.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\c7wtbsioWt5vizm7gPMEGnZT.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cSogfSf5yBd7U1lxFSChjxwX.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DdRAcFxD0zii8UcDQKIW8q7b.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\di7VZdqw17fw5OPju36vP9RN.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Du4egJOBE5NFxSAo1C90SSUj.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dzV7IWI6hXzRJVjUD0Jk57qi.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\eKuwx34XvIriXbgr6nlapFYz.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\eU84iJaKoknCaosAgaRAKHQu.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EwaSWjJc7IPWYjsolw3Nui7I.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gyMtlBiI4XWKVG82Y2G4NzHi.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HTiQ5TNbcfxZjPvchs05ZpGF.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\i8szdRYN7IFd58mxtxm5borT.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\J4iycgHGwhakyJ0Gpb9KolrO.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\kILbfyZJzKEBOAhqwInUtfX7.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LRkrfxZRp6Bx3dUJFQBe85zP.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\luFttv7i2vr8C1q42xjRjCjq.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MbghubsJ7SzUdWnsslJkEC2X.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MsnVczUafQ2U8rxeuErhPW7w.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\N0iuv5PN2i84wrcK1jbMJ3hQ.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ndLMCaCQdq4dKQPyZdkoByVn.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nNVTZLMH8G6XGUHIkwWbtZwd.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NZLPDM7LkBy2HA20l9MDCH0J.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pxTGvtZMCi3IqeR5N9UCjBOr.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\QvfFwsLcL6hD3MCaH8HnguNk.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\QwGPQsiUrTu1Bm9DdQBDt6dD.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RIMKz7sjyvhlA4bCRIZP8NRW.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RrYBCGjxoBeYTEMQposwPNSs.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SixX6TKmhHqIMqQpEs1SHmj0.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sWgnSMSHvkfrm3Xz4LtYwPYX.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sXTs7UaA245uelwBoSCMcgVm.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TkbK9CLgpOzh7yDobTKDbYps.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tldgUv3KiJQd8DDB83Dqwf6S.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VKrCyqA3YxyLmPz15YWbvRcq.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\XT9BwA1EALqOY7bBjMaytTr5.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ZBUrDSnlddHLfqy0C8xXa28n.bat [2023-10-18] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ZXPJ8wWkA74ixfMh1lVi2nxQ.bat [2023-10-18] () [Файл не подписан]
  CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
  S2 GoogleUpdaterInternalService123.0.6268.0; "C:\Program Files (x86)\Google\GoogleUpdater\123.0.6268.0\updater.exe" --system --windows-service --service=update-internal --enable-logging --vmodule=*/components/winhttp/*=1,*/components/update_client/*=2,*/chrome/updater/*=2 [X] <==== ВНИМАНИЕ
  S2 GoogleUpdaterService123.0.6268.0; "C:\Program Files (x86)\Google\GoogleUpdater\123.0.6268.0\updater.exe" --system --windows-service --service=update --enable-logging --vmodule=*/components/winhttp/*=1,*/components/update_client/*=2,*/chrome/updater/*=2 [X] <==== ВНИМАНИЕ
  S3 HWiNFO_187; \??\C:\Users\User\AppData\Local\Temp\HWiNFO64A_187.SYS [X] <==== ВНИМАНИЕ
  C:\Users\User\AppData\Local\XdeMkHlwj9yYIucklkZdu8K1.exe
  C:\Users\User\AppData\Local\fdWQPq2DsAJEseu1Knxfyq9W.exe
  C:\Users\User\AppData\Local\vtNItJFiaK1eJDyf9prF6GyS.exe
  C:\Users\User\AppData\Local\V4zqT6nMCuX2FaGa4QrGTApD.exe
  C:\Users\User\AppData\Local\Gm7IaQvi5zQCbMJ9XbfTOwoE.exe
  C:\Users\User\AppData\Local\1WuwVyqjotdkd1YE91VTzjMi.exe
  C:\Users\User\AppData\Local\RZdHLgefzRVOsWRoo5Lz5G85.exe
  C:\Users\User\AppData\Local\QLgYqQEp96iXuiNTgDPCjWeJ.exe
  C:\Users\User\AppData\Local\ziw81a3Nb2a8yx6yz4rPINOF.exe
  C:\Users\User\AppData\Local\h5VrjqbpgRjgGampGHooWB5q.exe
  C:\Users\User\AppData\Local\6DgQo2CElDRTuhwkO9d0SDEW.exe
  C:\Users\User\AppData\Local\Km2U4vIhCqQRMiypETa4L4fo.exe
  C:\Users\User\AppData\Local\5tzRrRPefaf65Ryeln8VImdp.exe
  C:\Users\User\AppData\Local\8gq72g5WDO6KM9qmvJsa9mOA.exe
  C:\Users\User\AppData\Local\NIZvZaIUTRFcSAo1EF2S2nTo.exe
  C:\Users\User\AppData\Local\cxDiNCODYqRL2lMoOBvUH1yJ.exe
  C:\Users\User\AppData\Local\Ydhkhqt55sA7Ek7VVRMW1IFH.exe
  C:\Users\User\AppData\Local\sGRbPJ6fLu7547SXiMLK9jVV.exe
  C:\Users\User\AppData\Local\x0WEEG1nmvQvYZoNQtOE4lyx.exe
  C:\Users\User\AppData\Local\n0GJauZgIwxPi1DAjqgNYJhF.exe
  C:\Users\User\AppData\Local\zwV1KYZhxzGzpZwVIbmUeG86.exe
  C:\Users\User\AppData\Local\erWz0anEuNMvsiSHPOsNDrhW.exe
  C:\Users\User\AppData\Local\7FszifVd3iKmyeSN32m4dt5B.exe
  C:\Users\User\AppData\Local\6lVsQLaBINZWH0HFjfPs1Rto.exe
  C:\Users\User\AppData\Local\tbRJuNBFt73N0PJ7l8SrwcHZ.exe
  C:\Users\User\AppData\Local\UDYh8U1HngJthcIEtBXJ7euW.exe
  C:\Users\User\AppData\Local\GKXu3AlcNcGmtFeLRkP2hhfc.exe
  C:\Users\User\AppData\Local\OcvKs1CHU4a1DvNvjMyDre6o.exe
  C:\Users\User\AppData\Local\kGtQ6OIMBqFXEcdgfHY4CaIb.exe
  C:\Users\User\AppData\Local\66wUgreyIi744O9sokR5WatL.exe
  C:\Users\User\AppData\Local\uowCpY7GjBJ2yOnCRpTRV1mS.exe
  C:\Users\User\AppData\Local\aiuhSRZTSD6zMNSwgLuLyGWg.exe
  C:\Users\User\AppData\Local\QiezIPyuZVf99BFcw7rXvO1m.exe
  C:\Users\User\AppData\Local\ABz2aZizicd56tuZzneXB2bA.exe
  C:\Users\User\AppData\Local\L5aWWrhRbWzn9iOEUIy43xKR.exe
  C:\Users\User\AppData\Local\9ii9sPbWgz8JJQbYny2aAzkv.exe
  C:\Users\User\AppData\Local\2b8DpyM3QZ1lWv38calOxUUJ.exe
  C:\Users\User\AppData\Local\OyaN3QA6DCBakrdlUegiI1Vw.exe
  C:\Users\User\AppData\Local\ZbcND0hNQYsd1gVTUpDtM5ye.exe
  C:\Users\User\AppData\Local\KbVYd7SNoKo86CkADh1lHhiM.exe
  C:\Users\User\AppData\Local\HMCUd7uiNUsgO3EExKR6JAbc.exe
  C:\Users\User\AppData\Local\xwLRtL6zu1qz7l3zXXHXi9al.exe
  C:\Users\User\AppData\Local\QFwRgAdPbVdhuUo50bI84ruL.exe
  C:\Users\User\AppData\Local\amvwiT7eOeXanI1HbWTMHeV8.exe
  C:\Users\User\AppData\Local\xfuwUjmSJGpfI9Xi1VVRpmIn.exe
  C:\Users\User\AppData\Local\vbSCs6Ogh5mQGswe7XFFdEqv.exe
  C:\Users\User\AppData\Local\g4K45pEjKY2gjTbMK8c4TrIj.exe
  C:\Users\User\AppData\Local\PzyKkmIqqoBz4YtRrjAVx6pe.exe
  AlternateDataStreams: C:\ProgramData:73c59d14 [216]
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [216]
  AlternateDataStreams: C:\Users\All Users:73c59d14 [216]
  AlternateDataStreams: C:\Users\All Users:NT [40]
  AlternateDataStreams: C:\Users\All Users:NT2 [216]
  AlternateDataStreams: C:\Users\Все пользователи:73c59d14 [216]
  AlternateDataStreams: C:\Users\Все пользователи:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи:NT2 [216]
  AlternateDataStreams: C:\ProgramData\Application Data:73c59d14 [216]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [216]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:73c59d14 [216]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [216]
  AlternateDataStreams: C:\Users\User\Application Data:73c59d14 [216]
  AlternateDataStreams: C:\Users\User\Application Data:NT [40]
  AlternateDataStreams: C:\Users\User\Application Data:NT2 [216]
  AlternateDataStreams: C:\Users\User\AppData\Roaming:73c59d14 [216]
  AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2 [216]
  AlternateDataStreams: C:\Users\User\Documents\GTA San Andreas User Files:73c59d14 [216]
  FirewallRules: [{4905523E-591F-46F3-8F9D-DA35033F1C8A}] => (Allow) LPort=9009
  FirewallRules: [{59EE5F0E-AA08-4532-A4EC-D27C7B2EF9F1}] => (Allow) LPort=9009
  FirewallRules: [{9D3F18BF-7165-4929-8349-B0A72A818370}] => (Allow) LPort=9009
  FirewallRules: [{84A72EE4-6073-4696-BB54-620DC7E11061}] => (Allow) LPort=9009
  FirewallRules: [{5DBDA7DA-5A70-4B49-B10E-4E7B0BAC805A}] => (Allow) LPort=9009
  FirewallRules: [{FAE73CB2-EF38-4918-AF5A-8030121BB9A1}] => (Allow) LPort=9009
  FirewallRules: [{632EA3E7-B46B-4BD0-8A84-D0B48215748E}] => (Allow) LPort=9009
  FirewallRules: [{18CF86D4-EC6C-49CC-A8F6-5715120F05A6}] => (Allow) LPort=9009
  FirewallRules: [{67EC7EEE-9DD1-4206-B51C-4FF9BB56AE8F}] => (Allow) LPort=9009
  FirewallRules: [{00AF7D77-A7C0-4EB3-BE55-B7F387191BF4}] => (Allow) LPort=9009
  FirewallRules: [{399A95BC-BBC7-4870-942B-69DC241633D7}] => (Allow) LPort=9009
  FirewallRules: [{ADC29C8B-C22C-4822-A134-5EF5D35C6E4A}] => (Allow) LPort=9009
  FirewallRules: [{4802B5D4-9C5A-4D79-956F-BA032B402320}] => (Allow) LPort=9009
  FirewallRules: [{D6365243-3DFD-4839-A7C5-83E71B7533AA}] => (Allow) LPort=9009
  FirewallRules: [{D3680E21-FA5D-4D0B-83F4-41018D9216E3}] => (Allow) LPort=9009
  FirewallRules: [{F5295D1A-A429-49AD-BA5A-2817BCAE5466}] => (Allow) LPort=9009
  FirewallRules: [{455E6244-5479-4A82-81B0-1D10BAAFD83F}] => (Allow) LPort=9009
  FirewallRules: [{CE8C20B3-2D7E-4791-A5DE-0B286FE285AA}] => (Allow) LPort=9009
  FirewallRules: [{5439B722-1AC4-419A-8F47-C6FDBAF3B42F}] => (Allow) LPort=9009
  FirewallRules: [{DAD43502-C734-42B9-A964-152AF7F1EE03}] => (Allow) LPort=9009
  FirewallRules: [{0EB5F014-2910-4A4A-9404-83E53756C067}] => (Allow) LPort=9009
  FirewallRules: [{D11CC393-DE70-45E0-99A8-6E15F1683B8E}] => (Allow) LPort=9009
  FirewallRules: [{945D71A4-717E-49ED-A54C-A2ECFADC5888}] => (Allow) LPort=9009
  FirewallRules: [{42FBE16E-B6A2-4311-AC91-538FD2009F46}] => (Allow) LPort=9009
  FirewallRules: [{B0715EA1-5231-4B77-8BCC-934371346F3F}] => (Allow) C:\Users\User\AppData\Local\Temp\ACFL\ACSetup\ACSetup.exe => Нет файла
  FirewallRules: [{63511992-6432-4D56-B67B-4FDEAC952E14}] => (Allow) C:\Users\User\AppData\Local\Temp\ACFL\ACSetup\ACSetup.exe => Нет файла
  FirewallRules: [{34D0FEBC-5A92-4003-8042-AED9378781BF}] => (Allow) LPort=9009
  FirewallRules: [{400932EC-6DB3-4E8F-9296-CA514D3B76FF}] => (Allow) LPort=9009
  FirewallRules: [{EB489319-F6E3-4716-90E4-A92B8CFA62B0}] => (Allow) LPort=1688
  FirewallRules: [{B2C6F845-DED2-4C40-B45F-61265AA22D08}] => (Allow) LPort=9009
  FirewallRules: [{971C81E6-908A-42FC-A079-3910264090D2}] => (Allow) LPort=9009
  FirewallRules: [{C5995F06-F9E6-4921-B628-BAD3834548CE}] => (Allow) LPort=9009
  FirewallRules: [{696002F4-362B-4C74-B8CA-5353BC1DFDA0}] => (Allow) LPort=9009
  FirewallRules: [{0B2C3CCA-291C-402C-8D84-D2C62C36C3AB}] => (Allow) LPort=9009
  FirewallRules: [{34758CE9-5172-4589-988A-876CC72C8520}] => (Allow) LPort=9009
  FirewallRules: [{B2D8E127-6313-457D-862F-B141D5BFFAAC}] => (Allow) LPort=9009
  FirewallRules: [{3138D016-EE22-44B0-AF18-B1C60540A0C5}] => (Allow) LPort=9009
  FirewallRules: [{9F3CF266-AD7A-473D-AA09-D7D2A496DD64}] => (Allow) LPort=9009
  FirewallRules: [{80F7C977-F7A2-41D5-B436-4048CEB0DA99}] => (Allow) LPort=9009
  FirewallRules: [{50AA1189-28C8-4163-AB28-D7538A2ADB29}] => (Allow) LPort=9009
  FirewallRules: [{0FFD5316-A23F-40EE-8C80-A9EA6912F13C}] => (Allow) LPort=9009
  FirewallRules: [{EF37ED64-4F08-4003-B026-919BC2580D2B}] => (Allow) LPort=9009
  FirewallRules: [{A9C31305-14A2-4E02-9351-84FCD3A7C89C}] => (Allow) LPort=9009
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Tybloko]

Fixlog.txt

[Sandor]

Этот путь

C:\Users\User\AppData\Roaming\Kryptex\miners\kryptex

вам известен?

 

Что сейчас с проблемой?

[Tybloko]

Да, известен, его устанавливал я, но достаточно давно я думал что удалил его окончательно.
Осталось проблема увеличенного время загрузки. Когда запускается компьютер, в момент возможности входа в биос снизу появляется колёсико загрузки, вертится примерно секунд 15-20. До этого его не было, всё грузило мгновенно.