[РЕШЕНО] Trojan RenderCraft и нагрузка озу fc.exe помогите пожалуйста!

[Borova]

Прошу помощи , на виндовс 7 пк заразился трояном RenderCraft а также неправильно ведет себя утилита fc.exe , оба процесса запускаются после 30 секунд от включения пк и начинают грузить систему ( и ОЗУ и ЦП )  , RenderCraft работает пару десятков секунд ( примерно 40) и исчезает из процессов ,  а fc.exe стабильно грузит систему никуда не уходит. изначально попробовал решить проблему самостоятельно с помощью KVRT и AV BR ,  но ничего не помогло , в итоге начал искать решение в интернете , нашел только один сайт на этом же форуме где было предоставлено решение от господина Sandor . Начал делать все как в случае с Дамир 95 . 

Но к сожелению ничего не помогло , (  строго додерживался всех инструкций  ) но без положительного результата. Ни один процес не ушел . ПРОШУ ПОМОГИТЕ !

Все максимально подробно описать не могу ( имеется в виду мое полное исполнение действий и рекомендаций от Sandor  , не все получалось так как в писал Sandor , к примеру так не вышло если в Farbar Recovery Scan Tool я нажал кнопку исправить и в человека вышло все нормально а в меня выдало ошибку " не удается найти файл fixlist.txt " а автоматически у меня ничего не создало . если сам создам текстовый файл напишу то понятно , что там начнет исправлять и исправит пустоту , ведь там в списке ничего нет , а я не знаю что туда вводить , в итоге исправить ничего не вышло . помогите пожалуйста . 

[safety]

1. Добавьте, пожалуйста, логи по правилам.

 

2.

подготовьте, пожалуйста, дополнительные логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Borova]

Благодарю, за то что отозвались на помощь мне. извините если закреплю файлы не туда куда нужно ( никогда не было опыта в общенни на форумах ). Должен предупредить что по случайности сначала провел процедуру с uVs а потом Farbar ( не в том порядке) . Но очень надеюсь , что на процесс и результат лечения это не повлияет.

Вот логи из Farbar :

 

Addition.txtFRST.txt

а это из uVS : 

ПК_2024-03-01_22-22-27.rar

также жду ответа. так как для меня это очень важно.  

01.03.2024 в 03:27, safety сказал:

1. Добавьте, пожалуйста, логи по правилам.

 

2.

подготовьте, пожалуйста, дополнительные логи:

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

[safety]

образ автозапуска переделайте, пожалуйста, актуальной версией uVS, вы сделали его устаревшей версией

uVS v4.0 [http://dsrt.dyndns.org]: Windows 7 Ultimate x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

 

Как написано в инструкции, так и надо сделать:

1. скачать актуальную версию.

2. выполнить скрипт, указанный в инструкции с перезагрузкой системы

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

 

3. создать новый образ автозапуска.

[Borova]

10 часов назад, safety сказал:

образ автозапуска переделайте, пожалуйста, актуальной версией uVS, вы сделали его устаревшей версией

uVS v4.0 [http://dsrt.dyndns.org]: Windows 7 Ultimate x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

 

Как написано в инструкции, так и надо сделать:

1. скачать актуальную версию.

2. выполнить скрипт, указанный в инструкции с перезагрузкой системы

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

 

3. создать новый образ автозапуска.

 

 

 

А что делать если загрузка блокируется ? Гугл не позволяет скачать файлы с этой ссылки ( пишет что файл опасный , не установлено) . пробовал найти програму самостоятельно но как уже вы сказали програма устаревшая.

[safety]

1 час назад, Borova сказал:

А что делать если загрузка блокируется ?

Продолжать загрузку, программа безопасная. И важны новые функции, которых нет в 4.0, а есть в 4.15.1

 

1 час назад, Borova сказал:

пробовал найти програму самостоятельно но как уже вы сказали програма устаревшая.

Может быть и небезопасная, если загружена из недостоверных источников.

[Borova]

25 минут назад, safety сказал:

Может быть и небезопасная, если загружена из недостоверных источников.

Спасибо , на этот раз успешно установил файл по вашей ссылке с другого браузера , вот образ автозапуска из новой программы :

ПК_2024-03-02_11-19-25_v4.15.1.7z

 

Изменено 2 марта, 2024 пользователем Borova

[safety]

Теперь нормально.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ДНЗ№3 РИБКА\APPDATA\LOCAL\PROGRAMS\F5A2685BB1E6\DAAAC07273.MSI
ZOO C:\Windows\SysWOW64\nav394.dat
dirzooex %SystemDrive%\PROGRAMDATA\RENDERCRAFT-A2B37018-54F2-4CEF-9AF4-5CD445CB1FB2
delall %SystemDrive%\USERS\ДНЗ№3 РИБКА\APPDATA\LOCAL\PROGRAMS\F5A2685BB1E6\DAAAC07273.MSI
delall C:\Windows\SysWOW64\nav394.dat
delall %SystemDrive%\PROGRAM FILES (X86)\DSAWPOHOJTEWMXNSJER\KFBEVCG.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\PQNAWREEZNBU2\KYLYLTZZVFZCT.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\HXCCXINTLMMAC\UACTUPD.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\BEORAAFRU\YYTZFC.DLL
deldirex %SystemDrive%\PROGRAMDATA\RENDERCRAFT-A2B37018-54F2-4CEF-9AF4-5CD445CB1FB2
;------------------------autoscript---------------------------

zoo %SystemRoot%\SYSWOW64\WIZCHAIN.DLL
addsgn A7679BC9DE37442480A1A234929F997835FFF575B4D6953985C32E9AD328703826943D554B773C0DA1C1841A866240AD2B8C17A2D01AC4207A21F7C7D2F9DD8C 64 Miner.gen 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKGJFGPLPABLKJNLKJMJDECGDPFANKDLE%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27
deltmp
delref D:\PROGRAM FILES\WINDOWS DEFENDER\MPCMDRUN.EXE
delref %SystemDrive%\2323\UNINSTALL TOOL\UNINSTALLTOOL.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\TEMP\RJZKRWXZOCCQZXVN
delref %SystemRoot%\TEMP\LUDIBKWAQQUTKLZJ
delref %SystemDrive%\PROGRAM FILES (X86)\HXCCXINTLMMAC
delref %SystemDrive%\PROGRAM FILES (X86)\PQNAWREEZNBU2
delref %SystemDrive%\PROGRAM FILES (X86)\BEORAAFRU
delref %SystemDrive%\PROGRAM FILES (X86)\DSAWPOHOJTEWMXNSJER
delref %SystemDrive%\PROGRAM FILES (X86)\RTKYXTBOEKUN
delref %SystemDrive%\PROGRAMDATA\FCYDSHCXPZQUDNVB
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\WEB COMPANION\SERVICE\X64\DCISERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\WEB COMPANION\APPLICATION\LAVASOFT.WCASSISTANT.WINSERVICE.EXE
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\ДНЗ№3 РИБКА\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemDrive%\2323\FARMING SIMULATOR 15 GOLD EDITION\MODMANAGER UNINSTALLERS\UNINSTALL-[TRACTORS]-10765-T-16M-V10.EXE
delref %SystemDrive%\2323\FARMING SIMULATOR 15 GOLD EDITION\MODMANAGER UNINSTALLERS\UNINSTALL-[TRACTORS]-5667-T-16M.EXE
delref %SystemDrive%\2323\FARMING SIMULATOR 15 GOLD EDITION\MODMANAGER UNINSTALLERS\UNINSTALL-[TRACTORS]-74215-T-16M-WORKING-LIGHTING.EXE
delref %SystemDrive%\2323\FARMING SIMULATOR 15 GOLD EDITION\MODMANAGER UNINSTALLERS\UNINSTALL-[TRACTORS]-8133-T-16.EXE
delref %SystemDrive%\GAMES\MINECRAFT 1.8.3\MINECRAFT.EXE
delref %SystemDrive%\GAMES\MINECRAFT 1.8.3\UNINS000.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено 2 марта, 2024 пользователем safety

[Borova]

8 часов назад, safety сказал:

Теперь нормально.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ДНЗ№3 РИБКА\APPDATA\LOCAL\PROGRAMS\F5A2685BB1E6\DAAAC07273.MSI
ZOO C:\Windows\SysWOW64\nav394.dat
dirzooex %SystemDrive%\PROGRAMDATA\RENDERCRAFT-A2B37018-54F2-4CEF-9AF4-5CD445CB1FB2
delall %SystemDrive%\USERS\ДНЗ№3 РИБКА\APPDATA\LOCAL\PROGRAMS\F5A2685BB1E6\DAAAC07273.MSI
delall C:\Windows\SysWOW64\nav394.dat
delall %SystemDrive%\PROGRAM FILES (X86)\DSAWPOHOJTEWMXNSJER\KFBEVCG.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\PQNAWREEZNBU2\KYLYLTZZVFZCT.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\HXCCXINTLMMAC\UACTUPD.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\BEORAAFRU\YYTZFC.DLL
deldirex %SystemDrive%\PROGRAMDATA\RENDERCRAFT-A2B37018-54F2-4CEF-9AF4-5CD445CB1FB2
;------------------------autoscript---------------------------

zoo %SystemRoot%\SYSWOW64\WIZCHAIN.DLL
addsgn A7679BC9DE37442480A1A234929F997835FFF575B4D6953985C32E9AD328703826943D554B773C0DA1C1841A866240AD2B8C17A2D01AC4207A21F7C7D2F9DD8C 64 Miner.gen 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKGJFGPLPABLKJNLKJMJDECGDPFANKDLE%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27
deltmp
delref D:\PROGRAM FILES\WINDOWS DEFENDER\MPCMDRUN.EXE
delref %SystemDrive%\2323\UNINSTALL TOOL\UNINSTALLTOOL.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\TEMP\RJZKRWXZOCCQZXVN
delref %SystemRoot%\TEMP\LUDIBKWAQQUTKLZJ
delref %SystemDrive%\PROGRAM FILES (X86)\HXCCXINTLMMAC
delref %SystemDrive%\PROGRAM FILES (X86)\PQNAWREEZNBU2
delref %SystemDrive%\PROGRAM FILES (X86)\BEORAAFRU
delref %SystemDrive%\PROGRAM FILES (X86)\DSAWPOHOJTEWMXNSJER
delref %SystemDrive%\PROGRAM FILES (X86)\RTKYXTBOEKUN
delref %SystemDrive%\PROGRAMDATA\FCYDSHCXPZQUDNVB
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\WEB COMPANION\SERVICE\X64\DCISERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\WEB COMPANION\APPLICATION\LAVASOFT.WCASSISTANT.WINSERVICE.EXE
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\ДНЗ№3 РИБКА\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemDrive%\2323\FARMING SIMULATOR 15 GOLD EDITION\MODMANAGER UNINSTALLERS\UNINSTALL-[TRACTORS]-10765-T-16M-V10.EXE
delref %SystemDrive%\2323\FARMING SIMULATOR 15 GOLD EDITION\MODMANAGER UNINSTALLERS\UNINSTALL-[TRACTORS]-5667-T-16M.EXE
delref %SystemDrive%\2323\FARMING SIMULATOR 15 GOLD EDITION\MODMANAGER UNINSTALLERS\UNINSTALL-[TRACTORS]-74215-T-16M-WORKING-LIGHTING.EXE
delref %SystemDrive%\2323\FARMING SIMULATOR 15 GOLD EDITION\MODMANAGER UNINSTALLERS\UNINSTALL-[TRACTORS]-8133-T-16.EXE
delref %SystemDrive%\GAMES\MINECRAFT 1.8.3\MINECRAFT.EXE
delref %SystemDrive%\GAMES\MINECRAFT 1.8.3\UNINS000.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

 

 

Благодарю за ответ , rendercraft.exe больше не запускается , надеюсь fc.exe тоже                                                                                                                                            ( хотя даже когда rendercraft.exe был оно не всегда запускалось вместе з rendercraft.exe . часто rendercraft.exe сам , а fc.exe изредка и только в период с 10.00-17.00  )  вот ссылка на zoo файл : 

 

https://drive.google.com/file/d/16gSlie1SpDdJAh7Auvl8DKpfk_A_T-6C/view?usp=drive_link 

 

(если такое облачное хранилище вам не подойдет я пришлю из того которе нужно вам)  

 

Еще раз спасибо , очень надеюсь что угрозы больше не будет и с вашей неоценимо важной помощью мы смогли его побороть. огромная благодарность вам и всех благ. даже если угроза все еще актуальна никогда не будет лишним поблагодарить отзывчивого человека ))) . 

[safety]

6 hours ago, Borova said:

даже если угроза все еще актуальна

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Start::
SystemRestore: On
HKLM\ DisallowedCertificates: 47D92D49E6F7F296260DA1AF355F941EB25360C4 (U)
HKLM\ DisallowedCertificates: EE45853E5C81DB8FDBB7F92C18B20972C744911C (U)
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {6CE0ADDD-133C-4437-A873-5A7D8A2EFED2} - System32\Tasks\FdswUmVFcKNnfGx2 => C:\Windows\system32\rundll32.exe [46080 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\bEorAAFRU\YYTzfC.dll",#1 <==== ВНИМАНИЕ
Task: {55831224-7B68-4D31-9F06-9131C7AAD545} - System32\Tasks\fxOgmTGKQQFjjFtehKw2 => C:\Windows\system32\rundll32.exe [46080 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\HxCCxIntlmmAC\UaCtUPD.dll",#1 <==== ВНИМАНИЕ
Task: {7374321C-1F93-4AAD-8ED3-9B0B97EB4B13} - System32\Tasks\HEHDyzlXLzKhNAFaL2 => C:\Windows\system32\rundll32.exe [46080 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\dSawpOhOJteWMxnsjER\KfBEVCG.dll",#1 <==== ВНИМАНИЕ
Task: {E7C4539C-6024-4058-B86D-80AA142CE510} - System32\Tasks\OxOHQhyRXwkAPj => C:\Windows\system32\rundll32.exe [46080 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\PQNaWREeZnbU2\kYLYlTzzvfzCt.dll",#1 <==== ВНИМАНИЕ
Task: {8951A1CF-28DD-4F04-9C8F-72E93EEBD7C4} - System32\Tasks\zoom-chrome-S-1-5-21-4015462960-1742986276-3845732525-1000 => C:\Windows\System32\msiexec.exe [129024 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> /i "C:\Users\ДНЗ№3 РИБКА\AppData\Local\Programs\f5a2685bb1e6\daaac07273.msi" /quiet JDLSKYHP=1
CHR Extension: (Adblocker for Youtube™) - C:\Users\ДНЗ№3 РИБКА\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe [2024-02-24] [UpdateUrl:hxxps://clients88.google.com/service/update2/crx] <==== ВНИМАНИЕ
CHR Extension: (Adblocker for Youtube™) - C:\Users\ДНЗ№3 РИБКА\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe [2024-02-24] [UpdateUrl:hxxps://clients52.google.com/service/update2/crx] <==== ВНИМАНИЕ
R2 WizAgntSvc_bf0645; C:\Windows\SysWOW64\wizchain.dll [125456 2024-02-26] (Microsoft Corporation) [Файл не подписан]
S2 DCIService; C:\Program Files (x86)\Lavasoft\Web Companion\Service\x64\DCIService.exe [X] <==== ВНИМАНИЕ
S2 WCAssistantService; C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.WCAssistant.WinService.exe [X] <==== ВНИМАНИЕ
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
R2 BdDci; C:\Windows\System32\DRIVERS\bddci.sys [800672 2023-10-05] (Microsoft Windows Hardware Compatibility Publisher -> Bitdefender)
2024-02-26 21:31 - 2024-02-29 21:32 - 000000000 __SHD C:\ProgramData\RenderCraft-a2b37018-54f2-4cef-9af4-5cd445cb1fb2
2024-02-26 21:30 - 2024-02-26 21:30 - 001099573 _____ C:\Windows\SysWOW64\nav394.dat
2024-02-26 21:30 - 2024-02-26 21:30 - 000125456 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wizchain.dll
Unlock: C:\ProgramData\RDP Wrapper
2024-02-26 17:23 C:\ProgramData\RDP Wrapper

2024-02-26 21:30 - 2024-02-26 21:30 - 000125456 _____ (Microsoft Corporation) [Файл не подписан] c:\windows\syswow64\wizchain.dll

FirewallRules: [TCP Query User{807D0109-9E0E-4203-A35D-2AB79BE73A3E}C:\123456789\ravenfield.exe] => (Allow) C:\123456789\ravenfield.exe => Нет файла
FirewallRules: [UDP Query User{419B42B0-EE00-417D-ACD9-6C4854C2E18D}C:\123456789\ravenfield.exe] => (Allow) C:\123456789\ravenfield.exe => Нет файла
FirewallRules: [TCP Query User{0F4A384C-9AF5-4D54-8E1F-7ECBB6EE34DE}C:\123456789\ravenfield.exe] => (Allow) C:\123456789\ravenfield.exe => Нет файла
FirewallRules: [UDP Query User{07DAF065-DC1F-4ECB-AD45-299F4F105605}C:\123456789\ravenfield.exe] => (Allow) C:\123456789\ravenfield.exe => Нет файла


Reboot:
End::

после перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

[Borova]

12 часов назад, safety сказал:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Start::
SystemRestore: On
HKLM\ DisallowedCertificates: 47D92D49E6F7F296260DA1AF355F941EB25360C4 (U)
HKLM\ DisallowedCertificates: EE45853E5C81DB8FDBB7F92C18B20972C744911C (U)
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {6CE0ADDD-133C-4437-A873-5A7D8A2EFED2} - System32\Tasks\FdswUmVFcKNnfGx2 => C:\Windows\system32\rundll32.exe [46080 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\bEorAAFRU\YYTzfC.dll",#1 <==== ВНИМАНИЕ
Task: {55831224-7B68-4D31-9F06-9131C7AAD545} - System32\Tasks\fxOgmTGKQQFjjFtehKw2 => C:\Windows\system32\rundll32.exe [46080 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\HxCCxIntlmmAC\UaCtUPD.dll",#1 <==== ВНИМАНИЕ
Task: {7374321C-1F93-4AAD-8ED3-9B0B97EB4B13} - System32\Tasks\HEHDyzlXLzKhNAFaL2 => C:\Windows\system32\rundll32.exe [46080 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\dSawpOhOJteWMxnsjER\KfBEVCG.dll",#1 <==== ВНИМАНИЕ
Task: {E7C4539C-6024-4058-B86D-80AA142CE510} - System32\Tasks\OxOHQhyRXwkAPj => C:\Windows\system32\rundll32.exe [46080 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\PQNaWREeZnbU2\kYLYlTzzvfzCt.dll",#1 <==== ВНИМАНИЕ
Task: {8951A1CF-28DD-4F04-9C8F-72E93EEBD7C4} - System32\Tasks\zoom-chrome-S-1-5-21-4015462960-1742986276-3845732525-1000 => C:\Windows\System32\msiexec.exe [129024 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> /i "C:\Users\ДНЗ№3 РИБКА\AppData\Local\Programs\f5a2685bb1e6\daaac07273.msi" /quiet JDLSKYHP=1
CHR Extension: (Adblocker for Youtube™) - C:\Users\ДНЗ№3 РИБКА\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe [2024-02-24] [UpdateUrl:hxxps://clients88.google.com/service/update2/crx] <==== ВНИМАНИЕ
CHR Extension: (Adblocker for Youtube™) - C:\Users\ДНЗ№3 РИБКА\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe [2024-02-24] [UpdateUrl:hxxps://clients52.google.com/service/update2/crx] <==== ВНИМАНИЕ
R2 WizAgntSvc_bf0645; C:\Windows\SysWOW64\wizchain.dll [125456 2024-02-26] (Microsoft Corporation) [Файл не подписан]
S2 DCIService; C:\Program Files (x86)\Lavasoft\Web Companion\Service\x64\DCIService.exe [X] <==== ВНИМАНИЕ
S2 WCAssistantService; C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.WCAssistant.WinService.exe [X] <==== ВНИМАНИЕ
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
R2 BdDci; C:\Windows\System32\DRIVERS\bddci.sys [800672 2023-10-05] (Microsoft Windows Hardware Compatibility Publisher -> Bitdefender)
2024-02-26 21:31 - 2024-02-29 21:32 - 000000000 __SHD C:\ProgramData\RenderCraft-a2b37018-54f2-4cef-9af4-5cd445cb1fb2
2024-02-26 21:30 - 2024-02-26 21:30 - 001099573 _____ C:\Windows\SysWOW64\nav394.dat
2024-02-26 21:30 - 2024-02-26 21:30 - 000125456 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wizchain.dll
Unlock: C:\ProgramData\RDP Wrapper
2024-02-26 17:23 C:\ProgramData\RDP Wrapper

2024-02-26 21:30 - 2024-02-26 21:30 - 000125456 _____ (Microsoft Corporation) [Файл не подписан] c:\windows\syswow64\wizchain.dll

FirewallRules: [TCP Query User{807D0109-9E0E-4203-A35D-2AB79BE73A3E}C:\123456789\ravenfield.exe] => (Allow) C:\123456789\ravenfield.exe => Нет файла
FirewallRules: [UDP Query User{419B42B0-EE00-417D-ACD9-6C4854C2E18D}C:\123456789\ravenfield.exe] => (Allow) C:\123456789\ravenfield.exe => Нет файла
FirewallRules: [TCP Query User{0F4A384C-9AF5-4D54-8E1F-7ECBB6EE34DE}C:\123456789\ravenfield.exe] => (Allow) C:\123456789\ravenfield.exe => Нет файла
FirewallRules: [UDP Query User{07DAF065-DC1F-4ECB-AD45-299F4F105605}C:\123456789\ravenfield.exe] => (Allow) C:\123456789\ravenfield.exe => Нет файла


Reboot:
End::

после перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Спасибо за ответ , добавляю fixlog : 

Fixlog.txt

[safety]

Хорошо, система очищена от майнера. Доступ, пожалуйста,предоставьте ккарантину после скрипта uVS. почту я указал в сообщении.

 

В завершении:

 

 

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Borova]

04.03.2024 в 01:45, safety сказал:

Хорошо, система очищена от майнера. Доступ, пожалуйста,предоставьте ккарантину после скрипта uVS. почту я указал в сообщении.

 

В завершении:

 

 

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

 

 

2 минуты назад, Borova сказал:

 

 

SecurityCheck.txt

Спасибо за ответ , прикрепляю security check : 

 

2 минуты назад, Borova сказал:

 

 

 

 

Изменено 5 марта, 2024 пользователем Borova

[safety]

по возможности, установите необходимое обновление:

 

HotFix KB3177467 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4565354 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления

 

WinRAR 6.23 (64-разрядная) v.6.23.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
FastStone Image Viewer 7.7 v.7.7 Внимание! Скачать обновления
Viber v.17.5.1.2 Внимание! Скачать обновления
Java 8 Update 371 (64-bit) v.8.0.3710.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u401-windows-x64.exe - Windows Offline (64-bit))^
K-Lite Mega Codec Pack 17.7.5 v.17.7.5 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera Stable 95.0.4635.90 v.95.0.4635.90 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Google Chrome v.109.0.5414.120 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
 

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".