Перейти к содержанию

Рекомендуемые сообщения

Прошу помощи , на виндовс 7 пк заразился трояном RenderCraft а также неправильно ведет себя утилита fc.exe , оба процесса запускаются после 30 секунд от включения пк и начинают грузить систему ( и ОЗУ и ЦП )  , RenderCraft работает пару десятков секунд ( примерно 40) и исчезает из процессов ,  а fc.exe стабильно грузит систему никуда не уходит. изначально попробовал решить проблему самостоятельно с помощью KVRT и AV BR ,  но ничего не помогло , в итоге начал искать решение в интернете , нашел только один сайт на этом же форуме где было предоставлено решение от господина Sandor . Начал делать все как в случае с Дамир 95 . 

Но к сожелению ничего не помогло , (  строго додерживался всех инструкций  ) но без положительного результата. Ни один процес не ушел . ПРОШУ ПОМОГИТЕ !

Все максимально подробно описать не могу ( имеется в виду мое полное исполнение действий и рекомендаций от Sandor  , не все получалось так как в писал Sandor , к примеру так не вышло если в Farbar Recovery Scan Tool я нажал кнопку исправить и в человека вышло все нормально а в меня выдало ошибку " не удается найти файл fixlist.txt " а автоматически у меня ничего не создало . если сам создам текстовый файл напишу то понятно , что там начнет исправлять и исправит пустоту , ведь там в списке ничего нет , а я не знаю что туда вводить , в итоге исправить ничего не вышло . помогите пожалуйста . 

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

1. Добавьте, пожалуйста, логи по правилам.

 

2.

подготовьте, пожалуйста, дополнительные логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

  • Like (+1) 2
Ссылка на комментарий
Поделиться на другие сайты

Благодарю, за то что отозвались на помощь мне. извините если закреплю файлы не туда куда нужно ( никогда не было опыта в общенни на форумах ). Должен предупредить что по случайности сначала провел процедуру с uVs а потом Farbar ( не в том порядке) . Но очень надеюсь , что на процесс и результат лечения это не повлияет.


Вот логи из Farbar :

 

Addition.txtFRST.txt

а это из uVS

ПК_2024-03-01_22-22-27.rar

также жду ответа. так как для меня это очень важно.  

01.03.2024 в 03:27, safety сказал:

1. Добавьте, пожалуйста, логи по правилам.

 

2.

подготовьте, пожалуйста, дополнительные логи:

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:



;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

образ автозапуска переделайте, пожалуйста, актуальной версией uVS, вы сделали его устаревшей версией

uVS v4.0 [http://dsrt.dyndns.org]: Windows 7 Ultimate x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

 

Как написано в инструкции, так и надо сделать:

1. скачать актуальную версию.

2. выполнить скрипт, указанный в инструкции с перезагрузкой системы

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

 

3. создать новый образ автозапуска.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

10 часов назад, safety сказал:

образ автозапуска переделайте, пожалуйста, актуальной версией uVS, вы сделали его устаревшей версией

uVS v4.0 [http://dsrt.dyndns.org]: Windows 7 Ultimate x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

 

Как написано в инструкции, так и надо сделать:

1. скачать актуальную версию.

2. выполнить скрипт, указанный в инструкции с перезагрузкой системы

скрипт ниже:


;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

 

3. создать новый образ автозапуска.

 

 

 

А что делать если загрузка блокируется ? Гугл не позволяет скачать файлы с этой ссылки ( пишет что файл опасный , не установлено) . пробовал найти програму самостоятельно но как уже вы сказали програма устаревшая.

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Borova сказал:

А что делать если загрузка блокируется ?

Продолжать загрузку, программа безопасная. И важны новые функции, которых нет в 4.0, а есть в 4.15.1

 

1 час назад, Borova сказал:

пробовал найти програму самостоятельно но как уже вы сказали програма устаревшая.

Может быть и небезопасная, если загружена из недостоверных источников.

Ссылка на комментарий
Поделиться на другие сайты

25 минут назад, safety сказал:

Может быть и небезопасная, если загружена из недостоверных источников.

Спасибо , на этот раз успешно установил файл по вашей ссылке с другого браузера , вот образ автозапуска из новой программы :

ПК_2024-03-02_11-19-25_v4.15.1.7z

 

Изменено пользователем Borova
Ссылка на комментарий
Поделиться на другие сайты

Теперь нормально.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:


 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ДНЗ№3 РИБКА\APPDATA\LOCAL\PROGRAMS\F5A2685BB1E6\DAAAC07273.MSI
ZOO C:\Windows\SysWOW64\nav394.dat
dirzooex %SystemDrive%\PROGRAMDATA\RENDERCRAFT-A2B37018-54F2-4CEF-9AF4-5CD445CB1FB2
delall %SystemDrive%\USERS\ДНЗ№3 РИБКА\APPDATA\LOCAL\PROGRAMS\F5A2685BB1E6\DAAAC07273.MSI
delall C:\Windows\SysWOW64\nav394.dat
delall %SystemDrive%\PROGRAM FILES (X86)\DSAWPOHOJTEWMXNSJER\KFBEVCG.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\PQNAWREEZNBU2\KYLYLTZZVFZCT.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\HXCCXINTLMMAC\UACTUPD.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\BEORAAFRU\YYTZFC.DLL
deldirex %SystemDrive%\PROGRAMDATA\RENDERCRAFT-A2B37018-54F2-4CEF-9AF4-5CD445CB1FB2
;------------------------autoscript---------------------------

zoo %SystemRoot%\SYSWOW64\WIZCHAIN.DLL
addsgn A7679BC9DE37442480A1A234929F997835FFF575B4D6953985C32E9AD328703826943D554B773C0DA1C1841A866240AD2B8C17A2D01AC4207A21F7C7D2F9DD8C 64 Miner.gen 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKGJFGPLPABLKJNLKJMJDECGDPFANKDLE%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27
deltmp
delref D:\PROGRAM FILES\WINDOWS DEFENDER\MPCMDRUN.EXE
delref %SystemDrive%\2323\UNINSTALL TOOL\UNINSTALLTOOL.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\TEMP\RJZKRWXZOCCQZXVN
delref %SystemRoot%\TEMP\LUDIBKWAQQUTKLZJ
delref %SystemDrive%\PROGRAM FILES (X86)\HXCCXINTLMMAC
delref %SystemDrive%\PROGRAM FILES (X86)\PQNAWREEZNBU2
delref %SystemDrive%\PROGRAM FILES (X86)\BEORAAFRU
delref %SystemDrive%\PROGRAM FILES (X86)\DSAWPOHOJTEWMXNSJER
delref %SystemDrive%\PROGRAM FILES (X86)\RTKYXTBOEKUN
delref %SystemDrive%\PROGRAMDATA\FCYDSHCXPZQUDNVB
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\WEB COMPANION\SERVICE\X64\DCISERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\WEB COMPANION\APPLICATION\LAVASOFT.WCASSISTANT.WINSERVICE.EXE
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\ДНЗ№3 РИБКА\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemDrive%\2323\FARMING SIMULATOR 15 GOLD EDITION\MODMANAGER UNINSTALLERS\UNINSTALL-[TRACTORS]-10765-T-16M-V10.EXE
delref %SystemDrive%\2323\FARMING SIMULATOR 15 GOLD EDITION\MODMANAGER UNINSTALLERS\UNINSTALL-[TRACTORS]-5667-T-16M.EXE
delref %SystemDrive%\2323\FARMING SIMULATOR 15 GOLD EDITION\MODMANAGER UNINSTALLERS\UNINSTALL-[TRACTORS]-74215-T-16M-WORKING-LIGHTING.EXE
delref %SystemDrive%\2323\FARMING SIMULATOR 15 GOLD EDITION\MODMANAGER UNINSTALLERS\UNINSTALL-[TRACTORS]-8133-T-16.EXE
delref %SystemDrive%\GAMES\MINECRAFT 1.8.3\MINECRAFT.EXE
delref %SystemDrive%\GAMES\MINECRAFT 1.8.3\UNINS000.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено пользователем safety
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

8 часов назад, safety сказал:

Теперь нормально.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:


 


;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ДНЗ№3 РИБКА\APPDATA\LOCAL\PROGRAMS\F5A2685BB1E6\DAAAC07273.MSI
ZOO C:\Windows\SysWOW64\nav394.dat
dirzooex %SystemDrive%\PROGRAMDATA\RENDERCRAFT-A2B37018-54F2-4CEF-9AF4-5CD445CB1FB2
delall %SystemDrive%\USERS\ДНЗ№3 РИБКА\APPDATA\LOCAL\PROGRAMS\F5A2685BB1E6\DAAAC07273.MSI
delall C:\Windows\SysWOW64\nav394.dat
delall %SystemDrive%\PROGRAM FILES (X86)\DSAWPOHOJTEWMXNSJER\KFBEVCG.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\PQNAWREEZNBU2\KYLYLTZZVFZCT.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\HXCCXINTLMMAC\UACTUPD.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\BEORAAFRU\YYTZFC.DLL
deldirex %SystemDrive%\PROGRAMDATA\RENDERCRAFT-A2B37018-54F2-4CEF-9AF4-5CD445CB1FB2
;------------------------autoscript---------------------------

zoo %SystemRoot%\SYSWOW64\WIZCHAIN.DLL
addsgn A7679BC9DE37442480A1A234929F997835FFF575B4D6953985C32E9AD328703826943D554B773C0DA1C1841A866240AD2B8C17A2D01AC4207A21F7C7D2F9DD8C 64 Miner.gen 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKGJFGPLPABLKJNLKJMJDECGDPFANKDLE%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27
deltmp
delref D:\PROGRAM FILES\WINDOWS DEFENDER\MPCMDRUN.EXE
delref %SystemDrive%\2323\UNINSTALL TOOL\UNINSTALLTOOL.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\TEMP\RJZKRWXZOCCQZXVN
delref %SystemRoot%\TEMP\LUDIBKWAQQUTKLZJ
delref %SystemDrive%\PROGRAM FILES (X86)\HXCCXINTLMMAC
delref %SystemDrive%\PROGRAM FILES (X86)\PQNAWREEZNBU2
delref %SystemDrive%\PROGRAM FILES (X86)\BEORAAFRU
delref %SystemDrive%\PROGRAM FILES (X86)\DSAWPOHOJTEWMXNSJER
delref %SystemDrive%\PROGRAM FILES (X86)\RTKYXTBOEKUN
delref %SystemDrive%\PROGRAMDATA\FCYDSHCXPZQUDNVB
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\WEB COMPANION\SERVICE\X64\DCISERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\WEB COMPANION\APPLICATION\LAVASOFT.WCASSISTANT.WINSERVICE.EXE
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\ДНЗ№3 РИБКА\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemDrive%\2323\FARMING SIMULATOR 15 GOLD EDITION\MODMANAGER UNINSTALLERS\UNINSTALL-[TRACTORS]-10765-T-16M-V10.EXE
delref %SystemDrive%\2323\FARMING SIMULATOR 15 GOLD EDITION\MODMANAGER UNINSTALLERS\UNINSTALL-[TRACTORS]-5667-T-16M.EXE
delref %SystemDrive%\2323\FARMING SIMULATOR 15 GOLD EDITION\MODMANAGER UNINSTALLERS\UNINSTALL-[TRACTORS]-74215-T-16M-WORKING-LIGHTING.EXE
delref %SystemDrive%\2323\FARMING SIMULATOR 15 GOLD EDITION\MODMANAGER UNINSTALLERS\UNINSTALL-[TRACTORS]-8133-T-16.EXE
delref %SystemDrive%\GAMES\MINECRAFT 1.8.3\MINECRAFT.EXE
delref %SystemDrive%\GAMES\MINECRAFT 1.8.3\UNINS000.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

 

 

Благодарю за ответ , rendercraft.exe больше не запускается , надеюсь fc.exe тоже                                                                                                                                            ( хотя даже когда rendercraft.exe был оно не всегда запускалось вместе з rendercraft.exe . часто rendercraft.exe сам , а fc.exe изредка и только в период с 10.00-17.00  )  вот ссылка на zoo файл

 

https://drive.google.com/file/d/16gSlie1SpDdJAh7Auvl8DKpfk_A_T-6C/view?usp=drive_link 

 

(если такое облачное хранилище вам не подойдет я пришлю из того которе нужно вам)  

 

Еще раз спасибо , очень надеюсь что угрозы больше не будет и с вашей неоценимо важной помощью мы смогли его побороть. огромная благодарность вам и всех благ. даже если угроза все еще актуальна никогда не будет лишним поблагодарить отзывчивого человека ))) . 

Ссылка на комментарий
Поделиться на другие сайты

6 hours ago, Borova said:

даже если угроза все еще актуальна

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Start::
SystemRestore: On
HKLM\ DisallowedCertificates: 47D92D49E6F7F296260DA1AF355F941EB25360C4 (U)
HKLM\ DisallowedCertificates: EE45853E5C81DB8FDBB7F92C18B20972C744911C (U)
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {6CE0ADDD-133C-4437-A873-5A7D8A2EFED2} - System32\Tasks\FdswUmVFcKNnfGx2 => C:\Windows\system32\rundll32.exe [46080 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\bEorAAFRU\YYTzfC.dll",#1 <==== ВНИМАНИЕ
Task: {55831224-7B68-4D31-9F06-9131C7AAD545} - System32\Tasks\fxOgmTGKQQFjjFtehKw2 => C:\Windows\system32\rundll32.exe [46080 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\HxCCxIntlmmAC\UaCtUPD.dll",#1 <==== ВНИМАНИЕ
Task: {7374321C-1F93-4AAD-8ED3-9B0B97EB4B13} - System32\Tasks\HEHDyzlXLzKhNAFaL2 => C:\Windows\system32\rundll32.exe [46080 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\dSawpOhOJteWMxnsjER\KfBEVCG.dll",#1 <==== ВНИМАНИЕ
Task: {E7C4539C-6024-4058-B86D-80AA142CE510} - System32\Tasks\OxOHQhyRXwkAPj => C:\Windows\system32\rundll32.exe [46080 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\PQNaWREeZnbU2\kYLYlTzzvfzCt.dll",#1 <==== ВНИМАНИЕ
Task: {8951A1CF-28DD-4F04-9C8F-72E93EEBD7C4} - System32\Tasks\zoom-chrome-S-1-5-21-4015462960-1742986276-3845732525-1000 => C:\Windows\System32\msiexec.exe [129024 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> /i "C:\Users\ДНЗ№3 РИБКА\AppData\Local\Programs\f5a2685bb1e6\daaac07273.msi" /quiet JDLSKYHP=1
CHR Extension: (Adblocker for Youtube™) - C:\Users\ДНЗ№3 РИБКА\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe [2024-02-24] [UpdateUrl:hxxps://clients88.google.com/service/update2/crx] <==== ВНИМАНИЕ
CHR Extension: (Adblocker for Youtube™) - C:\Users\ДНЗ№3 РИБКА\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe [2024-02-24] [UpdateUrl:hxxps://clients52.google.com/service/update2/crx] <==== ВНИМАНИЕ
R2 WizAgntSvc_bf0645; C:\Windows\SysWOW64\wizchain.dll [125456 2024-02-26] (Microsoft Corporation) [Файл не подписан]
S2 DCIService; C:\Program Files (x86)\Lavasoft\Web Companion\Service\x64\DCIService.exe [X] <==== ВНИМАНИЕ
S2 WCAssistantService; C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.WCAssistant.WinService.exe [X] <==== ВНИМАНИЕ
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
R2 BdDci; C:\Windows\System32\DRIVERS\bddci.sys [800672 2023-10-05] (Microsoft Windows Hardware Compatibility Publisher -> Bitdefender)
2024-02-26 21:31 - 2024-02-29 21:32 - 000000000 __SHD C:\ProgramData\RenderCraft-a2b37018-54f2-4cef-9af4-5cd445cb1fb2
2024-02-26 21:30 - 2024-02-26 21:30 - 001099573 _____ C:\Windows\SysWOW64\nav394.dat
2024-02-26 21:30 - 2024-02-26 21:30 - 000125456 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wizchain.dll
Unlock: C:\ProgramData\RDP Wrapper
2024-02-26 17:23 C:\ProgramData\RDP Wrapper

2024-02-26 21:30 - 2024-02-26 21:30 - 000125456 _____ (Microsoft Corporation) [Файл не подписан] c:\windows\syswow64\wizchain.dll

FirewallRules: [TCP Query User{807D0109-9E0E-4203-A35D-2AB79BE73A3E}C:\123456789\ravenfield.exe] => (Allow) C:\123456789\ravenfield.exe => Нет файла
FirewallRules: [UDP Query User{419B42B0-EE00-417D-ACD9-6C4854C2E18D}C:\123456789\ravenfield.exe] => (Allow) C:\123456789\ravenfield.exe => Нет файла
FirewallRules: [TCP Query User{0F4A384C-9AF5-4D54-8E1F-7ECBB6EE34DE}C:\123456789\ravenfield.exe] => (Allow) C:\123456789\ravenfield.exe => Нет файла
FirewallRules: [UDP Query User{07DAF065-DC1F-4ECB-AD45-299F4F105605}C:\123456789\ravenfield.exe] => (Allow) C:\123456789\ravenfield.exe => Нет файла


Reboot:
End::

после перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Ссылка на комментарий
Поделиться на другие сайты

12 часов назад, safety сказал:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.


Start::
SystemRestore: On
HKLM\ DisallowedCertificates: 47D92D49E6F7F296260DA1AF355F941EB25360C4 (U)
HKLM\ DisallowedCertificates: EE45853E5C81DB8FDBB7F92C18B20972C744911C (U)
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {6CE0ADDD-133C-4437-A873-5A7D8A2EFED2} - System32\Tasks\FdswUmVFcKNnfGx2 => C:\Windows\system32\rundll32.exe [46080 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\bEorAAFRU\YYTzfC.dll",#1 <==== ВНИМАНИЕ
Task: {55831224-7B68-4D31-9F06-9131C7AAD545} - System32\Tasks\fxOgmTGKQQFjjFtehKw2 => C:\Windows\system32\rundll32.exe [46080 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\HxCCxIntlmmAC\UaCtUPD.dll",#1 <==== ВНИМАНИЕ
Task: {7374321C-1F93-4AAD-8ED3-9B0B97EB4B13} - System32\Tasks\HEHDyzlXLzKhNAFaL2 => C:\Windows\system32\rundll32.exe [46080 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\dSawpOhOJteWMxnsjER\KfBEVCG.dll",#1 <==== ВНИМАНИЕ
Task: {E7C4539C-6024-4058-B86D-80AA142CE510} - System32\Tasks\OxOHQhyRXwkAPj => C:\Windows\system32\rundll32.exe [46080 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\PQNaWREeZnbU2\kYLYlTzzvfzCt.dll",#1 <==== ВНИМАНИЕ
Task: {8951A1CF-28DD-4F04-9C8F-72E93EEBD7C4} - System32\Tasks\zoom-chrome-S-1-5-21-4015462960-1742986276-3845732525-1000 => C:\Windows\System32\msiexec.exe [129024 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> /i "C:\Users\ДНЗ№3 РИБКА\AppData\Local\Programs\f5a2685bb1e6\daaac07273.msi" /quiet JDLSKYHP=1
CHR Extension: (Adblocker for Youtube™) - C:\Users\ДНЗ№3 РИБКА\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe [2024-02-24] [UpdateUrl:hxxps://clients88.google.com/service/update2/crx] <==== ВНИМАНИЕ
CHR Extension: (Adblocker for Youtube™) - C:\Users\ДНЗ№3 РИБКА\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe [2024-02-24] [UpdateUrl:hxxps://clients52.google.com/service/update2/crx] <==== ВНИМАНИЕ
R2 WizAgntSvc_bf0645; C:\Windows\SysWOW64\wizchain.dll [125456 2024-02-26] (Microsoft Corporation) [Файл не подписан]
S2 DCIService; C:\Program Files (x86)\Lavasoft\Web Companion\Service\x64\DCIService.exe [X] <==== ВНИМАНИЕ
S2 WCAssistantService; C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.WCAssistant.WinService.exe [X] <==== ВНИМАНИЕ
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
R2 BdDci; C:\Windows\System32\DRIVERS\bddci.sys [800672 2023-10-05] (Microsoft Windows Hardware Compatibility Publisher -> Bitdefender)
2024-02-26 21:31 - 2024-02-29 21:32 - 000000000 __SHD C:\ProgramData\RenderCraft-a2b37018-54f2-4cef-9af4-5cd445cb1fb2
2024-02-26 21:30 - 2024-02-26 21:30 - 001099573 _____ C:\Windows\SysWOW64\nav394.dat
2024-02-26 21:30 - 2024-02-26 21:30 - 000125456 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wizchain.dll
Unlock: C:\ProgramData\RDP Wrapper
2024-02-26 17:23 C:\ProgramData\RDP Wrapper

2024-02-26 21:30 - 2024-02-26 21:30 - 000125456 _____ (Microsoft Corporation) [Файл не подписан] c:\windows\syswow64\wizchain.dll

FirewallRules: [TCP Query User{807D0109-9E0E-4203-A35D-2AB79BE73A3E}C:\123456789\ravenfield.exe] => (Allow) C:\123456789\ravenfield.exe => Нет файла
FirewallRules: [UDP Query User{419B42B0-EE00-417D-ACD9-6C4854C2E18D}C:\123456789\ravenfield.exe] => (Allow) C:\123456789\ravenfield.exe => Нет файла
FirewallRules: [TCP Query User{0F4A384C-9AF5-4D54-8E1F-7ECBB6EE34DE}C:\123456789\ravenfield.exe] => (Allow) C:\123456789\ravenfield.exe => Нет файла
FirewallRules: [UDP Query User{07DAF065-DC1F-4ECB-AD45-299F4F105605}C:\123456789\ravenfield.exe] => (Allow) C:\123456789\ravenfield.exe => Нет файла


Reboot:
End::

после перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Спасибо за ответ , добавляю fixlog

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Хорошо, система очищена от майнера. Доступ, пожалуйста,предоставьте ккарантину после скрипта uVS. почту я указал в сообщении.

 

В завершении:

 

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

04.03.2024 в 01:45, safety сказал:

Хорошо, система очищена от майнера. Доступ, пожалуйста,предоставьте ккарантину после скрипта uVS. почту я указал в сообщении.

 

В завершении:

 

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

 

 

2 минуты назад, Borova сказал:

Спасибо за ответ , прикрепляю security check

 

2 минуты назад, Borova сказал:

 

 

 

 

Изменено пользователем Borova
Ссылка на комментарий
Поделиться на другие сайты

по возможности, установите необходимое обновление:

 

HotFix KB3177467 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4565354 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления

 

WinRAR 6.23 (64-разрядная) v.6.23.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
FastStone Image Viewer 7.7 v.7.7 Внимание! Скачать обновления
Viber v.17.5.1.2 Внимание! Скачать обновления
Java 8 Update 371 (64-bit) v.8.0.3710.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u401-windows-x64.exe - Windows Offline (64-bit))^
K-Lite Mega Codec Pack 17.7.5 v.17.7.5 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera Stable 95.0.4635.90 v.95.0.4635.90 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Google Chrome v.109.0.5414.120 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
 

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Lichtqwe
      От Lichtqwe
      Активировал windows через кмс, подхватил майнера с добавлением пользователя john, не получается скачать антивирус, autologger и av block remover не запускаются даже после того как переименовал, пишет отказано в доступе
    • Эльнар
      От Эльнар
      Здравствуйте! Помогите пожалуйста удалить вирус, скорее всего майнер. Он постоянно нагружает процессор, даже на рабочем столе. Как только открываю диспетчер задач, обороты вентиляторов процессора падают до нормального. Как только выхожу из диспетчера задач сразу обороты вентиляторов растут. При открытии диспетчера задач я не успеваю увидеть какой процесс нагружает компьютер. Эта проблема началась когда я установил программу видеомонтажа Magix Vegas Pro не с официального сайта. Так же из проблем не получается зайти в конфигурацию системы (msconfig), окошко сразу закрывается. При запуске антивируса Malwarebytes, он тоже сразу закрывается. Когда зашёл в систему через безопасную загрузку msconfig также не открывается, но удалось запустить malwarebytes и drweb, они нашли вирусы, но проблема не ушла. Запустил Kaspersky Removal Tool, он долго сканировал и нашёл вирусы. Один из них располагался в папке куда был установлен Magix Vegas Pro. После удаления вирусов ситуация к сожалению не изменилась. Приложил отчёт сборщика логов.
      CollectionLog-2024.12.02-15.07.zip
    • Андрей_22222299
      От Андрей_22222299
      Здравствуйте. 
      В простое видеокарта постоянно под небольшой (5-7%) нагрузкой, видно в HWMonitor и Диспетчере задач. Если их свернуть, нагрузка доходит до 20% или 50%, максимум до 80%.
      Видеокарта нагревается до примерно 45-48 градусов. До этого в простое температура была 36 градусов. 
      В работе кроме браузера, проводник и телеграм.  В диспетчере задач показывает, что грузит "Процесс исполнения клиент-сервер".
      Kaspersky Virus Removal Tool ничего не обнаружил.
      Файл протоколов прикрепил.
      CollectionLog-2024.10.15-20.14.zip
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • stasmixaylovic
      От stasmixaylovic
      FRST на всякий случай )
      CollectionLog-2024.11.04-06.17.zip FRST.txt Addition.txt
×
×
  • Создать...