Подозрения на майнер.

[Veliamord 0]

Недавно я создал тему, потому как мой ПК стал перезагружаться без предупреждений. В логах были 2 предупреждения, но они вряд ли связаны с перезагрузкой. Также в диспетчере задач ЦП, когда я только его включаю обычно 50% +- 10 и сразу же падает до 5-10. Антивирус не нашел проблемы. 
Я не знаю, что мне нужно предоставить, поэтому несколько файлов. Если нужны другие, напишите. 
Отчет от kaspersky GetSystemInfo6.2 -  GSI6_ADMIN-ПК_Admin_08_02_2017_21_35_03.zip
Cкрин текста файла после sfc/scannow - 
Скрин из утилиты Process Explorer -  

Изменено 3 августа, 2017 пользователем Veliamord

[regist 618]

Я не знаю, что мне нужно предоставить,

Порядок оформления запроса о помощи

 

 

нужен архив логов собранных Автологером.

Изменено 3 августа, 2017 пользователем regist

[Veliamord 0]

 

Я не знаю, что мне нужно предоставить,

Порядок оформления запроса о помощи

 

 

нужен архив логов собранных Автологером.

 

А можно удалить тему, чтобы я все подготовил и заново сделал? 

[Soft 1 451]

@Veliamord, публикуйте логи здесь.

[Veliamord 0]

Отключило свет, не знаю когда вернут, сразу залью.

 

Я не знаю, что мне нужно предоставить,

Порядок оформления запроса о помощи

 

 

нужен архив логов собранных Автологером.

 

 

@Veliamord, публикуйте логи здесь.

Логи CollectionLog-2017.08.03-18.38.zip

• Kaspersky Virus Removal Tool 2015; ошибок не нашел

[regist 618]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Users\Admin\AppData\Roaming\nssm.exe', '');
QuarantineFile('C:\Users\Admin\AppData\Roaming\cppredistx86.exe', '');
DeleteFile('C:\Users\Admin\AppData\Roaming\nssm.exe', '32');
DeleteFile('C:\Users\Admin\AppData\Roaming\cppredistx86.exe', '32');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', 'EventMessageFile');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Visual C++ 2010', 'command');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Driver Booster 4.5 [20170731]-->"D:\Programs\DriverUpdate\Driver Booster\4.5.0\unins000.exe"

Деинсталируйте.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

[Veliamord 0]

Здравствуйте!

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Users\Admin\AppData\Roaming\nssm.exe', '');
QuarantineFile('C:\Users\Admin\AppData\Roaming\cppredistx86.exe', '');
DeleteFile('C:\Users\Admin\AppData\Roaming\nssm.exe', '32');
DeleteFile('C:\Users\Admin\AppData\Roaming\cppredistx86.exe', '32');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', 'EventMessageFile');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Visual C++ 2010', 'command');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

 

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Driver Booster 4.5 [20170731]-->"D:\Programs\DriverUpdate\Driver Booster\4.5.0\unins000.exe"

Деинсталируйте.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

Не знаю, какая именно ссылка вам нужна:

MD5 карантина: FC4A21E17FDA1671D0D11C8B6B98073B

Размер файла: 100405737 байт

Ссылка на результаты анализа:Результаты анализа карантина

Тема для обсуждения результатов анализа: Результаты анализа карантина

Скрипт выполнил, ПК перезагрузился. 

Ответ -

Номер KLAN-6610632526

Лог утилиты ClearLNK - ClearLNK-03.08.2017_22-05.log

Driver Booster 4.5 - удалил.

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

Если нужны логи повторной диагностики 

CollectionLog-2017.08.03-22.17.zip

[regist 618]

Не надо заниматься оверквотингом, внизу есть поле для быстрого ответа.

 

Download Master - у вас устанвлен или уже удалён? Просто остались хвосты от него, дочистить?

[Veliamord 0]

Download Master начался устанавливаться, но я прервал загрузку, т.к был запущен по ошибке. Поиск не нашел результатов. 

[regist 618]

"Пофиксите" в HijackThis:

O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O2-32 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O4 - MSConfig\startupreg: [Download Master] D:\Programs\Download Master\dmaster.exe -autorun (file missing) (HKCU) (2017/08/03)
O4 - MSConfig\startupreg: [Microsoft Visual C++ 2010] (no file)  (HKCU) (2017/08/03)
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - (no file)
O8 - Extra context menu item: Закачать при помощи Download Master - (no file)
O8 - Extra context menu item: Передать на удаленную закачку DM - (no file)
O9-32 - Extra button: (no name) - HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O22 - Task (Ready): Driver Booster SkipUAC (Admin) - D:\Programs\DriverUpdate\Driver Booster\4.5.0\DriverBooster.exe /skipuac (file missing)
O22 - Task (Ready): GameNet - C:/Program Files (x86)/QGNA/qGNA.exe /minimized (file missing)
O22 - Task (Ready): XboxStatTask - C:\Program Files\Microsoft Xbox 360 Accessories\XBoxStat.exe silentrun (file missing)

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

 

 

Extension gkojfkhlekighikafcpjkiklfbnlmeio 1 Unlimited Free VPN - Hola 1.50.616

Не советую использовать  Hola, почитайте https://safezone.cc:443/threads/populjarnaja-besplatnaja-sluzhba-vpn-hola-ispolzuetsja-v-kachestve-botneta.25546/

[Veliamord 0]

Hola удалил, в HijackThis всё сделал.
Отчет - AdwCleanerS0.txt
Также стоит ли мне произвести очистку? И может ли быть связаны черные моргания ( как будто идет установка драйвера видеокарты ) буквально секундные, которые появляются пару раз в течение 30 минут после включения ПК признаком вируса? Моргания появились еще давно.

[regist 618]

Программы/расширения от Mail.ru используете?
 

[Veliamord 0]

Нет, это остатки того, что я не смог удалить. Иногда установщики загружают без спроса.

[Sandor 1 303]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Veliamord 0]

Отчет AdwCleaner - AdwCleanerC0.txt

Отчет  Farbar Recovery Scan Too:
FRST - FRST_04-08-2017 16.51.32.txt
Addition - Addition_04-08-2017 16.51.32.txt
Shortcut - Shortcut_04-08-2017 16.51.32.txt
 

AdwCleanerC0.txt

Изменено 4 августа, 2017 пользователем Veliamord