Подозрения на майнер.

[regist]

А

CHR Extension: (Визуальные закладки) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pchfckkccldkbclgdepkaonamkignanh [2016-01-24]

сами ставили?

И эти расширения все знакомы?

CHR Extension: (Torrentor) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\cicpamaohkpphifceianjeeanokimggd [2017-01-07]
CHR Extension: (Ultimate Discounter) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ckcmdpmhiekiihmfjffdehhbhgllpapg [2016-12-20]
CHR Extension: (AdBlock) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2017-08-01]
CHR Extension: (GeForce Experience Stream Client) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gjljknijpnfibppaijefibndmiabonep [2017-05-17]
CHR Extension: (Unlimited Free VPN - Hola) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gkojfkhlekighikafcpjkiklfbnlmeio [2017-07-07]
CHR Extension: (Кнопка IMDB) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\lpnmkmhnllccfofgpjedopnkcbcfkfjj [2016-12-20]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-03-21]
CHR Extension: (Визуальные закладки) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pchfckkccldkbclgdepkaonamkignanh [2016-01-24]
CHR Extension: (Chrome Media Router) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-08-01]
CHR Extension: (Google Chrome Core) - C:\Users\Admin\AppData\Roaming\extensions\extensions_chrome [2016-02-27]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  HKU\S-1-5-21-1615172291-1800967125-1789790999-1000\...\MountPoints2: {73c31e83-8633-11e6-9027-d8cb8a3b4fe1} - F:\LGAutoRun.exe
  Toolbar: HKU\S-1-5-21-1615172291-1800967125-1789790999-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> @Mail.Ru
  FF SearchPlugin: C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\@Mail.Ru-20171830.xml [2017-07-30]
  FF SearchPlugin: C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\GoSearch-20171830.xml [2017-07-30]
  FF HKU\S-1-5-21-1615172291-1800967125-1789790999-1000\...\SeaMonkey\Extensions: [mozilla_cc2@internetdownloadmanager.com] - D:\Programs\Internet Download Manager\idmmzcc2.xpi => not found
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=818409
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=818409","hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=7CF630BBCE34E78E874BCF7DA4B8B831&utm_d=20161126"
  CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - D:\Programs\Internet Download Manager\IDMGCExt.crx <not found>
  OPR StartupUrls: "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=7CF630BBCE34E78E874BCF7DA4B8B831&utm_d=20161126","hxxps://www.yandex.ru/?win=291&clid=2256428-306"
  2016-01-20 20:56 - 2017-02-15 16:04 - 000001456 _____ () C:\Users\Admin\AppData\Local\Adobe Сохранить для Web 13.0 Prefs
  2015-10-23 19:38 - 2014-10-16 02:55 - 000145792 _____ () C:\Users\Admin\AppData\Local\downloader.exe
  2017-05-09 12:03 - 2017-05-09 12:03 - 000000000 ___SH () C:\Users\Admin\AppData\Local\LumaEmu
  2016-04-25 12:43 - 2016-04-25 12:43 - 000007597 _____ () C:\Users\Admin\AppData\Local\Resmon.ResmonCfg
  2015-10-23 19:38 - 2015-10-23 19:38 - 000000003 _____ () C:\Users\Admin\AppData\Local\updater.log
  2015-10-23 19:38 - 2017-05-07 15:11 - 000000425 _____ () C:\Users\Admin\AppData\Local\UserProducts.xml
  2017-03-09 16:45 - 2017-03-09 16:45 - 000005051 _____ () C:\ProgramData\czchsjpj.srw
  2015-11-22 23:03 - 2015-11-22 23:03 - 000000000 ____H () C:\ProgramData\DP45977C.lfl
  2016-09-27 16:04 - 2016-09-27 16:04 - 000000104 _____ () C:\ProgramData\Microsoft.SqlServer.Compact.400.32.bc
  2017-03-09 16:45 - 2017-03-09 16:45 - 000000016 _____ () C:\ProgramData\mntemp
  Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.33.5 - Google Inc.) Hidden
  Google Update Helper (HKLM-x32\...\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}) (Version: 1.3.21.169 - Google Inc.) Hidden
  Folder: C:\ProgramData\s2fs
  Folder: C:\ProgramData\s1u0
  Folder: C:\ProgramData\s45s
  Folder: C:\ProgramData\s6uk
  Folder: C:\ProgramData\s6m0
  Folder: C:\ProgramData\s5co
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

[Veliamord]

Расширения сам ставил только "Визуальные закладки", "GeForce Experience Stream Client" и "Adblock", ну и "Hola", которую сейчас с Chroma удалил.
Куда я должен ввести код? Если нужно было его просто скопировать в буфер обмена и запустить Fix, то вот отчет:
Только я первый раз забыл отключить антивирус, а второй отчет с выключенным.
1 ( с антивирусом ) -  Fixlog_04-08-2017 20.00.30.txt
2 ( без ) - Fixlog_04-08-2017 20.04.35.txt

Изменено 4 августа, 2017 пользователем Veliamord

[regist]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  C:\ProgramData\s2fs
  C:\ProgramData\s1u0
  C:\ProgramData\s45s
  C:\ProgramData\s6uk
  C:\ProgramData\s6m0
  C:\ProgramData\s5co
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

 

CHR Extension: (Ultimate Discounter) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ckcmdpmhiekiihmfjffdehhbhgllpapg [2016-12-20]

Удалите вручную через управление расширениями и

 

CHR Extension: (Torrentor) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\cicpamaohkpphifceianjeeanokimggd [2017-01-07]

 

CHR Extension: (Кнопка IMDB) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\lpnmkmhnllccfofgpjedopnkcbcfkfjj [2016-12-20]

раз не знакомо, то тоже удалите.

[Veliamord]

Fixlog_04-08-2017 22.41.20.txt

[regist]

папку C:\FRST удалите.

 

Указанные расширения удалили? Какие проблемы остались? Вирусных симптомов внешних как понимаю и до этого не было?

[Veliamord]

Удалил. Вирусных симптомов не было. Осталась проблема с мерцанием. Также когда захожу в диспетчер задач ЦП ~30 и быстро падает до 1-3, но я не думаю, что это проблема. 

[regist]

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

 

По мерцанию продолжайте во второй своей теме (в другом разделе) разбираться. А тут закругляемся.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[Veliamord]

По мерцанию продолжайте во второй своей теме (в другом разделе) разбираться. А тут закругляемся.

 

Создать новую или продолжить в старой(первой)? 

 

 

[regist]

продолжить в старой(первой)?

в старой продолжайте.