Прошу помощи. Подозрение на наличие вируса-майнер

[Евгений2016]

Доброго дня.

Несколько дней назад стало появляться сообщение о том, что заканчивается память на жестком диске С.

А также, при работе с торговыми площадками, в Интернет-эксплорере постоянно появлялись ошибки о некорректной работе "в связи с вывлением невидимой надстройки".

 

ТДСкиллер ничего не нашел.

КИС (лицензия) нашел майнер. Но удалить не смог.

 

Прикладываю отчеты Логгера и КИС-а

 

Помогите пожалуйста. Очень нужен комп.

 

CollectionLog-2018.06.15-09.27.zip

Каспер отчет.txt

[Sandor]

Здравствуйте!

 

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Евгений2016]

Здравствуйте!

 

***

Подробнее читайте в этом руководстве.

 

 

Сандор, благодарю за скорый ответ.

 

Применить "Очистить и восстановить" к найденным угрозам*?

Опять осталось 5 мб на диске С

Плюс, кстати, на рабочем столе пару дней назад (после официального обновления Win10 лицензионной до сборки 1803) - появился ярлык Майкрософт Эдже.

Но, я тут сегодня его проверил - он не имеет исполняемого файла. В свойствах - как "ярлык"

Ой, этот ярлык даже не проверяется на Вирустотал.

Выходит сообщение "Microsoft Edge. Разрушительный сбой!"

 

AdwCleanerS00.txt

[Sandor]

Применить "Очистить и восстановить" к найденным угрозам*?

Да, только сделайте так:

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки включите дополнительно в разделе Базовые действия:
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Панель управления нажмите Сканировать.
• По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Евгений2016]

Сандор, сделал.

 

Прикладываю отчёты.

 

 

Addition.txt

FRST.txt

AdwCleanerS01.txt

AdwCleanerC01.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicy\User: Restriction ? <==== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[Евгений2016]

Сандор, готово.

Fixlog.txt

[Sandor]

Выполните скрипт в AVZ из папки ...Autologger\AVZ\ (Файл - Выполнить скрипт):

 

var PathAutoLogger, CMDLine : string;

 begin
 clearlog;
 PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
 AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
 SaveLog(PathAutoLogger+'report3.log');
 if FolderIsEmpty(PathAutoLogger+'CrashDumps')
    then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
    else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
 AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
 end.

архив Report.7z из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.

 

Сделайте еще раз проверку антивирусом и сообщите результат.

[Евгений2016]

Скрипт выполнен без ошибок.

На момент выполнения скрипта я отключил антивирус.

Это не повлияет на результат?

 

Сейчас запускаю "полную проверку" КИС.

 

Диск С как-то можно будет потом очистить (освободить память)?

 

Стандартные средства очистки Win10 - что-то не дают результата.

 

Ой, файл не загрузился сразу

Report.7z

[Sandor]

архив Report.7z из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению

Возможно забыли нажать кнопку "Загрузить".

 

Диск С как-то можно будет потом очистить (освободить память)?

Да

[Евгений2016]

Ок. Архив прикреплён 

 

Проверка антивирусом окончится (судя по его статусу) через 4-5 минут

[regist]

Сделайте ещё такой лог https://safezone.cc:443/threads/kak-podgotovit-log-hijackthis.2304/

[Евгений2016]

Антивирус сообщил что угроз не обнаружено.

 

 

15.06.2018 10.39.21;Полная проверка компьютера;Угроз не обнаружено;0;0;0;Сегодня, 15.06.2018 7:25;3 минуты 49 секунд;Сегодня, 15.06.2018 10:43

 

 

Сделайте ещё такой лог https://safezone.cc:443/threads/kak-podgotovit-log-hijackthis.2304/

Доброго дня.

Антивирус отключить?

Отчёт хайджека:

- автоматически созданный 

- и, как по инструкции, сохранённый мной

 

 

Отчет КИС 150618.txt

HiJackThis.log

HiJackThis150618.log

[Sandor]

Антивирус отключить?

Отключите.

[Евгений2016]

Отчёты с отключенным антивирусом

HiJackThis.log

HiJackThis_ без антивируса.log