Майнер

[Вадим Синявский]

Поймал троян, постоянно грузит систему.

CollectionLog-2018.08.02-16.34.zip

[akoK]

SpyHunter - деинсталируйте,

С чего взяли, что это майнер?

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('E:\Psi\Psi.exe','');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
  BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

 

Компьютер перезагрузится. 

 

После перезагрузки, выполните такой скрипт:

 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[Вадим Синявский]

Addition.txtFRST.txt

 

С чего взяли, что это майнер?

По симптомам похож.

Изменено 2 августа, 2018 пользователем Вадим Синявский

[akoK]

 

 

По симптомам похож.

Опишите, пожалуйста, симптомы. После установки какой программы начались проблемы? Ну не тянуть же мне нужно тисками? 

 

TeamViewer - ваше?

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  VirusTotal: E:\Psi\Psi.exe
  
  HKU\S-1-5-21-1866786793-4115556251-292224096-1001\...\Policies\Explorer: [] 
  HKU\S-1-5-21-1866786793-4115556251-292224096-1001\...\MountPoints2: {566050bb-d678-11e6-8261-50465db1763a} - "D:\Lenovo_Suite.exe" 
  HKU\S-1-5-21-1866786793-4115556251-292224096-1001\...\MountPoints2: {ccc81ae1-1c86-11e7-8285-50465db1763a} - "D:\Lenovo_Suite.exe" 
  Task: {18B74833-22DD-49C9-BC55-E622B6764836} - System32\Tasks\MailRuUpdater => C:\Users\Home1\AppData\Local\Mail.Ru\MailRuUpdater.exe <==== ATTENTION
  EmptyTemp:
  
  Reboot:
  End::

   
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Скачайте AdwCleaner и сохраните его на Рабочем столе.

Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

[Вадим Синявский]

Опишите, пожалуйста, симптомы. После установки какой программы начались проблемы? Ну не тянуть же мне нужно тисками?    TeamViewer - ваше?

 

TeamViewer - мой.

На протяжении последних двух дней процесс WerFault грузил ЦП  постоянно на 30%, периодически нагрузка возрастала до 100% затем снова падала до 30%, началось все после установки UltaVNC.В данным момент - все хорошо.

AdwCleanerS00.txt

Fixlog.txt

Изменено 2 августа, 2018 пользователем Вадим Синявский

[Sandor]

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки включите дополнительно в разделе Базовые действия:
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Панель управления нажмите Сканировать.
• По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[akoK]

Если симптомы пропали, то тогда финальные рекомендации.

 

Подготовьте лог лог SecurityCheck by glax24

 

Ознакомьтесь: Рекомендации после лечения