Майнер

[Ваня]

Майнер

Всем привет!
Стар резко тормозить комп, упал fps в играх, виснет битторрент, ну в общем словил.
Случайно услышал как шумит ВК, обычно она тихая, а тут кулеры на 100% работают. Ну и в диспетчере смотрю висят проги trayit и какой-то майнер.
папка, понятное дело защищена и её не удалить. Чего делать?

Логи uVS и AVZ внизу. Спасибо!

 

[Ваня]

Кстати, момент установки майнера нашел и в этот день устанавливал только одну прогу - скачал с их офф сайта FurMark тест. Вот такие дела. Ну либо это Nvidia с драйвером распространяет В загрузках в тот день(22 число) пусто вообще, кроме фурмарка.

 

[prima]

Ваня, стандартно надо иметь всегда под рукой Live, загрузился и грохнул. А так сейчас наши вирусоборцы подтянутся. Я предпочитаю при личном контакте работать ))

 

[Ваня]

да, действительно вирус в фурмарке. Будьте аккуратны.

 

[prima]

Ну они о тебе заботились.
Ты ж его качал, чтобы проверить систему под нагрузкой? Вот и нагрузили!

 

[mike 1]

Здравствуйте.

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.6 [http://dsrt.dyndns.org]
   ;Target OS: NTv10.0
   v400c
   breg
   
   exec C:\Users\Admin\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
   exec C:\Users\Admin\AppData\Local\Yandex\YaPin\YandexWorking.exe --uninstall --nopinned
   delref HTTP://SLIGHTSEARCH.RU/?RI=1&UID=03CDD75740011436A22348C756A9E719&Q=
   delref HTTP://SLIGHTSEARCH.RU/?RI=1&UID=03CDD75740011436A22348C756A9E719&Q={SEARCHTERMS}
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://SEARCH.YAHOO.COM/SEARCH/?TOGGLE=1&COP=MSS&EI=UTF-8&FR=VMN&TYPE=AUSLOG_YAAPP1_CH&P={SEARCHTERMS}
   deldir %SystemDrive%\MINER
   zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\USERMODE.EXE
   czoo
   delall %SystemDrive%\PROGRAM FILES (X86)\RELEVANTKNOWLEDGE\RLCM.CRX
   delall %SystemDrive%\PROGRAM FILES (X86)\SCREENUP\FUTURE_HELPER.EXE
   delall %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\STANDART SOLUTION MANAGER.EXE
   delall %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\FILTERSTART\FILTERSTART.EXE
   delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CCFIFBOJENKENPKMNBNNDEADPFDIFFOF\11.0.26_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
   delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MKNDCBHCGPHCFKKDDANAKJIEPEKNBGLE\1.3.337.4_0\RELEVANTKNOWLEDGE
   delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\CCFIFBOJENKENPKMNBNNDEADPFDIFFOF\11.0.26_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
   delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\MKNDCBHCGPHCFKKDDANAKJIEPEKNBGLE\1.3.337.4_0\RELEVANTKNOWLEDGE
   delall %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\HOSTINSTALLER\3465557589_MONSTER.EXE
   deltmp
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. На запросы удаления программ соглашайтесь
7. После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл на почту mike1@avp.su с темой карантин и указанием ссылки на тему

1. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
2. Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
3. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
4. Прикрепите отчет к своему следующему сообщению.

 

[Ваня]

Всё сделал. Он зачем-то удалил юнити плеер...

 

[mike 1]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

 

[Ваня]

Всё сделал.

 

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

[Ваня]

Сделал, вот они:

 

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
   

   CreateRestorePoint:
   CloseProcesses:
   Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Usermode.exe [2017-02-07] ()
   Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Furmark.lnk [2017-09-08]
   ShortcutTarget: Furmark.lnk -> C:\miner\nheqminer.exe (No File)
   Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\TrayIt!.lnk [2017-09-08]
   ShortcutTarget: TrayIt!.lnk -> C:\miner\TrayIt!.exe (No File)
   GroupPolicy: Restriction <==== ATTENTION
   GroupPolicy\User: Restriction <==== ATTENTION
   CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
   BHO-x32: ArcPluginIEBHO Class -> {84BFE29A-8139-402a-B2A4-C23AE9E1A75F} -> E:\Игры\Neverwinter\Arc\Plugins\ArcPluginIE.dll => No File
   C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\mkndcbhcgphcfkkddanakjiepeknbgle
   Task: {BDA854F2-B954-47C3-AFB0-EEE10E7D666A} - \System RunTime Manager -> No File <==== ATTENTION
   Task: {DE3705C8-8D69-4B62-85D2-BD483B3C4B9C} - \Standart Solution Manager -> No File <==== ATTENTION
   Task: {E710789C-6373-4D1A-B7B0-FD516CAAFA28} - \Account Custom Helper -> No File <==== ATTENTION
   HKLM\...\StartupApproved\StartupFolder: => "fcbd.bat"
   HKU\S-1-5-21-634625679-1130952915-1247323659-1000\...\StartupApproved\StartupFolder: => "Usermode.exe"

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Обратите внимание, что компьютер будет перезагружен.