Технический форум
Страница 1 из 2 1 2
Показывать 40 сообщений этой темы на одной странице

Технический форум (http://www.tehnari.ru/)
-   Форум по вирусам и антивирусам (http://www.tehnari.ru/f183/)
-   -   Майнер (http://www.tehnari.ru/f183/t255777/)

Ваня 25.09.2017 19:57
Майнер
 
Вложений: 2
Всем привет!
Стар резко тормозить комп, упал fps в играх, виснет битторрент, ну в общем словил. :)
Случайно услышал как шумит ВК, обычно она тихая, а тут кулеры на 100% работают. Ну и в диспетчере смотрю висят проги trayit и какой-то майнер.
папка, понятное дело защищена и её не удалить. Чего делать? :)

Логи uVS и AVZ внизу. Спасибо!

Ваня 25.09.2017 20:00
Вложений: 2
Кстати, момент установки майнера нашел и в этот день устанавливал только одну прогу - скачал с их офф сайта FurMark тест. Вот такие дела. Ну либо это Nvidia с драйвером распространяет :( В загрузках в тот день(22 число) пусто вообще, кроме фурмарка.

prima 25.09.2017 20:01
Ваня, стандартно надо иметь всегда под рукой Live, загрузился и грохнул. А так сейчас наши вирусоборцы подтянутся. Я предпочитаю при личном контакте работать ))

Ваня 25.09.2017 20:25
Вложений: 1
да, действительно вирус в фурмарке. Будьте аккуратны.

prima 25.09.2017 20:31
Ну они о тебе заботились.
Ты ж его качал, чтобы проверить систему под нагрузкой? Вот и нагрузили!

mike 1 25.09.2017 20:40
Здравствуйте.
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0.6 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    breg

    exec C:\Users\Admin\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
    exec C:\Users\Admin\AppData\Local\Yandex\YaPin\YandexWorking.exe --uninstall --nopinned
    delref HTTP://SLIGHTSEARCH.RU/?RI=1&UID=03CDD75740011436A22348C756A9E719&Q=
    delref HTTP://SLIGHTSEARCH.RU/?RI=1&UID=03CDD75740011436A22348C756A9E719&Q={SEARCHTERMS}
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://SEARCH.YAHOO.COM/SEARCH/?TOGGLE=1&COP=MSS&EI=UTF-8&FR=VMN&TYPE=AUSLOG_YAAPP1_CH&P={SEARCHTERMS}
    deldir %SystemDrive%\MINER
    zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\USERMODE.EXE
    czoo
    delall %SystemDrive%\PROGRAM FILES (X86)\RELEVANTKNOWLEDGE\RLCM.CRX
    delall %SystemDrive%\PROGRAM FILES (X86)\SCREENUP\FUTURE_HELPER.EXE
    delall %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\STANDART SOLUTION MANAGER.EXE
    delall %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\FILTERSTART\FILTERSTART.EXE
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CCFIFBOJENKENPKMNBNNDEADPFDIFFOF\11.0.26_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MKNDCBHCGPHCFKKDDANAKJIEPEKNBGLE\1.3.337.4_0\RELEVANTKNOWLEDGE
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\CCFIFBOJENKENPKMNBNNDEADPFDIFFOF\11.0.26_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\MKNDCBHCGPHCFKKDDANAKJIEPEKNBGLE\1.3.337.4_0\RELEVANTKNOWLEDGE
    delall %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\HOSTINSTALLER\3465557589_MONSTER.EXE
    deltmp
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. На запросы удаления программ соглашайтесь
  7. После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл на почту mike1@avp.su с темой карантин и указанием ссылки на тему
  1. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  2. Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
  3. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  4. Прикрепите отчет к своему следующему сообщению.

Ваня 25.09.2017 21:42
Вложений: 1
Всё сделал. Он зачем-то удалил юнити плеер...

mike 1 25.09.2017 22:09
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Ваня 26.09.2017 13:40
Вложений: 1
Всё сделал.

mike 1 26.09.2017 18:37
Вложений: 1
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


Часовой пояс GMT +4, время: 12:15.
Страница 1 из 2 1 2
Показывать 40 сообщений этой темы на одной странице

Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.