Не могу избавиться от вируса-майнера

@Gipsy Danger · Регистрация: 06.12.2015

Студворк — интернет-сервис помощи студентам

Здравствуйте! Сразу прошу прощения за столько текста – хочу подробнее описать ситуацию. Окончательно замучал вирус майнер. Не пойму, откуда у него конкретно растут ноги… Началось это давно. Есть у меня два ноутбука и два модема для подключения Интернета. Провайдер украинский – Интертелеком. Использовались они раздельно по парах. Почти год назад нужда в двух модемах отпала – пользовались одним только на своём, а когда нужно было – раздавал интернет со своего ноута через прогу VirtualRouter. И тут один раз я заметил, что что-то грузит систему на 52-54%. Захожу в Диспетчер задач – ничего. Нагрузка тоже падает моментально до нормальной. Закрываю Диспетчер, и нагрузка снова повышается до вышеуказанной. Если же открыть Диспетчер и не трогать ноут, то через какое-то время Диспетчер сам закроется, и майнер опять запустится. Мучился я с этим неделю. В конце концов переустановил Винду. Скажу сразу – образ Windows оригинальный, чистый, безо всяких дополнений.
После переустановки подключил тем же способом Интернет, а вечером опять всё повторилось. Почитав много инфы, пришёл к выводу, что вирус залез в бут-сектор и самовосстанавливается. Отформатировал я диск, пофиксил MBR через /FixMbr и /FixBoot. Думал, что всё позади. Поставил всё заново, подрубил Инет и оставил на ночь включенным. А утром опять то же самое: загрузка на 53%. Потом был момент – поставил Norton Security – он находил вирусы и удалял. Но после окончания лицензии, на третий день всё по новой. Уже не знаю, что делать… А добило сегодня то, что на втором ноуте тоже эта зараза появилась. Но прикол в том, что второй ноут где-то почти год не подключался к Интернету через модем – все время ловил только Wi-Fi или от первого ноута (через прогу VirtualRouter), на котором уже была эта зараза, или от смартфонов. А как только сегодня впервые после такого перерыва подключил к нему модем – вирус объявился буквально через часа три. Ниже прикрепил лог.

P.S. В ходе борьбы с вирусом я находил и удалял некоторые его части. Если это делать, то он словно «взбешивался», и начинали открываться куча процессов: «Eter.exe», «cmd.exe», «svchost.exe». Доходило до 200 с хвостиком процессов иногда… Если нужно, могу поподробнее потом описать, где и какие именно «сидят».

P.P.S. Первый раз его файлы были в папках Program Files (… x86)/Internet Explorer/bin. Также в файле «hosts» были добавлены различные адреса, типа «xxx.yourmotherfuc*er», «123.xx. hopheylalaley» и т.п. Сейчас этого нет. Подозреваю, что либо новая версия майнера, либо вообще другой майнер, но с тем же принципом.

CollectionLog-2019.03.13-20.36.zip

@Gipsy Danger · 13.03.2019, 22:55 **[ТС]**

UPD: вот пример этих множественно продублированных процессов "Eter.exe", "conhost.exe".

Кликните здесь для просмотра всего текста

Прикрепил новый лог, т.к. в предыдущем их, вроде, не было. Вдруг поможет.

CollectionLog-2019.03.13-21.47.zip

И ещё зависают вкладки в Опере. Не сразу - через минуты две. Переключаться по ним и закрывать можно, но на прокрутку и клик реакции нет.

@thyrex · 14.03.2019, 00:13

Выполните скрипт в AVZ из папки Autologger

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\windows\fonts\mysql\puls.exe');
 TerminateProcessByName('c:\windows\fonts\mysql\mance.exe');
 TerminateProcessByName('c:\windows\fonts\mysql\eter.exe');
 TerminateProcessByName('c:\programdata\clr_optimization_v4.0.33018_64\svchost.exe');
 SetServiceStart('clr_optimization_v4.0.33018_64', 4);
 QuarantineFile('C:\Windows\svchost.exe','');
 QuarantineFile('C:\Windows\Fonts\Mysql\svchost.exe','');
 QuarantineFile('c:\programdata\clr_optimization_v4.0.33018_64\svchost.exe','');
 QuarantineFile('c:\windows\fonts\mysql\puls.exe','');
 QuarantineFile('c:\windows\fonts\mysql\mance.exe','');
 QuarantineFile('c:\windows\fonts\mysql\eter.exe','');
 DeleteFile('c:\windows\fonts\mysql\eter.exe','32');
 DeleteFile('c:\windows\fonts\mysql\mance.exe','32');
 DeleteFile('c:\windows\fonts\mysql\puls.exe','32');
 DeleteFile('c:\programdata\clr_optimization_v4.0.33018_64\svchost.exe','32');
 DeleteFile('C:\Windows\Fonts\Mysql\svchost.exe','64');
 DeleteFile('C:\Windows\svchost.exe','64');
 DeleteService('clr_optimization_v4.0.33018_64');
 DeleteService('RpcEpt');
 DeleteService('MicrosoftMysql');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Windows PowerShell\PowerShell','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Code
1
2
3
4
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Прикреплять карантин к сообщениям на форуме ЗАПРЕЩЕНО!!! .

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

@Gipsy Danger · 14.03.2019, 08:39 **[ТС]**

Карантин отправил через форму отправки. Вот его имя: 2019.03.14_quarantine_09fed207d03b8acd88 27aad8dc1fd2e3.7z

Новые логи прикрепил:

CollectionLog-2019.03.14-07.38.zip

@severnyj · 14.03.2019, 09:57

Подготовьте лог MBAM: https://www.cyberforum.ru/post10030934.html

@Gipsy Danger · 14.03.2019, 10:42 **[ТС]**

Вот лог МВАМ:
report.txt

@severnyj · 14.03.2019, 11:45

Проверьте эти файлы на virustotal ссылки на результат сообщите в следующем сообщении.

Generic.Malware/Suspicious, C:\WINDOWS\64.EXE, Проигнорировано пользователем, [0], [392686],1.0.9680
MachineLearning/Anomalous.100%, C:\WINDOWS\C64.EXE, Проигнорировано пользователем, [0], [392687],1.0.9680

Подготовьте логи FRST: https://www.cyberforum.ru/post7151340.html

@Gipsy Danger · 14.03.2019, 12:10 **[ТС]**

64.exe: https://www.virustotal.com/#/f... /detection
c64.exe: https://www.virustotal.com/#/f... /detection

Логи FRST:
FRST_logs.rar

@severnyj · 14.03.2019, 12:58

Отключите до перезагрузки антивирус.
Выделите следующий код:

Code
Start::
CreateRestorePoint:
C:\WINDOWS\64.EXE
C:\WINDOWS\C64.EXE
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: E - E:\Start.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {0b69aa99-0fae-11e8-9267-74c63b793e74} - G:\AutoRun.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {226fcd9a-f0c7-11e7-8b1f-74c63b793e74} - E:\Start.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {6873de86-0044-11e8-873c-74c63b793e74} - E:\Start.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {6873e00f-0044-11e8-873c-74c63b793e74} - G:\AutoRun.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {94456cc4-330c-11e8-8cd9-74c63b793e74} - G:\AutoRun.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {b6101975-f492-11e7-bf4a-74c63b793e74} - E:\AutoRun.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {b6101982-f492-11e7-bf4a-74c63b793e74} - E:\AutoRun.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {c03bb60c-4f6c-11e8-97ee-74c63b793e74} - G:\startme.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {c740da13-f0cc-11e7-b5ac-74c63b793e74} - E:\VZAccess_Manager.exe /z detect
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {fb0de352-a20f-11e8-98ae-74c63b793e74} - E:\AutoRun.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {fb0de377-a20f-11e8-98ae-74c63b793e74} - E:\AutoRun.exe
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name="BVTConsumer"",Filter="__EventFilter.Name="BVTFilter"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Установите антивирус, можно бесплатный: https://www.comss.ru/list.php?... &o=&p=#all

@Gipsy Danger · 14.03.2019, 13:16 **[ТС]**

Сделал. Вот лог:
Fixlog.txt

@severnyj · 14.03.2019, 13:22

Что с проблемой?

@Gipsy Danger · 14.03.2019, 13:45 **[ТС]**

Пока что всё тихо. Поставил Kaspersky Free. Буду наблюдать дальше за ноутом. Обычно эта зараза скачивалась и ставилась во время простоя (где-то больше двух часов; иногда и аж через 2 дня вылазила). Но пока спасибо Вам огромное! Сейчас тем же образом "вылечу" первый ноут - симптомы идентичны.

А вообще, что это за вирус такой? Я и сам не раз удалял вручную их, но те пакостили "по-мелкому": файлы скрывали, ставили дом. страницей левые сайты... Но такую настырную гадость вижу впервые. Он походу лезет через уязвимости Винды, т.к. никакие екзешники/батники я не скачивал. Да и вообще до этого года полтора без антивируса жил (после окончания лицензии Нортона 360) - такого не было.

И ещё такой вопрос: Malwarebytes можно оставлять на ноутах в паре с Касперским или только второй пусть будет?

@severnyj · 14.03.2019, 13:56

Сообщение от Gipsy Danger

Сейчас тем же образом "вылечу" первый ноут - симптомы идентичны.

Новое заражение, новая тема.

Сообщение от Gipsy Danger

Он походу лезет через уязвимости Винды, т.к. никакие екзешники/батники я не скачивал.

Именно оттуда оно и лезет. Ставьте обновления, а иначе заразитесь снова: https://ru.wikipedia.org/wiki/EternalBlue

Сообщение от Gipsy Danger

Malwarebytes можно оставлять на ноутах в паре с Касперским

Можно в качестве сканера.

Напоследок:

1) Меняйте пароли, один из компонентов трояна - угонщик паролей
2) Дейнсталлируйте FRST - переименуйте FRST.exe в Uninstall.exe и запустите
3) Подготовьте лог SecurityCheck by glax24: https://safezone.cc/resources/... 5/download

@Gipsy Danger · 14.03.2019, 14:14 **[ТС]**

Хорошо, первым пунктом сегодня займусь. Лог прикрепил.
SecurityCheck.txt

Вечером тогда создам новую тему для лечения другого ноута. Кстати, после очередной переустановки Винды на том ноуте я решил позагружать обновления, правда, не все. Может нужные я как раз и пропустил, т.к. вирус не заставил себя долго ждать.

@severnyj · 14.03.2019, 14:21

Ну и этому ноуту тоже надо обновиться:

Сначала лучше поставить это обновление: https://www.catalog.update.mic... =KB3020369

Затем все остальное:

Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления

Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4489878 Внимание! Скачать обновления

K-Lite Codec Pack 11.2.0 Standard v.11.2.0 Внимание! Скачать обновления
WinRAR 5.40 (32-bit) v.5.40.0 Внимание! Скачать обновления
Microsoft Silverlight v.3.0.40818.0 Внимание! Скачать обновления

Viber v.6.8.1.16 Внимание! Скачать обновления
^Необязательное обновление.^
Skype, версия 8.30 v.8.30 Внимание! Скачать обновления

+

Рекомендации после удаления вредоносного ПО

@Gipsy Danger · 14.03.2019, 15:27 **[ТС]**

Просканировал только что Касперским полностью систему - тот обнаружил 23 угрозы. Парочка из них - как раз библиотеки эксплойта EternalBlue. Угрозы я удалил. Ниже прикрепил скрин со списком угроз.

Кликните здесь для просмотра всего текста

Сейчас как раз буду ставить хотфиксы..

@severnyj · 14.03.2019, 15:57

Давайте после хотфиксов еще раз логи FRST (старые в корзину перед этим удалите). Проверим, не успел ли проникнуть.

@Gipsy Danger · 14.03.2019, 17:26 **[ТС]**

Вот логи:
FRST_logs_2.rar

После создания логов просканировал Касперским повторно папку Fonts. В результате нашёлся Doublepulsar.dll.
Удалил опять, зашёл в папку, а там куча непонятных и в основном пустых тектовых файлов. Но в одном, выделенном, просто несметное количество IP-адресов. И созданы они как раз вчера. Антивирус считает их всех вполне "дружелюбными". Так что думаю этот Doublepulsar.dll подтянулся именно с их помощью. Пока не удалял их.

Кликните здесь для просмотра всего текста

@severnyj · 14.03.2019, 17:34

Повторного заражения не произошло. В папке запчасти от того же эксплойта. https://ru.wikipedia.org/wiki/DoublePulsar
Можно все удалить.

Можно дополнительно подстраховаться, отключив SMB1 и закрыв порты в брандмауэре Windows:

Выделите следующий код:

Code
Start::
CreateRestorePoint:
Powershell: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
Powershell: Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force
Powershell: Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=135 name="Block_TCP-135"
CMD: netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name="Block_TCP-445"
CMD: netsh advfirewall firewall add rule dir=in action=block protocol=udp localport=135 name="Block_UDP-135"
CMD: netsh advfirewall firewall add rule dir=in action=block protocol=udp localport=137 name="Block_UDP-137"
CMD: netsh advfirewall firewall add rule dir=in action=block protocol=udp localport=138 name="Block_UDP-138"
CMD: netsh advfirewall firewall add rule dir=in action=block protocol=udp localport=139 name="Block_UDP-139"
CMD: ipconfig /flushdns
CMD: wmic qfe list
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

@Gipsy Danger · 14.03.2019, 17:56 **[ТС]**

Сделал. Вот лог:
Fixlog.txt

Новые блоги и статьи Все статьи Все блоги /
Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .
Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025	Расскажи мне о Мире, бродяга kumehtar 12.11.2025 — Расскажи мне о Мире, бродяга, Ты же видел моря и метели. Как сменялись короны и стяги, Как эпохи стрелою летели. - Этот мир — это крылья и горы, Снег и пламя, любовь и тревоги, И бескрайние. . .	PowerShell Snippets iNNOKENTIY21 11.11.2025 Модуль PowerShell 5. 1+ : Snippets. psm1 У меня модуль расположен в пользовательской папке модулей, по умолчанию: \Documents\WindowsPowerShell\Modules\Snippets\ А в самом низу файла-профиля. . .

@Gipsy Danger 0 / 0 / 0 Регистрация: 06.12.2015 Сообщений: 36

	Не могу избавиться от вируса-майнера 13.03.2019, 21:41. Показов 89399. Ответов 20 Метки нет (Все метки) Здравствуйте! Сразу прошу прощения за столько текста – хочу подробнее описать ситуацию. Окончательно замучал вирус майнер. Не пойму, откуда у него конкретно растут ноги… Началось это давно. Есть у меня два ноутбука и два модема для подключения Интернета. Провайдер украинский – Интертелеком. Использовались они раздельно по парах. Почти год назад нужда в двух модемах отпала – пользовались одним только на своём, а когда нужно было – раздавал интернет со своего ноута через прогу VirtualRouter. И тут один раз я заметил, что что-то грузит систему на 52-54%. Захожу в Диспетчер задач – ничего. Нагрузка тоже падает моментально до нормальной. Закрываю Диспетчер, и нагрузка снова повышается до вышеуказанной. Если же открыть Диспетчер и не трогать ноут, то через какое-то время Диспетчер сам закроется, и майнер опять запустится. Мучился я с этим неделю. В конце концов переустановил Винду. Скажу сразу – образ Windows оригинальный, чистый, безо всяких дополнений. После переустановки подключил тем же способом Интернет, а вечером опять всё повторилось. Почитав много инфы, пришёл к выводу, что вирус залез в бут-сектор и самовосстанавливается. Отформатировал я диск, пофиксил MBR через /FixMbr и /FixBoot. Думал, что всё позади. Поставил всё заново, подрубил Инет и оставил на ночь включенным. А утром опять то же самое: загрузка на 53%. Потом был момент – поставил Norton Security – он находил вирусы и удалял. Но после окончания лицензии, на третий день всё по новой. Уже не знаю, что делать… А добило сегодня то, что на втором ноуте тоже эта зараза появилась. Но прикол в том, что второй ноут где-то почти год не подключался к Интернету через модем – все время ловил только Wi-Fi или от первого ноута (через прогу VirtualRouter), на котором уже была эта зараза, или от смартфонов. А как только сегодня впервые после такого перерыва подключил к нему модем – вирус объявился буквально через часа три. Ниже прикрепил лог. P.S. В ходе борьбы с вирусом я находил и удалял некоторые его части. Если это делать, то он словно «взбешивался», и начинали открываться куча процессов: «Eter.exe», «cmd.exe», «svchost.exe». Доходило до 200 с хвостиком процессов иногда… Если нужно, могу поподробнее потом описать, где и какие именно «сидят». P.P.S. Первый раз его файлы были в папках Program Files (… x86)/Internet Explorer/bin. Также в файле «hosts» были добавлены различные адреса, типа «xxx.yourmotherfuc*er», «123.xx. hopheylalaley» и т.п. Сейчас этого нет. Подозреваю, что либо новая версия майнера, либо вообще другой майнер, но с тем же принципом. CollectionLog-2019.03.13-20.36.zip 0

@Gipsy Danger 0 / 0 / 0 Регистрация: 06.12.2015 Сообщений: 36
	13.03.2019, 22:55 [ТС]
	UPD: вот пример этих множественно продублированных процессов "Eter.exe", "conhost.exe". Кликните здесь для просмотра всего текста Прикрепил новый лог, т.к. в предыдущем их, вроде, не было. Вдруг поможет. CollectionLog-2019.03.13-21.47.zip И ещё зависают вкладки в Опере. Не сразу - через минуты две. Переключаться по ним и закрывать можно, но на прокрутку и клик реакции нет. 0

@Gipsy Danger 0 / 0 / 0 Регистрация: 06.12.2015 Сообщений: 36
	14.03.2019, 08:39 [ТС]
	Карантин отправил через форму отправки. Вот его имя: 2019.03.14_quarantine_09fed207d03b8acd88 27aad8dc1fd2e3.7z Новые логи прикрепил: CollectionLog-2019.03.14-07.38.zip 0

@severnyj 6208 / 2739 / 535 Регистрация: 04.04.2012 Сообщений: 10,003
	14.03.2019, 09:57
	Подготовьте лог MBAM: https://www.cyberforum.ru/post10030934.html 0

@Gipsy Danger 0 / 0 / 0 Регистрация: 06.12.2015 Сообщений: 36
	14.03.2019, 10:42 [ТС]
	Вот лог МВАМ: report.txt 0

@Gipsy Danger 0 / 0 / 0 Регистрация: 06.12.2015 Сообщений: 36
	14.03.2019, 12:10 [ТС]
	64.exe: https://www.virustotal.com/#/f... /detection c64.exe: https://www.virustotal.com/#/f... /detection Логи FRST: FRST_logs.rar 0

@Gipsy Danger 0 / 0 / 0 Регистрация: 06.12.2015 Сообщений: 36
	14.03.2019, 13:16 [ТС]
	Сделал. Вот лог: Fixlog.txt 0

@severnyj 6208 / 2739 / 535 Регистрация: 04.04.2012 Сообщений: 10,003
	14.03.2019, 13:22
	Что с проблемой? 0

@Gipsy Danger 0 / 0 / 0 Регистрация: 06.12.2015 Сообщений: 36
	14.03.2019, 13:45 [ТС]
	Пока что всё тихо. Поставил Kaspersky Free. Буду наблюдать дальше за ноутом. Обычно эта зараза скачивалась и ставилась во время простоя (где-то больше двух часов; иногда и аж через 2 дня вылазила). Но пока спасибо Вам огромное! Сейчас тем же образом "вылечу" первый ноут - симптомы идентичны. А вообще, что это за вирус такой? Я и сам не раз удалял вручную их, но те пакостили "по-мелкому": файлы скрывали, ставили дом. страницей левые сайты... Но такую настырную гадость вижу впервые. Он походу лезет через уязвимости Винды, т.к. никакие екзешники/батники я не скачивал. Да и вообще до этого года полтора без антивируса жил (после окончания лицензии Нортона 360) - такого не было. И ещё такой вопрос: Malwarebytes можно оставлять на ноутах в паре с Касперским или только второй пусть будет? 0

@Gipsy Danger 0 / 0 / 0 Регистрация: 06.12.2015 Сообщений: 36
	14.03.2019, 14:14 [ТС]
	Хорошо, первым пунктом сегодня займусь. Лог прикрепил. SecurityCheck.txt Вечером тогда создам новую тему для лечения другого ноута. Кстати, после очередной переустановки Винды на том ноуте я решил позагружать обновления, правда, не все. Может нужные я как раз и пропустил, т.к. вирус не заставил себя долго ждать. 0

@severnyj 6208 / 2739 / 535 Регистрация: 04.04.2012 Сообщений: 10,003
	14.03.2019, 14:21
	Ну и этому ноуту тоже надо обновиться: Сначала лучше поставить это обновление: https://www.catalog.update.mic... =KB3020369 Затем все остальное: Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления Контроль учётных записей пользователя отключен (Уровень 1) ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ HotFix KB3125574 Внимание! Скачать обновления HotFix KB4012212 Внимание! Скачать обновления HotFix KB4489878 Внимание! Скачать обновления K-Lite Codec Pack 11.2.0 Standard v.11.2.0 Внимание! Скачать обновления WinRAR 5.40 (32-bit) v.5.40.0 Внимание! Скачать обновления Microsoft Silverlight v.3.0.40818.0 Внимание! Скачать обновления Viber v.6.8.1.16 Внимание! Скачать обновления *^Необязательное обновление.^* Skype, версия 8.30 v.8.30 Внимание! Скачать обновления + Рекомендации после удаления вредоносного ПО 0

@Gipsy Danger 0 / 0 / 0 Регистрация: 06.12.2015 Сообщений: 36
	14.03.2019, 15:27 [ТС]
	Просканировал только что Касперским полностью систему - тот обнаружил 23 угрозы. Парочка из них - как раз библиотеки эксплойта EternalBlue. Угрозы я удалил. Ниже прикрепил скрин со списком угроз. Кликните здесь для просмотра всего текста Сейчас как раз буду ставить хотфиксы.. 0

@severnyj 6208 / 2739 / 535 Регистрация: 04.04.2012 Сообщений: 10,003
	14.03.2019, 15:57
	Давайте после хотфиксов еще раз логи FRST (старые в корзину перед этим удалите). Проверим, не успел ли проникнуть. 0

@Gipsy Danger 0 / 0 / 0 Регистрация: 06.12.2015 Сообщений: 36
	14.03.2019, 17:26 [ТС]
	Вот логи: FRST_logs_2.rar После создания логов просканировал Касперским повторно папку Fonts. В результате нашёлся Doublepulsar.dll. Удалил опять, зашёл в папку, а там куча непонятных и в основном пустых тектовых файлов. Но в одном, выделенном, просто несметное количество IP-адресов. И созданы они как раз вчера. Антивирус считает их всех вполне "дружелюбными". Так что думаю этот Doublepulsar.dll подтянулся именно с их помощью. Пока не удалял их. Кликните здесь для просмотра всего текста 0

@Gipsy Danger 0 / 0 / 0 Регистрация: 06.12.2015 Сообщений: 36
	14.03.2019, 17:56 [ТС]
	Сделал. Вот лог: Fixlog.txt 0