Вирус грузит ЦП на 100%, при открытии диспетчера задач "зверек" куда прячется
 

Всем доброго времени суток.

Все началось с того, что появились дикие артефакты, а спустя некоторое время и вовсе просто черный экран. Грешил на видеокарту, загрузился в безопасном режиме и случайно выявил в диспетчере задач два каких-то странных процесса с присутствием слова "mine", и тут все прояснилось - подхватил вирус. Удалил эти файлы, скачал hitman pro, dr web cureit, kasperski, malwarebytes, но все, что они нашли при удалении/лечении проблему не решило. Скачал сторонний диспетчер задач Spyware Process Detector, он показывает в автозапуске mshta.exe как опасный. Как выявить вирус и как вылечить файл - не знаю, очень жду вашей помощи.

Логи прилагаю:

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor, пытался удалить эти две программы, как вы сказали, но HitmanPro просто удалился из списка без деинсталляции, а booster так же без деинсталляции удалился, но вылезла табличка, что программа уже была удалена ранее.

Лог приложил.

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome
    и нажмите Ok.
• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Sandor, все пункты выполнил, вирус по-прежнему на компе.
Также вчера в безопасном режиме сканировал компьютер при помощи SpyHunter, он нашел вирус, удалил его, но при этом проблема сохранилась, и этот вирус он больше не видит.

Логи прилагаю:

Переделайте логи FRST (перед запуском утилиты отключите все антивирусные программы). Лог FRST.txt получился неполный.

Sandor, сделал, как вы написали. Логи приложил.

Вчера нашел старый винчестер, форматнул его и поставил чистую Windows 10, видеокарта все-равно артефачит. Неужели этот вирус мог испортить ее и вызвать такие необратимые последствия? Видеокарте меньше месяца. Или все же это может быть как-то связано с этим вирусом?

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  ---

  Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
SearchScopes: HKU\S-1-5-21-595846157-2228441263-2333674600-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B7C8C0453-2568-4DFA-9AC3-39F84016EE03%7D&gp=811041
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\aFALRRHW.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\aFALRRHW.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\aFALRRHW.default -> hxxp://mail.ru/cnt/10445?gp=811040
FF Keyword.URL: Mozilla\Firefox\Profiles\aFALRRHW.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BF851F4E5-68B7-4B4B-BD06-4E3789FA83AE%7D&gp=811041
CHR HomePage: Default -> mail.ru
CHR DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn12.0.23
CHR DefaultSearchKeyword: Default -> inline.go.mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
S2 BitStreamSvc; C:\WINDOWS\System32\svchost.exe [47664 2017-03-18] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 BitStreamSvc; C:\WINDOWS\SysWOW64\svchost.exe [40904 2017-03-18] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
Task: {BFE9F692-ED04-41CE-A19E-CE804C9682BC} - System32\Tasks\Driver Booster SkipUAC (Эльдар) => C:\Program Files (x86)\IObit\Driver Booster\4.3.0\DriverBooster.exe
AlternateDataStreams: C:\Windows:nlsPreferences [0]
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
FirewallRules: [{7AA7C198-FB54-4E38-B860-ADB5C2FEF898}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.3.0\AutoUpdate.exe
FirewallRules: [{03E772AC-71AF-4000-87E7-2EDC85687EDF}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.3.0\AutoUpdate.exe
FirewallRules: [{509972A7-C1BD-46A1-B817-71360F878EE4}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.3.0\DBDownloader.exe
FirewallRules: [{DFFAF0C8-390F-41E3-AAAB-D2431842C20A}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.3.0\DBDownloader.exe
FirewallRules: [{1EECD943-CD7B-409A-A230-27D24FA3150E}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.3.0\DriverBooster.exe
FirewallRules: [{DCF970EB-A9A5-4597-8E5F-731653CF5523}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.3.0\DriverBooster.exe
EmptyTemp:
Reboot:
End::

  ---

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor, все сделал, как вы написали. Частота ЦП не скачет, как раньше. Но видеокарта по-прежнему артефачит.

Лог приложил.

Артефакты скорее вызваны проблемами с видеокартой

akok, сейчас подключил монитор через встроенную в процессор видеокарту. Запустил игру, все равно артефачит. Процессор не греется, частота не прыгает. Может дело в материнке?

lekruel, возможно. Но давайте долечим ОС, а после нужно будет обратиться в профильный раздел по железу, там помогут более предменто.

А пока подготовьте, пожалуйста, свежий лог FRST для контроля.

akok, понял.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  ---

  Start::
CreateRestorePoint:
VirusTotal: C:\WINDOWS\System32\drivers\adgnetworkwfpdrv.sys
HKU\S-1-5-21-595846157-2228441263-2333674600-1001\...\Policies\Explorer: []
2017-09-18 21:37 - 2017-09-18 21:37 - 000000272 _____ () C:\ProgramData\fontcacheev1.dat
AlternateDataStreams: C:\Windows:nlsPreferences [0]
AlternateDataStreams: C:\ProgramData\TEMP:10D14739 [220]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:10D14739 [220]
EmptyTemp:
Reboot:
End::

  ---

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

akok, готово.

Проблема еще наблюдается?

akok, да, все кажется наладилось. Не могли бы вы посоветовать какой-нибудь хороший антивирус, чтобы в дальнейшем не было таких проблем? Огромное спасибо вам за помощь. И товарищу Sandor тоже огромное спасибо!

Сначала завершающие шаги:
1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Sandor, все сделал, как вы написали.

Заметил такую особенность: на рабочем столе ярлыки не перемещается при переносе в самый край экрана. Они либо возвращаются на место, откуда я пытаюсь переместить, либо самопроизвольно в какое-то другое место перемещаются. Может ли это быть какими-то остаточными следами от вируса?

На пустом месте рабочего стола правой кнопкой - Вид - снимите галку с пункта "Упорядочить значки автоматически".

------------------------------- [ Windows ] -------------------------------
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.00 (64-разрядная) v.5.00.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.0.43916 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.


Рекомендации после лечения.

Антивирус установлен вполне хороший :)
Из вышесказанного Вы поймете, что не только наличие антивируса влияет на безопасность.

Sandor, это точно) Спасибо огромное!!!