Подозрение на вирус

[xionar]

После установки группы приложений, на следующее утро в Speccy заметил что температура видеокарты была 71 градус, почистив майнер avbr, стала скакать температура ЦП с 36 до 49, а то и выше

CollectionLog-2022.07.25-10.26.zip

[thyrex]

Ну и где лог AVBR тогда? Хотя сомнительно, что майнер был вообще.

[xionar]

AV_block_remove_2022.07.25-10.16.log

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[xionar]

frst.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {5822FAAF-A1A4-4874-B134-C51132FFF477} - \Adobe Flash Player PPAPI Notifier -> Нет файла <==== ВНИМАНИЕ
Task: {17D0D903-B4F1-4B34-BCF1-83948D533570} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (Нет файла)
Task: {18F71EF4-FFBB-4FA3-AC5B-2FC50CD96BCE} - System32\Tasks\ASUS\ArmourySocketServer => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ArmourySocketServer\ArmourySocketServer.exe (Нет файла)
Task: {EAE1A9C5-E6ED-4478-84AD-4856CDF70692} - System32\Tasks\ASUS\ASUSUpdateTaskMachineUA => C:\Program Files (x86)\ASUS\Update\AsusUpdate.exe /ua /installsource scheduler (Нет файла)
Task: {F23A5806-9801-4B94-B52F-0FB413A6172D} - System32\Tasks\KMSAuto => C:\WINDOWS\KMSAuto.exe /ofs=act (Нет файла)
Unlock: C:\DrWeb Quarantine
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [10198]
FirewallRules: [TCP Query User{ACACEF5F-2493-4E1E-B79B-EC8787E74445}C:\users\xionar\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\xionar\appdata\roaming\spotify\spotify.exe => Нет файла
FirewallRules: [UDP Query User{13C50621-F505-4C47-8350-CC88F10F636C}C:\users\xionar\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\xionar\appdata\roaming\spotify\spotify.exe => Нет файла
FirewallRules: [{70EF35D6-10BD-43EE-9525-C40F6FD1819E}] => (Block) C:\users\xionar\appdata\roaming\spotify\spotify.exe => Нет файла
FirewallRules: [{9068E3B6-5127-482F-A63F-4457B916D1F0}] => (Block) C:\users\xionar\appdata\roaming\spotify\spotify.exe => Нет файла
FirewallRules: [TCP Query User{2204E7A5-F00C-4A0D-9D34-D331D2A1DFC2}C:\users\xionar\.flauncher\jre\jre-adopt-8u252\bin\java.exe] => (Allow) C:\users\xionar\.flauncher\jre\jre-adopt-8u252\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{09F9ACCF-F721-4443-83A0-654EB7D4145D}C:\users\xionar\.flauncher\jre\jre-adopt-8u252\bin\java.exe] => (Allow) C:\users\xionar\.flauncher\jre\jre-adopt-8u252\bin\java.exe => Нет файла
FirewallRules: [{449AF691-98AD-44F4-9A2C-803F516EB493}] => (Block) C:\users\xionar\.flauncher\jre\jre-adopt-8u252\bin\java.exe => Нет файла
FirewallRules: [{04F7D61D-3FA6-4DBE-8F28-B4697AFC90E8}] => (Block) C:\users\xionar\.flauncher\jre\jre-adopt-8u252\bin\java.exe => Нет файла
FirewallRules: [TCP Query User{E64DC3AF-A65C-42C2-B50F-EEB169F93E7E}D:\games\fifa 21\fifa21.exe] => (Allow) D:\games\fifa 21\fifa21.exe => Нет файла
FirewallRules: [UDP Query User{F52AE1AC-A6C1-467A-BF2F-DE6250762897}D:\games\fifa 21\fifa21.exe] => (Allow) D:\games\fifa 21\fifa21.exe => Нет файла
FirewallRules: [{B5C93F61-A501-4BC4-8519-F03F9B33F818}] => (Block) D:\games\fifa 21\fifa21.exe => Нет файла
FirewallRules: [{3D24578A-5D12-416E-9800-3C0F8241AFF9}] => (Block) D:\games\fifa 21\fifa21.exe => Нет файла
FirewallRules: [{E1487636-9B77-4411-9248-9549386F5C0C}] => (Allow) D:\Games\FIFA 21\FIFASetup\fifaconfig.exe => Нет файла
FirewallRules: [{0DB24F23-5DA9-43D7-BBAE-4286311AA1F5}] => (Allow) D:\Games\FIFA 21\FIFASetup\fifaconfig.exe => Нет файла
FirewallRules: [{2D04CB1C-B71C-408E-B92A-67FB1035F01D}] => (Allow) C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ArmourySocketServer\ArmouryHtmlDebugServer.exe => Нет файла
FirewallRules: [{EC16F127-27A2-4CF9-9F17-79A8F25A2F1E}] => (Allow) C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ArmourySocketServer\ArmourySocketServer.exe => Нет файла
FirewallRules: [TCP Query User{C9797EC5-6472-4D9C-B41A-7C6568DA7633}C:0\scarletnexus\binaries\wingdk\scarletnexus-wingdk-shipping.exe] => (Allow) C:0\scarletnexus\binaries\wingdk\scarletnexus-wingdk-shipping.exe => Нет файла
FirewallRules: [UDP Query User{54D6AAC5-18E1-4346-9015-DEFE41688912}C:0\scarletnexus\binaries\wingdk\scarletnexus-wingdk-shipping.exe] => (Allow) C:0\scarletnexus\binaries\wingdk\scarletnexus-wingdk-shipping.exe => Нет файла
FirewallRules: [TCP Query User{57523BB2-CB99-47F3-BBD4-4E7D8EC14869}C:1\scarletnexus\binaries\wingdk\scarletnexus-wingdk-shipping.exe] => (Allow) C:1\scarletnexus\binaries\wingdk\scarletnexus-wingdk-shipping.exe => Нет файла
FirewallRules: [UDP Query User{98572B80-36EB-4ECD-B8DD-208AC515A911}C:1\scarletnexus\binaries\wingdk\scarletnexus-wingdk-shipping.exe] => (Allow) C:1\scarletnexus\binaries\wingdk\scarletnexus-wingdk-shipping.exe => Нет файла
FirewallRules: [TCP Query User{0F7814C5-3FBF-42B9-B6E0-F24BCA2F2E3D}D:\wpsystem\s-1-5-21-3280646565-2572177850-1075803813-1001\appdata\local\packages\microsoft.4297127d64ec6_8wekyb3d8bbwe\localcache\local\runtime\java-runtime-beta\windows-x64\java-runtime-beta\bin\javaw.exe] => (Allow) D:\wpsystem\s-1-5-21-3280646565-2572177850-1075803813-1001\appdata\local\packages\microsoft.4297127d64ec6_8wekyb3d8bbwe\localcache\local\runtime\java-runtime-beta\windows-x64\java-runtime-beta\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{B059AD61-8865-4AAC-B112-51DE2C4D7F00}D:\wpsystem\s-1-5-21-3280646565-2572177850-1075803813-1001\appdata\local\packages\microsoft.4297127d64ec6_8wekyb3d8bbwe\localcache\local\runtime\java-runtime-beta\windows-x64\java-runtime-beta\bin\javaw.exe] => (Allow) D:\wpsystem\s-1-5-21-3280646565-2572177850-1075803813-1001\appdata\local\packages\microsoft.4297127d64ec6_8wekyb3d8bbwe\localcache\local\runtime\java-runtime-beta\windows-x64\java-runtime-beta\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{A8C10842-0938-48FE-BAE8-9853A285DBED}C:\users\xionar\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe] => (Allow) C:\users\xionar\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{7F8E7BB2-DCB4-4DAD-A17C-CB9B9EAD239D}C:\users\xionar\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe] => (Allow) C:\users\xionar\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{904824E8-03AB-41E2-BF5E-F266FE8201C9}D:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) D:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [UDP Query User{ABDD36FF-D811-4729-B43E-999771A1DDBA}D:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) D:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{421D06D1-F23D-444B-B75C-478F94A9E669}] => (Allow) Z:\MiniTool ShadowMaker\AgentService.exe => Нет файла
FirewallRules: [{0181ECF5-8EEC-4556-BCA2-C12676CC660E}] => (Allow) Z:\MiniTool ShadowMaker\AgentService.exe => Нет файла
FirewallRules: [TCP Query User{53AC0983-1CF4-42A2-9A30-9B0A437E96A6}C:0\торент\super bunny man v0.9.0.5\super bunny man.exe] => (Block) C:0\торент\super bunny man v0.9.0.5\super bunny man.exe => Нет файла
FirewallRules: [UDP Query User{38EFF7BC-B639-46A9-BFFC-00A16C303845}C:0\торент\super bunny man v0.9.0.5\super bunny man.exe] => (Block) C:0\торент\super bunny man v0.9.0.5\super bunny man.exe => Нет файла
FirewallRules: [TCP Query User{E7E14E51-B3D7-4C86-9886-5CF1BF8496FB}C:\games\it takes two\nuts\binaries\win64\ittakestwo.exe] => (Block) C:\games\it takes two\nuts\binaries\win64\ittakestwo.exe => Нет файла
FirewallRules: [UDP Query User{1EF97DF6-4640-43D3-B73C-CF5EC2209D92}C:\games\it takes two\nuts\binaries\win64\ittakestwo.exe] => (Block) C:\games\it takes two\nuts\binaries\win64\ittakestwo.exe => Нет файла
FirewallRules: [TCP Query User{4CD2202D-57B6-4DFF-BC65-F5E395AE1599}C:\games\totalwarsagatroy\troy.exe] => (Allow) C:\games\totalwarsagatroy\troy.exe => Нет файла
FirewallRules: [UDP Query User{0BE34DE0-AEF1-4E83-9BF2-A9497A7286B0}C:\games\totalwarsagatroy\troy.exe] => (Allow) C:\games\totalwarsagatroy\troy.exe => Нет файла
FirewallRules: [TCP Query User{AB7326F3-8C79-4EFA-93D2-ECD25444A838}C:\games\call of duty ww ii\s2_mp64_ship.exe] => (Block) C:\games\call of duty ww ii\s2_mp64_ship.exe => Нет файла
FirewallRules: [UDP Query User{FE642C8A-06D7-4CA0-BE4F-50B1ED6501B2}C:\games\call of duty ww ii\s2_mp64_ship.exe] => (Block) C:\games\call of duty ww ii\s2_mp64_ship.exe => Нет файла
FirewallRules: [TCP Query User{0AE65FB0-0CFF-4D01-975B-45FB6013CF1F}C:0\forzahorizon5.exe] => (Allow) C:0\forzahorizon5.exe => Нет файла
FirewallRules: [UDP Query User{5712CEA9-98CD-47C5-B8A4-C0F95AB3580F}C:0\forzahorizon5.exe] => (Allow) C:0\forzahorizon5.exe => Нет файла
FirewallRules: [TCP Query User{531C16ED-6610-4205-BE22-DBD06411396F}E:3\hoi4.exe] => (Allow) E:3\hoi4.exe => Нет файла
FirewallRules: [UDP Query User{9F14BD3F-75F7-4DA3-948C-63E06DC7B0FE}E:3\hoi4.exe] => (Allow) E:3\hoi4.exe => Нет файла
FirewallRules: [TCP Query User{B42ACF73-E870-4A39-BD9E-F288CC68E0E5}D:5\hoi4.exe] => (Allow) D:5\hoi4.exe => Нет файла
FirewallRules: [UDP Query User{36204574-D60E-4832-B084-358D4CA335BD}D:5\hoi4.exe] => (Allow) D:5\hoi4.exe => Нет файла
FirewallRules: [TCP Query User{2C5D8604-F0BF-4798-9A28-C63EC7E67635}E:\games\7 days to die\7daystodie.exe] => (Allow) E:\games\7 days to die\7daystodie.exe => Нет файла
FirewallRules: [UDP Query User{E0AA89A1-AF42-4872-A5D0-DAFBABB79A5E}E:\games\7 days to die\7daystodie.exe] => (Allow) E:\games\7 days to die\7daystodie.exe => Нет файла
FirewallRules: [TCP Query User{896C7421-4B7F-46E7-BD41-3B3B894585CB}D:\games\warthunder\launcher.exe] => (Allow) D:\games\warthunder\launcher.exe => Нет файла
FirewallRules: [UDP Query User{C4BAD165-19C2-40E0-986F-1AEF9AF6B986}D:\games\warthunder\launcher.exe] => (Allow) D:\games\warthunder\launcher.exe => Нет файла
FirewallRules: [TCP Query User{CE33CD1D-833C-46F8-AE34-DD787422AE71}D:\games\warthunder\win64\aces.exe] => (Allow) D:\games\warthunder\win64\aces.exe => Нет файла
FirewallRules: [UDP Query User{745F162E-5CCD-44DB-96CF-6C06FFB0E1CB}D:\games\warthunder\win64\aces.exe] => (Allow) D:\games\warthunder\win64\aces.exe => Нет файла
FirewallRules: [TCP Query User{2DA70870-3AD8-4FCD-8238-00CD9E370916}E:80\forzahorizon5.exe] => (Allow) E:80\forzahorizon5.exe => Нет файла
FirewallRules: [UDP Query User{718214FF-0CB4-4103-96E1-26ED2873AA8C}E:80\forzahorizon5.exe] => (Allow) E:80\forzahorizon5.exe => Нет файла
FirewallRules: [{A86E5551-C329-4342-AA63-2BB2F1EB37FE}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Нет файла
FirewallRules: [{3EFF1F96-8006-45F8-B0A0-9AC37AA8613B}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла
FirewallRules: [{2D6F06F6-2536-4C15-97D7-9F04C6A10B8E}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Нет файла
FirewallRules: [TCP Query User{C93C53BC-8516-4F4D-BB77-280CE9148A47}C:\users\xionar\downloads\escape dungeon\escapedungeon.exe] => (Block) C:\users\xionar\downloads\escape dungeon\escapedungeon.exe => Нет файла
FirewallRules: [UDP Query User{616AFC4D-C927-45AB-816D-2DA347219DB7}C:\users\xionar\downloads\escape dungeon\escapedungeon.exe] => (Block) C:\users\xionar\downloads\escape dungeon\escapedungeon.exe => Нет файла
FirewallRules: [TCP Query User{AC0B1EB6-ACF8-41DA-8F06-26D76574B89B}D:\games\crysis remastered\bin64\crysisremastered.exe] => (Allow) D:\games\crysis remastered\bin64\crysisremastered.exe => Нет файла
FirewallRules: [UDP Query User{8AD4296A-E122-4BAA-A409-D2B2A3F6D8C4}D:\games\crysis remastered\bin64\crysisremastered.exe] => (Allow) D:\games\crysis remastered\bin64\crysisremastered.exe => Нет файла
FirewallRules: [{C5D88CDF-1100-47B7-9E26-08E3DB496CCC}] => (Allow) C:\Program Files\Google\Chrome\Application\chrome.exe => Нет файла
FirewallRules: [TCP Query User{5EC578AE-136C-4C6C-8DCB-267F348DFE62}C:\games\kingdom come deliverance\bin\win64\kingdomcome.exe] => (Allow) C:\games\kingdom come deliverance\bin\win64\kingdomcome.exe => Нет файла
FirewallRules: [UDP Query User{220CDBFB-157D-4783-8C86-27C8D8C9E11B}C:\games\kingdom come deliverance\bin\win64\kingdomcome.exe] => (Allow) C:\games\kingdom come deliverance\bin\win64\kingdomcome.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[xionar]

Fixlog.txt

[thyrex]

Проблема решена?

[xionar]

Вроде как да. Можно уточнить в чем была проблема, для того, что бы избежать подобного

 

[thyrex]

Изначально майнер таки был похоже.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[xionar]

SecurityCheck by glax24 & Severnyj v.1.4.0.54 [06.12.21]
WebSite: www.safezone.cc
DateLog: 27.07.2022 14:40:50
Path starting: C:\Users\Xionar\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Xionar
VersionXML: 10.03is-23.07.2022
___________________________________________________________________________

Windows 10(6.3.19044) (x64) Core Версия: 2009 Lang: Russian(0419)
Дата установки ОС: 16.01.2021 16:28:07
Статус лицензии: Windows(R), Core edition Срок истечения многопользовательской активации: 61642 мин.
Статус лицензии: Office 16, Office16ProPlusVL_KMS_Client edition Срок истечения многопользовательской активации: 256043 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\BraveSoftware\Brave-Browser\Application\brave.exe
Системный диск: 😄 ФС: [NTFS] Емкость: [465.8 Гб] Занято: [375.8 Гб] Свободно: [90 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.789.19041.0
Контроль учётных записей пользователя включен (Уровень 3)
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2016 x86 v.16.0.4266.1001
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен)
Kaspersky Total Security (выключен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Total Security (включен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes version 4.5.10.200 v.4.5.10.200 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.50918.0 Данная программа больше не поддерживается разработчиком.
NVIDIA GeForce Experience 3.25.1.27 v.3.25.1.27
Steam v.2.10.91.91
Epic Games Launcher v.1.1.298.0
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.22.141.0703.0002 [+]
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
WinRAR 6.02 (32-bit) v.6.02.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Telegram Desktop v.3.7.3 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
Kaspersky Secure Connection v.21.2.16.590
Radmin VPN 1.2.1 v.1.2.4457
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.3.9 v.4.3.9 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 311 v.8.0.3110.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u341-windows-i586.exe)^
-------------------------------- [ Media ] --------------------------------
KMPlayer 64X (remove only) v.2021.10.26.03
AIMP v.v4.13.1895, 07.05.2017 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.465 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
------------------------------- [ Browser ] -------------------------------
Brave v.103.1.41.100
Microsoft Edge v.103.0.1264.71 [+]
------------------ [ AntivirusFirewallProcessServices ] -------------------
Malwarebytes Service (MBAMService) - Служба остановлена
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2205.7-0\MsMpEng.exe v.4.18.2205.7
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2205.7-0\NisSrv.exe v.4.18.2205.7
Служба антивирусной программы Microsoft Defender (WinDefend) - Служба работает
Служба проверки сети антивирусной программы Microsoft Defender (WdNisSvc) - Служба работает
----------------------------- [ End of Log ] ------------------------------
 

 

[thyrex]

Выполните рекомендации по обновлениям, и на этом закончим.

 

Если используете KTS, то Malwarebytes можно удалить.