Перейти к содержанию

Рекомендуемые сообщения

Добрый день.
Увидел в диспетчере задач 3 процесса AMD.exe, которые использовали 10 гб ОЗУ, не открывались некоторые сайты и так далее.

Запустил автологгер по инструкции в безопасном режиме, он, судя по всему, майнер удалил, AMD.exe уже в диспетчере не видно, но хотелось бы быть уверенным, что проблема точно решена. Вот все нужные логи.  

AV_block_remove_2023.03.16-17.01.log FRST.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Запустите ещё раз AVbr, но уже в нормальном (не в безопасном) режиме.

После перезагрузки покажите новый его отчёт.

 

Затем соберите CollectionLog Автологером (как указано в правилах).

Ссылка на сообщение
Поделиться на другие сайты
9 часов назад, Sandor сказал:

Здравствуйте!

 

Запустите ещё раз AVbr, но уже в нормальном (не в безопасном) режиме.

После перезагрузки покажите новый его отчёт.

 

Затем соберите CollectionLog Автологером (как указано в правилах).

Здравствуйте, вот логи. 

AV_block_remove_2023.03.17-18.54.log CollectionLog-2023.03.17-18.59.zip

Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\system32\unsecapp.exe');
 QuarantineFile('c:\windows\system32\unsecapp.exe', '');
 DeleteFile('c:\windows\system32\unsecapp.exe', '');
 DeleteFile('C:\Windows\System32\unsecapp.exe', '64');
 DeleteService('Microsoft Framework');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Дополнительно соберите новые логи:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    Task: {052D9C8C-87C1-479D-B68D-FA0E527B5D9D} - System32\Tasks\Browserupdphenix => C:\Users\ckoib\AppData\Local\Browserupdphenix\Browserupdphenix.exe --s=3E42C952BA45B81F320AFBAC979BDB914DF821C2F6F19AFABCB2A43FA7CFFBC16E033541C964399C20799B7F24 --id=1 --sub-id=432 (Нет файла) <==== ВНИМАНИЕ
    Task: {C6C367A2-8B6C-423D-ACBF-6A7357F93944} - System32\Tasks\MailRuUpdater => C:\Users\ckoib\AppData\Local\Mail.Ru\MailRuUpdater.exe --check (Нет файла) <==== ВНИМАНИЕ
    CHR StartupUrls: Default -> "hxxps://mail.ru/cnt/10445?gp=812209"
    C:\Users\ckoib\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    VIV DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=chxtnhp15.1.4.3&q={searchTerms}&fr=chxtnhp15.1.4.3
    VIV DefaultSearchKeyword: Default -> inline.go.mail.ru
    VIV DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
    C:\Users\ckoib\AppData\Local\Vivaldi\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
    AV: Kaspersky Small Office Security (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
    AV: 360 Total Security (Enabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}
    FW: Kaspersky Small Office Security (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    AlternateDataStreams: C:\Users\ckoib\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\ckoib\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
    FirewallRules: [{FA9237B4-1EF0-4741-8C22-FDE1B57A7B1F}] => (Allow) LPort=80
    FirewallRules: [{F1FC6497-8F08-461F-B850-5C6612516A9D}] => (Allow) LPort=80
    FirewallRules: [{E87E31B5-370C-4DA2-95A6-D0C29C41FA45}] => (Allow) LPort=443
    FirewallRules: [{E1AFFCBC-37B8-4C96-872E-7CF7E955B71F}] => (Allow) LPort=443
    FirewallRules: [{DEEAB2F9-1F46-43B1-BF77-72F570C8372F}] => (Allow) LPort=20010
    FirewallRules: [{84E2A832-5631-4179-90A5-F86B37CF27E7}] => (Allow) LPort=20010
    FirewallRules: [{D250599D-813E-452A-8369-3BBF1348A5AD}] => (Allow) LPort=3478
    FirewallRules: [{F0B7C139-2B49-4F11-B6B6-1FA1B7A6062D}] => (Allow) LPort=3478
    FirewallRules: [{43296352-9B81-4F46-A67A-3CE6D136833B}] => (Allow) LPort=7850
    FirewallRules: [{D8CBD4B3-8831-47E1-A1E7-8B6B68AD3B70}] => (Allow) LPort=7850
    FirewallRules: [{695F5A73-33FE-4608-A4B5-8BC0C1F67D35}] => (Allow) LPort=7852
    FirewallRules: [{C7E6510A-0173-4634-934B-6B1B6E430197}] => (Allow) LPort=7852
    FirewallRules: [{A171F069-75B5-4148-8A1C-2BDAE9B50E57}] => (Allow) LPort=7853
    FirewallRules: [{4112E0EB-E409-4035-8492-4DFFE081A0A2}] => (Allow) LPort=7853
    FirewallRules: [{A3921826-0FE9-48D3-8A6A-B032C1138E6D}] => (Allow) LPort=27022
    FirewallRules: [{426F879B-9FA9-4417-8D04-562A8CE52FA7}] => (Allow) LPort=27022
    FirewallRules: [{9701FAA7-5B60-4A61-84B0-2E7F87CDBEA7}] => (Allow) LPort=6881
    FirewallRules: [{3C04C095-5029-4912-A74F-326F16E8A389}] => (Allow) LPort=6881
    FirewallRules: [{4366230E-5636-49F7-8200-C88D0116F9E4}] => (Allow) LPort=33333
    FirewallRules: [{AEAAE749-F4B6-43CD-A2BD-49200D3F515F}] => (Allow) LPort=33333
    FirewallRules: [{6DA75F8B-9018-403E-8981-CC9882A314E9}] => (Allow) LPort=20443
    FirewallRules: [{257EB4E4-1258-440D-8252-EFCD27F6C348}] => (Allow) LPort=20443
    FirewallRules: [{AB2EDA6D-24C6-4507-A04E-DFCCCB05E3B0}] => (Allow) LPort=8090
    FirewallRules: [{F45CC30D-28A5-4DD1-A9ED-C0867A6C5F7B}] => (Allow) LPort=8090
    FirewallRules: [{F1BB53A7-4B75-48D0-A55F-F857F09B222D}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
    FirewallRules: [{56E9DE05-EA9A-4C23-B85B-6D6C22002AD4}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
    FirewallRules: [{76BAA283-2AE6-4889-92B5-56C3FC6FF3D9}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
    FirewallRules: [{4C5417A2-A01D-4C13-B7DC-F4076930ED42}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
    FirewallRules: [{7C37DC74-3F2E-4BB5-BE5D-FBCFCA3FFEA8}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
    FirewallRules: [{E5A498F0-12B4-4162-8AEC-6EEFC1926157}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
    FirewallRules: [{40F7B5A5-F7F8-4F6E-8FB1-AA9FE32E40E9}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
    FirewallRules: [{D22D0D28-919E-41DC-B8B9-6FE55D7E9076}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Отлично, завершаем:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Medoed Stepa
      От Medoed Stepa
      Недавно заметил что у меня очень сильно начал греться процессор, после запуска компьютера, FPS  начал проседать и.т.д
      Захожу в диспетчер задач вначале высокая загрузка, потом падает ( на форумах говорится что это нормально в первые 2-3с пока диспетчер задач считывает информацию), но  проблема в том что заходя через приложение MyASUS, показывается загрузка процессора которая в среднем составляет 30-40%, при только открытом этом приложении , дальше при открытии диспетчера задач загрузка падает до 3%  что в диспетчере задач что в приложении , но при закрытии сразу возрастает до 40%, так же сегодня заметил что если отключить интернет то загрузка тоже падает . Одним словом майнер в чистом виде.
      Писать бы на форум не стал не попробовав базовые способы решения , что было сделано: полная проверка через KVRT , Dr web Cureit , ручная проверка через монитор ресурсов , все виды проверок через Microsoft Defender (он кстати нашел троян и 1 вирус, но всё равно удалив их проблема не решилась)
       Физические проблемы с процессором и видеокартой сомнительны так как при запуске приложений-игр ,производительность заметно возрастает если держать свернутым диспетчере задач (производительность не возрастала бы в обратном случае)
      Все драйвера обновлены до последних версий и windows тоже, так же проверял на системные сбои через приложение LatencyMon (проблемы не были найдены)
      Из последнего ,что запускал необычного обходы для dicord и youtube  -Zapret , через командные строки , А так всегда пользуюсь только лицензированным ПО  и соблюдаю цифровую гигиену.
      Есть предположение что так как Zapret был запущен через командую строку от имени администратора ,антивирусы не могут его найти так как считают его расширением или программным ПО - Приложением (на данный момент  Zapret был деинсталлирован через командную строку (предположительно)) 
       
      Снизу прикрепил ,то что нашел Microsoft Defender
       
       


    • Ilyambuss
      От Ilyambuss
      здравствуйте, неделю назад обращался сюда с такой проблемой: "после нажатия клавиш Win + L ноутбук уходит в спящий (или ждущий) режим, экран гаснет через пару минут. проблема в том, что когда я оставляю ноутбук в этом режиме, то через несколько минут я слышу, как система охлаждения ноута начинает работать интенсивнее и громче, как будто происходит какой-то процесс. как только выхожу из спящего режима, всё сразу стихает, и как будто ничего и не было". это оказался майнер, сейчас проблема абсолютно идентичного характера, нужна помощь. и прошу прощения что наступаю на те же грабли и занимаю время консультантов, работающих на этом сайте 
      CollectionLog-2024.10.29-21.38.zip
    • Neovolt
      От Neovolt
      Поймал майнер от KMS. MWB находит его, и перемещает нонстопом в карантин.
      путь C:\ProgramData\Google\Chrome\updater.exe
      Логи от FRST Прилагаю. Заранее спасибо!
      FRST.zip
    • Spanch
      От Spanch
      Здравствуйте!

      При закрытом диспетчере задач ГП греется до 88 градусов в режиме простоя, при включении диспетчера резко остывает до 45гр. Если запустить диспетчер задач, то он автоматически вырубается спустя пару минут, и начинает расти температура ГП.

      Window 10, дополнительные антивирусы не скачивал. Что бы заработал браузер, скачал и запустил AV block remover (AVbr). Пока что частоты в норме после него, хотелось бы узнать осталось ли что-нибудь ещё.

      Частоты и температуры мониторил через msi afterburner.
       
      Спасибо.
      AV_block_remove_2024.10.24-22.26.log CollectionLog-2024.10.24-23.02.zip
    • Ilyambuss
      От Ilyambuss
      после нажатия клавиш Win + L ноутбук уходит в спящий (или ждущий) режим, экран гаснет через пару минут. проблема в том, что когда я оставляю ноутбук в этом режиме, то через несколько минут я слышу, как система охлаждения ноута начинает работать интенсивнее и громче, как будто происходит какой-то процесс. как только выхожу из спящего режима, всё сразу стихает, и как будто ничего и не было. началось это с недавних пор, раньше такого не было. может ли это быть какой-нибудь майнер или любой другой вирус? и грозит ли эта проблема преждевременному износу комплектующих ноута? проверки касперским никаких проблем не выявляют
      CollectionLog-2024.10.21-01.06.zip
×
×
  • Создать...