Помогите с вирусняком

[Andrey4938]

Добрый день, видеокарта загружена на 100% и процессор тоже на 100, но стоит лишь сдвинуть курсор мышкой или нажать любую клавишу на клавиатуре то нагрузка исчезает. Так же при открытии диспетчера видно на 1 секунду процесс который грузит на 100%,но он сразу пропадает через 1 сек после открытия диспетчера (wmi provider host) . 

Браузеры работают, но стоит лишь ввести в поиске что то типа "как удалить майнер", то Браузеры вылетают. Через телефон скачал антивирусы, но ничего не запускается - "операция отменена из-за ограничений, действующих на компьютере" 

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Andrey4938]

Запустилось Avz с безопасного режима винды. Логи прикрепил. 

CollectionLog-2023.05.09-14.09.zip

 

 

 

Помогло запуск AV Block remover из безопасного режима и переименования файла запуска. 

Оно нашло левого пользователя, имя которого я никогда не видел и удалило все, что с ним связано. Загрузка видюхи и процессора пропала. Надо ещё что-либо делать? 

 

av-block-remover DOWNLOAD

[thyrex]

Тогда нужны новые логи Autologger из обычного режима загрузки.

[Andrey4938]

Прикладываю новые логи из обычного режима загрузки. На данный момент существуют остатки вируса в виде - не распаковывается автологгер из архива если архив находится на рабочем столе, из других мест распаковывается. 

CollectionLog-2023.05.11-09.03.zip

[Sandor]

Здравствуйте!

 

Отчёт AVbr в виде файла AV_block_remove_дата-время.log прикрепите к следующему сообщению.

 

Файл CheckBrowserLnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O15 - Trusted Zone: http://hola.org
O22 - Tasks: (disabled) Автоотключение - C:\Windows\System32\shutdown.exe /s
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RecoveryHosts - C:\Programdata\Setup\sch.bat (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RecoveryStartUP - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\WindowsUpdate\MasterData - C:\Windows\SysWOW64\unsecapp.exe (file missing)
O22 - Tasks: Windows Protection - C:\ProgramData\Defender\Start.exe (file missing)

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

[Andrey4938]

 

Не могу запустить AVBR скачанную заного.

[Sandor]

Повторно запускать не нужно, я просил только отчёт. Если не сохранился, просто продолжайте.

[Andrey4938]

Еще вопрос назрел, ибо в инструкции авбр сказано отключить защитник виндовс, но попытавшись это сделать обнаружил, что нету вкладки защита от вирусов и угроз. Это так вирус нахимичил?

[Sandor]

Повторяю ещё раз: запускать AVbr не нужно, выполняйте следующие рекомендации, пожалуйста.

[Andrey4938]

Сделал

ClearLNK-2023.05.11_10.09.08.log FRST.txt Addition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  Task: {8DA91E3D-3018-4B42-8802-163094F834A0} - System32\Tasks\Microsoft\Windows\WindowsBackup\RecoveryHosts => C:\Programdata\Setup\sch.bat (Нет файла) <==== ВНИМАНИЕ
  Task: {D0B1866A-3B6C-479B-84D8-81CA9CAC0EE3} - System32\Tasks\TASKDIRFORTASKCREATE\TASKFORTASKCREATE => C:\Users\Andrey\AppData\Roaming\Mxmetamux\libmfxsw32.exe (Нет файла)
  C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
  C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Default\Extensions\opfbnaecdfgipokhpeiafhaajhjccbip
  CHR HKU\S-1-5-21-345422592-2495065178-1397162613-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
  2023-05-07 21:14 - 2023-05-07 21:14 - 000000000 __SHD C:\Users\Andrey\Downloads\AV_block_remover
  2023-05-07 21:14 - 2023-05-07 21:14 - 000000000 __SHD C:\Users\Andrey\Downloads\AutoLogger
  2023-05-07 21:14 - 2023-05-07 21:14 - 000000000 __SHD C:\Users\Andrey\Desktop\AV_block_remover
  2023-05-07 21:14 - 2023-05-07 21:14 - 000000000 __SHD C:\Users\Andrey\Desktop\AutoLogger
  2023-05-07 21:14 - 2023-05-07 21:14 - 000000000 __SHD C:\ProgramData\princeton-produce
  2023-05-07 21:14 - 2023-05-07 21:14 - 000000000 __SHD C:\Program Files\HitmanPro
  AV: Avast Antivirus (Enabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF}
  AV: Reason Cybersecurity (Enabled - Up to date) {B0B2FECD-5C94-6CF9-5CCA-DDC15E20D0F8}
  AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [145]
  AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [140]
  AlternateDataStreams: C:\ProgramData\TEMP:98781370 [106]
  AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [141]
  AlternateDataStreams: C:\ProgramData\TEMP:DED17083 [294]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Andrey4938]

Fixlog.txt готово

[Sandor]

Что из проблем сейчас осталось?

[Andrey4938]

Вроде проблем нет больше никаких, спасибо