Судя по всему подцепил майнер на ноутбук

[Ivannovikoff]

Здравствуйте! Подцепил майнер на ноутбук. Касперский, др.веб вирусов не находит. Ноутбук греется и нагружается во время работы, цп загружена 100 %. Переустановка винды не помогла. В безопасном режиме майнер не работает. 

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Ivannovikoff]

CollectionLog-2023.11.02-19.20.zipИзвиняюсь не прочёл, вот логи

[Ivannovikoff]

Следуя данным действиям получил два лога:

(Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.)
AV_block_remove_2023.11.03-09.41.logCollectionLog-2023.11.03-09.48.zip

[Sandor]

Здравствуйте!

 

Не стоит выполнять чужие инструкции, у вас другая картина.

 

Два антивируса не усиливают, а ослабляют защиту.

Цитата

 

Dr.Web Security Space

Kaspersky

 

Один удалите, один оставьте.

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = (missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorUser] = (missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = (missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = (missing)
O22 - Tasks: !Kaspersky Setup - C:\Windows\temp\BCC6C32B9C87EE11A9508174D3824462\kaspersky4win202121.15.8.493ru_35809.exe /-reboot_restart_async_continue (file missing)
O22 - Tasks: !Kaspersky Setup Restricted - C:\Windows\temp\BCC6C32B9C87EE11A9508174D3824462\kaspersky4win202121.15.8.493ru_35809.exe /-restricted_service (file missing)

Перезагрузите копмьютер.

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Ivannovikoff]

FRST.txtAddition.txtСпасибо, буду знать. Готово.

Addition.txt FRST.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  AV: Dr.Web Security Space (Enabled - Up to date) {250CDD7E-926B-AEFC-24F0-E203A6F6D244}
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

17 часов назад, Ivannovikoff сказал:

цп загружена 100 %

Это постоянная загрузка или кратковременный скачок при старте Диспетчера задач?

[Ivannovikoff]

 

 

Fixlog.txtГотово.
Касательно загрузки ЦП на 100 % - кратковременный скачок при старте Диспетчера Задач.
Меня настораживает вот такая загрузка системы при запуске 1 лишь бразуера.
Так-же происходят некоторые моменты:
Компьютер начинает сильно шуметь, как-будто майнер начинает работать. Диспетчер задач сразу закрывается, не дает открыть меню пуска Windows.

 

Изменено 3 ноября, 2023 пользователем Ivannovikoff

[Sandor]

В логах не обнаружено ничего вредоносного. На вашем скрине тоже ничего критического не видно.

Ноутбук физически давно чистили? Возможно необходимо это сделать, а также проверить состояние термопасты.

Но это уже тема для другого раздела.

[Ivannovikoff]

Возможно, давно не чистил.

10 минут назад, Ivannovikoff сказал:

Так-же происходят некоторые моменты:
Компьютер начинает сильно шуметь, как-будто майнер начинает работать. Диспетчер задач сразу закрывается, не дает открыть меню пуска Windows.

Но несколько настораживает данная ситуация. 

Также хотелось бы спросить, данный пользователь должен быть, или это может быть вирус?

 

[Sandor]

24 минуты назад, Ivannovikoff сказал:

данный пользователь должен быть

Это нормально:

https://ru.wikipedia.org/wiki/Идентификатор_безопасности

 

36 минут назад, Ivannovikoff сказал:

Диспетчер задач сразу закрывается, не дает открыть меню пуска Windows.

Тут подробнее, пожалуйста, и разделим вопрос на две части:

Диспетчер сразу закрывается - скриншот вы сделали, значит все-таки не сразу, верно?

 

Меню пуска - вообще не открывается или в некоторых случаях?

 

Для верности сделаем такую проверку:

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

[Ivannovikoff]

15 минут назад, Sandor сказал:

Диспетчер сразу закрывается - скриншот вы сделали, значит все-таки не сразу, верно?

Так, смотрите. Диспетчер закрывается сразу, когда как-бы "включается" этот майнер. Когда он "включен" я нажимаю меню пуск, а оно как бы моргает, не дает открыть. Win + r тоже сразу отключается. Скриншот я сделал когда майнер не был "включен". Винду я переустанавливал через сам ноутбук (без флешки) с очисткой всех дисков, майнер остался. 
Проверку проводить когда майнер "включен" или в любое время?

Изменено 3 ноября, 2023 пользователем Ivannovikoff

[Sandor]

В любое время.

[Ivannovikoff]

scan.txtГотово, какие-то 2 угрозы нашел.

27 минут назад, Sandor сказал:

 

[Sandor]

Нет, это его ложное срабатывание на AVZ.

 

Посмотрим так:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS).
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.