Перейти к содержанию

[РЕШЕНО] Видимо майнер. Грузит проц, нагрев до 70, гузит ОЗУ. Не постоянно


Рекомендуемые сообщения

Опубликовано (изменено)

1. !Обнаружил нагружение ОЗУ под 100% при работе в браузере Mozzilla. Вкладки - Вотсап, телеграм, ютуб, майл.ру, дзен. (Всегда в закрепе ничего нового)

2. Установлен AnVir Task Manager. Ничего лишнего на первый взгляд не обнаружено.

3. Дело забросил, думал времена такие ОЗУ искать начал на побольше.

4. !Вдруг начал срабатывать вентилятор охлаждения. Ни разу до этого не слышал как он шумит. Напрягся.

5. В итоге в AnVir Task Manager. обнаружены в расширенной загрузки wow64, wow64base, xtajit64. При попытке отключить "отказано в доступе"

6. Скачен KVRT. Проведена проверка. Угроз не найдено.

7. Закрыл AnVir Task Manager. Зашел заново. "Левых" файлов стало с десяток. Скрин во вложении

8. Провел проверку KVRT. Угроз не обнаружено.

9. Скачен АвтоЛогер. Во вложении отчет

 

Пи.Эс.

Смущает "Касперский" как ново установленное приложение.Скрин 2

 

Пи.Пи.ЭС Пишу все это через защищенный браузер. Через Касперский Plus запустил. В других долго грузит и не открывает оф. сайт., форум.

И похоже в Мозиле при запуске браузер отключается расширение Касперский.

Снимок экрана 2024-01-18 111220.png

CollectionLog-2024.01.18-11.29.zip

Снимок экрана 2024-01-18 113448.png

Изменено пользователем N0BuKoB
Обновление информации
Опубликовано

Здравствуйте!


Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

 

Bonjour

Driver Booster 8

 

 

Далее:

  • Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

  • Спасибо (+1) 1
Опубликовано

Доброго дня, Sandor.

Цитата

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Выполнено.

Цитата

Далее..

Выполнено.

AdwCleaner[S00].txt

Опубликовано

Предустановленное ПО (которым не пользуетесь) деинсталлируйте стандартно, через Параметры.

Остальное чистим:

1.

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • Убедитесь, что закрыты все браузеры.
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

  • Спасибо (+1) 1
Опубликовано
Цитата

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).

Файл с буквой "с" создан при первой проверке. При повторных не создается.

 

 

AdwCleaner[C00].txt AdwCleaner[S01].txt AdwCleaner[S02].txt Addition.txt FRST.txt

Опубликовано (изменено)

Не совсем так. Отчёт с символом [Cxx] создается после очистки (по английски Clean), а с символом [Sxx] - при сканировании (Scan).

 

Перед следующим шагом закройте все остальные запущенные программы.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    Task: {0F859AD7-8060-47AF-A742-A8B3E7715ABD} - \Lenovo\ImController\TimeBasedEvents\a9f4530f-5884-4ef3-8a2a-41ea411d2ac5 -> Нет файла <==== ВНИМАНИЕ
    Task: {1E25E34C-630D-434F-BC14-D2205B9F6D7B} - \Lenovo\ImController\Lenovo iM Controller Monitor -> Нет файла <==== ВНИМАНИЕ
    Task: {5160EBC2-6686-4181-A690-F3D806FC757F} - \Lenovo\ImController\Lenovo iM Controller Scheduled Maintenance -> Нет файла <==== ВНИМАНИЕ
    Task: {604E7FE4-4FD1-47FB-9A3F-F1E49108A30F} - \Lenovo\ImController\TimeBasedEvents\6e2b4972-5f9d-42d2-bee9-f2ca946958ff -> Нет файла <==== ВНИМАНИЕ
    Task: {641EC6AA-08FE-4D6F-85CC-316E6AE1CCA0} - \Lenovo\ImController\Plugins\LenovoSystemUpdatePlugin_WeeklyTask -> Нет файла <==== ВНИМАНИЕ
    Task: {B0365540-EAF4-4B73-8DFF-60ED1EC4F2BE} - \Lenovo\ImController\TimeBasedEvents\36274c81-3097-49d6-8bfa-752e026e5e91 -> Нет файла <==== ВНИМАНИЕ
    Task: {D2A7F515-CCCF-4A0F-965D-6E59BBD7ED83} - \Lenovo\ImController\TimeBasedEvents\751fe5c6-bdd9-40a0-bd79-c3228ddccd93 -> Нет файла <==== ВНИМАНИЕ
    Task: {539E8F7A-12B3-4837-A16D-3CA2B2CF706C} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe  (Нет файла)
    Task: {3DA4C4DE-FB28-4C41-AFE5-D3651434663D} - System32\Tasks\CCleanerSkipUAC - novik => "C:\Program Files\CCleaner\CCleaner.exe"  $(Arg0) (Нет файла)
    FF Plugin: 3ds.com/ComposerPlayerWebPlugin_x86_64 -> C:\PROGRA~1\SOLIDW~1\SOLIDW~4\Bin\NPCOMP~1.DLL [Нет файла]
    C:\Users\novik\AppData\Local\Google\Chrome\User Data\Default\Extensions\eofcbnmajmjmplflapaojjnihcjkigck
    C:\Users\novik\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki
    CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck]
    CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]
    S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
    2024-01-18 12:03 - 2018-04-08 01:59 - 000000000 ___DC C:\Users\novik\AppData\Roaming\IObit
    2024-01-18 12:03 - 2018-04-08 01:59 - 000000000 ____D C:\ProgramData\IObit
    AS: Avast Antivirus (Disabled - Up to date) {35C973AA-9ABB-D3CA-B100-B0DC0E5F2402}
    FirewallRules: [{34C83A58-9239-4E04-B481-868124090DCF}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
    FirewallRules: [{808D0994-2888-44C3-B997-BCEEDE149B65}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
    FirewallRules: [{E52EB6AB-B3B2-4A9D-B3DB-A06207487D76}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
    FirewallRules: [{5ECCE1CE-B7B0-4C60-B0B8-C6BDD5144CF2}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
    FirewallRules: [{CEA3A0B4-35CF-4A94-BE5E-3F1A2F767677}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
    FirewallRules: [{F0F0B674-BCF3-4BA0-9ACB-ACB5FB6C82AC}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
    FirewallRules: [{42EFC3DE-C532-44AD-B617-476691316B9E}] => (Allow) C:\Users\novik\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
    FirewallRules: [{1FC09A1B-2955-4125-B234-D9821E9E0468}] => (Allow) C:\Users\novik\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
    FirewallRules: [{A05C8FC7-0319-4FE9-BD4E-E7D3EE424833}] => (Allow) C:\Program Files\CCleaner\CCUpdate.exe => Нет файла
    FirewallRules: [{E367DDC4-BDEC-435A-8194-58889924A429}] => (Allow) C:\Program Files\CCleaner\CCUpdate.exe => Нет файла
    FirewallRules: [{12CC3779-47FA-475D-AB65-2469295359D4}] => (Allow) C:\Program Files\SOLIDWORKS Corp\SOLIDWORKS\swScheduler\DTSCoordinatorService.exe => Нет файла
    FirewallRules: [{D765C0B9-F83E-4A9A-A00B-71F0C4195E86}] => (Allow) C:\Program Files\SOLIDWORKS Corp\SOLIDWORKS\swScheduler\DTSCoordinatorService.exe => Нет файла
    FirewallRules: [{D71EC8C0-E64C-4B2F-BFC0-642D1CC5C838}] => (Allow) C:\Users\novik\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
    FirewallRules: [{A6A343A0-EF83-46C8-A079-9792CAF2F282}] => (Allow) C:\Users\novik\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

На системном диске очень мало места:

Drive c (Windows) (Fixed) (Total:222.32 GB) (Free:9.62 GB)

Постарайтесь освободить хотя бы до 20% от общего объёма, т.е. не менее 40 Гигабайт.

Изменено пользователем Sandor
  • Like (+1) 1
Опубликовано (изменено)

1.Выполнено. Во вложении

2. Диск Переполнен. Если сейчас не критично то не буду скидывать. (Сборник ГарриПотера ищет внешний диск)

Fixlog.txt

Снимок экрана 2024-01-18 135841.png

Изменено пользователем N0BuKoB
Дополнение информации
Опубликовано
10 минут назад, N0BuKoB сказал:

Если сейчас не критично то не буду скидывать

Не исключено, что из-за этого и "проблемы".

 

 

Для верности так ещё проверим:

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

  • Спасибо (+1) 1
Опубликовано
36 минут назад, Sandor сказал:

Не исключено, что из-за этого и "проблемы".

Исправлен.

37 минут назад, Sandor сказал:

Отчёт прикрепите к сообщению.

Во вложении

 

 

Пи.ЭС.

AnVir Task Manager при распаковки Malwarebytes удалил файл MBSetup.exe. Отключил AnVir/ распоковал MB.

scan_240118_1440.txt

Опубликовано
1 минуту назад, N0BuKoB сказал:

AnVir Task Manager при распаковки Malwarebytes удалил файл MBSetup.exe.

Да, вероятно у него ложное срабатывание.

 

Удалять, как понимаете, ничего не нужно.

 

Если проблема решена, завершающие шаги:

 

1. Деинсталлируйте Malwarebytes.

 

2.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

3.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

  • Спасибо (+1) 1
Опубликовано

1,2,3 Выполнено.

Файл вложил.

 

Что в итоге было то?

Пока проблемы не проявлялись. Но и браузер не запускал. Только в защите от касперского для форума.

 

В связи со всем выше. Чем просканировать внешние диски?

 

SecurityCheck.txt

Опубликовано

Исправьте по возможности:

 

Microsoft SQL Server 2012 Native Client  v.11.0.2100.60 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2008 Setup Support Files  v.10.3.5500.0 Данная программа больше не поддерживается разработчиком.
NVIDIA GeForce Experience 3.13.1.30 v.3.13.1.30 Внимание! Скачать обновления
Microsoft SQL Server 2008 Native Client v.10.0.1600.22 Данная программа больше не поддерживается разработчиком.
Total Commander 64-bit (Remove or Repair) v.11.00 Внимание! Скачать обновления
Zoom v.5.1.28642 Внимание! Скачать обновления
iTunes v.12.12.10.1 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
Adobe Acrobat DC v.15.023.20056 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Google Chrome v.119.0.6045.200 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
 

 

4 минуты назад, N0BuKoB сказал:

Что в итоге было то?

Немного т.н. адвари (от англ. adware) и малый объём свободного места на системном диске.

 

Читайте Рекомендации после удаления вредоносного ПО

Опубликовано

Del! Microsoft SQL Server 2012 Native Client  v.11.0.2100.60 Данная программа больше не поддерживается разработчиком.
Del! Microsoft SQL Server 2008 Setup Support Files  v.10.3.5500.0 Данная программа больше не поддерживается разработчиком.
Updete! NVIDIA GeForce Experience 3.13.1.30 v.3.13.1.30 Внимание! Скачать обновления
Del! Microsoft SQL Server 2008 Native Client v.10.0.1600.22 Данная программа больше не поддерживается разработчиком.
Update!  Total Commander 64-bit (Remove or Repair) v.11.00 Внимание! Скачать обновления
Del! Zoom v.5.1.28642 Внимание! Скачать обновления
Update! iTunes v.12.12.10.1 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
Снова установлися bonjorno

Error udate! Adobe Acrobat DC v.15.023.20056 Внимание! Скачать обновления /сломанная версия
^Проверьте обновления через меню Справка - Проверить обновления!^
Update! Google Chrome v.119.0.6045.200 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

 

Пи.Эс.

59 минут назад, N0BuKoB сказал:

В связи со всем выше. Чем просканировать внешние диски?

 

SecurityCheck_240118_1604.txt

Опубликовано
Только что, N0BuKoB сказал:

Снова установлися bonjorno

Снова его удалите. На системах Windows он не нужен.

 

1 минуту назад, N0BuKoB сказал:

Чем просканировать внешние диски?

У вас в системе установлен Kaspersky, им и просканируйте. Этого вполне достаточно.

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • LexaXpNet
      Автор LexaXpNet
      Доброе время суток, пользуюсь продуктом Kaspersky Endpoint Security 12.3 в корпорации, лицензия все дела.... 
      Имеется большая локальная сеть, в которой часть рабочий мест без антивируса.
      Сама локальная сеть без доступа к интернету. 
      Само собой в локальной сети имеются расшаренные папки для работы с пользователями. 
      Затисался в сетке каким-то образом.. откуда-то... как я уже понял майнинг-вирус DOC001.exe, который при удалении всегда появляется снова... 
      На рабочих местах где стоит Каспер, он попадает, но потом его сразу же убивает Каспер...
      На других подобных местах и местах без Антивируса такая же беда.
      Пробовал удалять его СПО Malwarebytes и KVRT, как итог не вышло... Все равно появляется. 
      Люди добрые, как его побороть?) 

    • Aman2008
      Автор Aman2008
      Месяц или 3 недели назад заметил как упал фпс в играх и в ДЗ при открывании ЦП резко падает со 100%, скачал касперский стандарт и он его не видит в полную проверку.
      CollectionLog-2025.03.05-20.40.zip
    • Алексей Брижан
      Автор Алексей Брижан
      Операционная система    Microsoft Windows 10 Home
      версия программы 21.3.10.391 (m)
      Подхватил вирус майнинг, при фоновом режиме не включая никакие программы температура процессора стала 96 градусов, до этого было 55.
      при открытие диспетчера задач температура падает до 55 градусов при его сворачивании поднимается до 96. делал полную проверку, не нашел ( неоднократно)
      видеокарта работает в штатном режиме.
      термопаста поменяна, процессор i5 12450h, видеокарта gtx 3060, система охлаждения чистая.
      касперский не находит его, когда начинается проверка температура падает до 70 градусов. но после так же поднимается
      вольтаж процессора тоже нормальный.
      могу хоть видео записать, проблема серьезная, переустанавливать винду не могу слишком много документов.
    • krasniyyy
      Автор krasniyyy
      Приветствую, недавно наткнулся на наличие майнеров на ПК, которые находятся в локальной сети. Один из клиентов пришёл, запустил бат файл, который расплодил вирус на все ПК внутри сети.
      1.txt
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные и потенциально вредоносные файлы и ссылки на них.
    • Nickswift
      Автор Nickswift
      Добрый день!
      Обнаружились проблемы:
      - ЦП загружается вплоть до 100%
      - ЦП греется до 95 градусов

      При открытия диспетчера задач (windows, process explorer), нагрузка спадает до 10%, температура снижается.
      При закрытии диспетчера задач - температура снова растет

      При открытии диспетчера задач на пару секунд видно высокую нагрузку

      Полная проверка угроз не нашла

      Логи прикрепил во вложении
      CollectionLog-2021.05.01-13.29.zip
×
×
  • Создать...