[РЕШЕНО] Видимо майнер. Грузит проц, нагрев до 70, гузит ОЗУ. Не постоянно

[N0BuKoB 0]

1. !Обнаружил нагружение ОЗУ под 100% при работе в браузере Mozzilla. Вкладки - Вотсап, телеграм, ютуб, майл.ру, дзен. (Всегда в закрепе ничего нового)

2. Установлен AnVir Task Manager. Ничего лишнего на первый взгляд не обнаружено.

3. Дело забросил, думал времена такие ОЗУ искать начал на побольше.

4. !Вдруг начал срабатывать вентилятор охлаждения. Ни разу до этого не слышал как он шумит. Напрягся.

5. В итоге в AnVir Task Manager. обнаружены в расширенной загрузки wow64, wow64base, xtajit64. При попытке отключить "отказано в доступе"

6. Скачен KVRT. Проведена проверка. Угроз не найдено.

7. Закрыл AnVir Task Manager. Зашел заново. "Левых" файлов стало с десяток. Скрин во вложении

8. Провел проверку KVRT. Угроз не обнаружено.

9. Скачен АвтоЛогер. Во вложении отчет

 

Пи.Эс.

Смущает "Касперский" как ново установленное приложение.Скрин 2

 

Пи.Пи.ЭС Пишу все это через защищенный браузер. Через Касперский Plus запустил. В других долго грузит и не открывает оф. сайт., форум.

И похоже в Мозиле при запуске браузер отключается расширение Касперский.

CollectionLog-2024.01.18-11.29.zip

Изменено 18 января пользователем N0BuKoB
Обновление информации

[Sandor 1 280]

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

 

Bonjour

Driver Booster 8

 

 

Далее:

• Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[N0BuKoB 0]

Доброго дня, Sandor.

Цитата

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Выполнено.

Цитата

Далее..

Выполнено.

AdwCleaner[S00].txt

[Sandor 1 280]

Предустановленное ПО (которым не пользуетесь) деинсталлируйте стандартно, через Параметры.

Остальное чистим:

1.

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  
  • Сбросить политики IE
  • Сбросить политики Chrome
    
• Убедитесь, что закрыты все браузеры.
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[N0BuKoB 0]

Цитата

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).

Файл с буквой "с" создан при первой проверке. При повторных не создается.

 

 

AdwCleaner[C00].txt AdwCleaner[S01].txt AdwCleaner[S02].txt Addition.txt FRST.txt

[Sandor 1 280]

Не совсем так. Отчёт с символом [Cxx] создается после очистки (по английски Clean), а с символом [Sxx] - при сканировании (Scan).

 

Перед следующим шагом закройте все остальные запущенные программы.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  Task: {0F859AD7-8060-47AF-A742-A8B3E7715ABD} - \Lenovo\ImController\TimeBasedEvents\a9f4530f-5884-4ef3-8a2a-41ea411d2ac5 -> Нет файла <==== ВНИМАНИЕ
  Task: {1E25E34C-630D-434F-BC14-D2205B9F6D7B} - \Lenovo\ImController\Lenovo iM Controller Monitor -> Нет файла <==== ВНИМАНИЕ
  Task: {5160EBC2-6686-4181-A690-F3D806FC757F} - \Lenovo\ImController\Lenovo iM Controller Scheduled Maintenance -> Нет файла <==== ВНИМАНИЕ
  Task: {604E7FE4-4FD1-47FB-9A3F-F1E49108A30F} - \Lenovo\ImController\TimeBasedEvents\6e2b4972-5f9d-42d2-bee9-f2ca946958ff -> Нет файла <==== ВНИМАНИЕ
  Task: {641EC6AA-08FE-4D6F-85CC-316E6AE1CCA0} - \Lenovo\ImController\Plugins\LenovoSystemUpdatePlugin_WeeklyTask -> Нет файла <==== ВНИМАНИЕ
  Task: {B0365540-EAF4-4B73-8DFF-60ED1EC4F2BE} - \Lenovo\ImController\TimeBasedEvents\36274c81-3097-49d6-8bfa-752e026e5e91 -> Нет файла <==== ВНИМАНИЕ
  Task: {D2A7F515-CCCF-4A0F-965D-6E59BBD7ED83} - \Lenovo\ImController\TimeBasedEvents\751fe5c6-bdd9-40a0-bd79-c3228ddccd93 -> Нет файла <==== ВНИМАНИЕ
  Task: {539E8F7A-12B3-4837-A16D-3CA2B2CF706C} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe  (Нет файла)
  Task: {3DA4C4DE-FB28-4C41-AFE5-D3651434663D} - System32\Tasks\CCleanerSkipUAC - novik => "C:\Program Files\CCleaner\CCleaner.exe"  $(Arg0) (Нет файла)
  FF Plugin: 3ds.com/ComposerPlayerWebPlugin_x86_64 -> C:\PROGRA~1\SOLIDW~1\SOLIDW~4\Bin\NPCOMP~1.DLL [Нет файла]
  C:\Users\novik\AppData\Local\Google\Chrome\User Data\Default\Extensions\eofcbnmajmjmplflapaojjnihcjkigck
  C:\Users\novik\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki
  CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck]
  CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]
  S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
  2024-01-18 12:03 - 2018-04-08 01:59 - 000000000 ___DC C:\Users\novik\AppData\Roaming\IObit
  2024-01-18 12:03 - 2018-04-08 01:59 - 000000000 ____D C:\ProgramData\IObit
  AS: Avast Antivirus (Disabled - Up to date) {35C973AA-9ABB-D3CA-B100-B0DC0E5F2402}
  FirewallRules: [{34C83A58-9239-4E04-B481-868124090DCF}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
  FirewallRules: [{808D0994-2888-44C3-B997-BCEEDE149B65}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
  FirewallRules: [{E52EB6AB-B3B2-4A9D-B3DB-A06207487D76}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
  FirewallRules: [{5ECCE1CE-B7B0-4C60-B0B8-C6BDD5144CF2}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
  FirewallRules: [{CEA3A0B4-35CF-4A94-BE5E-3F1A2F767677}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
  FirewallRules: [{F0F0B674-BCF3-4BA0-9ACB-ACB5FB6C82AC}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
  FirewallRules: [{42EFC3DE-C532-44AD-B617-476691316B9E}] => (Allow) C:\Users\novik\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
  FirewallRules: [{1FC09A1B-2955-4125-B234-D9821E9E0468}] => (Allow) C:\Users\novik\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
  FirewallRules: [{A05C8FC7-0319-4FE9-BD4E-E7D3EE424833}] => (Allow) C:\Program Files\CCleaner\CCUpdate.exe => Нет файла
  FirewallRules: [{E367DDC4-BDEC-435A-8194-58889924A429}] => (Allow) C:\Program Files\CCleaner\CCUpdate.exe => Нет файла
  FirewallRules: [{12CC3779-47FA-475D-AB65-2469295359D4}] => (Allow) C:\Program Files\SOLIDWORKS Corp\SOLIDWORKS\swScheduler\DTSCoordinatorService.exe => Нет файла
  FirewallRules: [{D765C0B9-F83E-4A9A-A00B-71F0C4195E86}] => (Allow) C:\Program Files\SOLIDWORKS Corp\SOLIDWORKS\swScheduler\DTSCoordinatorService.exe => Нет файла
  FirewallRules: [{D71EC8C0-E64C-4B2F-BFC0-642D1CC5C838}] => (Allow) C:\Users\novik\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
  FirewallRules: [{A6A343A0-EF83-46C8-A079-9792CAF2F282}] => (Allow) C:\Users\novik\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

На системном диске очень мало места:

Drive c (Windows) (Fixed) (Total:222.32 GB) (Free:9.62 GB)

Постарайтесь освободить хотя бы до 20% от общего объёма, т.е. не менее 40 Гигабайт.

Изменено 18 января пользователем Sandor

[N0BuKoB 0]

1.Выполнено. Во вложении

2. Диск Переполнен. Если сейчас не критично то не буду скидывать. (Сборник ГарриПотера ищет внешний диск)

Fixlog.txt

Изменено 18 января пользователем N0BuKoB
Дополнение информации

[Sandor 1 280]

10 минут назад, N0BuKoB сказал:

Если сейчас не критично то не буду скидывать

Не исключено, что из-за этого и "проблемы".

 

 

Для верности так ещё проверим:

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

[N0BuKoB 0]

36 минут назад, Sandor сказал:

Не исключено, что из-за этого и "проблемы".

Исправлен.

37 минут назад, Sandor сказал:

Отчёт прикрепите к сообщению.

Во вложении

 

 

Пи.ЭС.

AnVir Task Manager при распаковки Malwarebytes удалил файл MBSetup.exe. Отключил AnVir/ распоковал MB.

scan_240118_1440.txt

[Sandor 1 280]

1 минуту назад, N0BuKoB сказал:

AnVir Task Manager при распаковки Malwarebytes удалил файл MBSetup.exe.

Да, вероятно у него ложное срабатывание.

 

Удалять, как понимаете, ничего не нужно.

 

Если проблема решена, завершающие шаги:

 

1. Деинсталлируйте Malwarebytes.

 

2.

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.
  

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

3.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[N0BuKoB 0]

1,2,3 Выполнено.

Файл вложил.

 

Что в итоге было то?

Пока проблемы не проявлялись. Но и браузер не запускал. Только в защите от касперского для форума.

 

В связи со всем выше. Чем просканировать внешние диски?

 

SecurityCheck.txt

[Sandor 1 280]

Исправьте по возможности:

 

Microsoft SQL Server 2012 Native Client  v.11.0.2100.60 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2008 Setup Support Files  v.10.3.5500.0 Данная программа больше не поддерживается разработчиком.
NVIDIA GeForce Experience 3.13.1.30 v.3.13.1.30 Внимание! Скачать обновления
Microsoft SQL Server 2008 Native Client v.10.0.1600.22 Данная программа больше не поддерживается разработчиком.
Total Commander 64-bit (Remove or Repair) v.11.00 Внимание! Скачать обновления
Zoom v.5.1.28642 Внимание! Скачать обновления
iTunes v.12.12.10.1 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
Adobe Acrobat DC v.15.023.20056 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Google Chrome v.119.0.6045.200 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
 

 

4 минуты назад, N0BuKoB сказал:

Что в итоге было то?

Немного т.н. адвари (от англ. adware) и малый объём свободного места на системном диске.

 

Читайте Рекомендации после удаления вредоносного ПО

[N0BuKoB 0]

Del! Microsoft SQL Server 2012 Native Client  v.11.0.2100.60 Данная программа больше не поддерживается разработчиком.
Del! Microsoft SQL Server 2008 Setup Support Files  v.10.3.5500.0 Данная программа больше не поддерживается разработчиком.
Updete! NVIDIA GeForce Experience 3.13.1.30 v.3.13.1.30 Внимание! Скачать обновления
Del! Microsoft SQL Server 2008 Native Client v.10.0.1600.22 Данная программа больше не поддерживается разработчиком.
Update!  Total Commander 64-bit (Remove or Repair) v.11.00 Внимание! Скачать обновления
Del! Zoom v.5.1.28642 Внимание! Скачать обновления
Update! iTunes v.12.12.10.1 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
Снова установлися bonjorno

Error udate! Adobe Acrobat DC v.15.023.20056 Внимание! Скачать обновления /сломанная версия
^Проверьте обновления через меню Справка - Проверить обновления!^
Update! Google Chrome v.119.0.6045.200 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

 

Пи.Эс.

59 минут назад, N0BuKoB сказал:

В связи со всем выше. Чем просканировать внешние диски?

 

SecurityCheck_240118_1604.txt

[Sandor 1 280]

Только что, N0BuKoB сказал:

Снова установлися bonjorno

Снова его удалите. На системах Windows он не нужен.

 

1 минуту назад, N0BuKoB сказал:

Чем просканировать внешние диски?

У вас в системе установлен Kaspersky, им и просканируйте. Этого вполне достаточно.

[N0BuKoB 0]

Благодарю. Тему закрываем