95ych0 0 Опубликовано 24 января Share Опубликовано 24 января Давно обнаружил Майнер у себя на ПК. Никак его не могу найти или удалить, пробовал все программы, доктор веб тоже не помог. Мне кажется он был в Euro Truck Simulator 2 от 7launcher, так как после него я заметил такие изменения в моем аппарате. Может, ещё от GTA 4, точно не знаю. ГТА весила около 15гб, а ЕТС2 20гб, поэтому высока вероятность что в кучке всего этого мог быть майнер. Ссылка на сообщение Поделиться на другие сайты
safety 125 Опубликовано 24 января Share Опубликовано 24 января Сделайте необходимые логи по правилам. Ссылка на сообщение Поделиться на другие сайты
95ych0 0 Опубликовано 24 января Автор Share Опубликовано 24 января CollectionLog-2024.01.24-16.57.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 298 Опубликовано 24 января Share Опубликовано 24 января Здравствуйте! Явных признаков заражения пока не видно. В перечне установленных программ у вас есть Autoruns, версия 14.0.9 Насколько мне известно, все утилиты Sysinternals являются портативными и в систему не устанавливаются. Деинсталлируйте вместе с MediaGet - нежелательное ПО. Дополнительно: Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. + Файл Check_Browser_Lnk.log из папки ...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
95ych0 0 Опубликовано 24 января Автор Share Опубликовано 24 января AdwCleaner[S01].txt 2 часа назад, Sandor сказал: Явных признаков заражения пока не видно.. Майнер на то и майнер, чтобы быть скрытным. Резко захожу в дисп. задач, нагрзука с 40 падает на 2-5. Раньше нормально во все игры играл, теперь же ноут перегревается и выключается когда играю. Началось это все после осени 2022 где-то, я нормально играл в Гта Сан-Андрес, с максимальным разрешением и графикой, все тянуло, 60 фпс. Теперь же тчнет в 60 фпс только 800х640 разрешение и мин. настройки графики, хватает на 5 минут, после чего вырубается. Ни в одну игру не могу нормально поиграть, но железо тянет их. Ссылка на сообщение Поделиться на другие сайты
safety 125 Опубликовано 24 января Share Опубликовано 24 января подготовьте, пожалуйста, дополнительные логи: Quote Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool. + образ автозапуска в uVS Добавьте образ автозапуска системы в uVS. 1. Скачать архив программы можно отсюда: 2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe (для Vista, W7, W8, W10, W11 запускаем с правами администратора) 3. В стартовом окне программы - нажмите "запустить под текущим пользователем" (если текущий пользователь с правами администратора). 4. Далее, меню "Файл" / Сохранить Полный образ автозапуска. 5. дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar. 6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ. Ссылка на сообщение Поделиться на другие сайты
95ych0 0 Опубликовано 25 января Автор Share Опубликовано 25 января Addition.txt FRST.txt DESKTOP-0C50NLU_2024-01-25_06-30-32_v4.15.1.7z Ссылка на сообщение Поделиться на другие сайты
safety 125 Опубликовано 25 января Share Опубликовано 25 января Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и перезагрузит ее. Скрипт ниже: ;uVS v4.15.1 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE hide %SystemDrive%\USERS\KATE\APPDATA\LOCAL\KINGOSOFT\KINGO ROOT\UPDATE_27205\BIN\CHECKUPDATE.EXE hide %SystemDrive%\USERS\KATE\APPDATA\ROAMING\.TLAUNCHER\JVMS\JRE1.8.0_281\BIN\JFXWEBKIT.DLL ;------------------------autoscript--------------------------- delref %SystemDrive%\USERS\KATE\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEGNOPEGBBHJEEIGANIAJFFNALHLKKJB%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKBPNBONNHILFDIHHODNFLCPLAJKLIBBC%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\PROGRAM FILES (X86)\BF2HUB CLIENT\BF2HUB.EXE delref %SystemDrive%\USERS\KATE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.50.1_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН delref %SystemDrive%\USERS\KATE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.50.1_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН delref %SystemDrive%\USERS\KATE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 3\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.50.1_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН delref %SystemDrive%\USERS\NIKITA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.66.0_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН delref E:\HISUITEDOWNLOADER.EXE delref F:\HISUITEDOWNLOADER.EXE delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGBJEIEKAHKLBGBFCCOHIPINHGAADIJAD%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\PROGRAM FILES (X86)\UFILER\UFILER.EXE delref %SystemDrive%\USERS\KATE\APPDATA\LOCAL\PROGRAMS\OPERA\ASSISTANT\BROWSER_ASSISTANT.EXE delref %SystemDrive%\USERS\KATE\APPDATA\LOCAL\PROGRAMS\COM.BROTORRENT.TORRENT-CLIENT\BROTORRENT - TORRENT CLIENT.EXE delref %SystemDrive%\PROGRAM FILES (X86)\OVERWOLF\OVERWOLFLAUNCHER.EXE apply deltmp delref %SystemDrive%\PROGRAM FILES (X86)\ITOP VPN\ITOPVPN.EXE delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID] delref %SystemDrive%\PROGRAM FILES\MEDIATEK\SP DRIVER\SPDRIVERINSTALL delref %Sys32%\DRIVERS\VMBUSR.SYS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2105.5-0\DRIVERS\WDNISDRV.SYS delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %Sys32%\BLANK.HTM delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\DEFINITION UPDATES\{F69A6964-422D-4AA4-ABA9-8EDE2C249AE5}\MPKSLDRV.SYS delref %SystemDrive%\USERS\KATE\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\PLANETVPN\PLANETVPN.EXE delref %SystemDrive%\USERS\NIKITA\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\STANDALONEUPDATER\ONEDRIVESETUP.EXE delref %SystemDrive%\USERS\KATE\APPDATA\LOCAL\ROBLOX\VERSIONS\VERSION-2CB276529B1D45B0\ROBLOXPLAYERBETA.EXE delref %SystemDrive%\USERS\KATE\APPDATA\LOCAL\ROBLOX\VERSIONS\ROBLOXSTUDIOLAUNCHERBETA.EXE delref %SystemDrive%\GAMES\COUNTER STRIKE 1.6\HL.EXE delref %SystemDrive%\USERS\KATE\DESKTOP\HUMAN FALL FLAT\STEAMCLIENT_LOADER.EXE delref %SystemDrive%\USERS\KATE\APPDATA\LOCAL\TEAMSPEAK 3 CLIENT\TS3CLIENT_WIN32.EXE delref %SystemDrive%\USERS\KATE\APPDATA\LOCAL\PROGRAMS\АРХИВАТОР РАР\ARCHRAR.EXE delref %SystemDrive%\PROGRAM FILES\BLACKMAGIC DESIGN\DAVINCI RESOLVE\RESOLVE.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GRAND THEFT AUTO IV\MODMANAGER UNINSTALLERS\UNINSTALL-[MODS]-148050-ATAYS-EUPHORIA-RAGDOLL-OVERHAUL-GTA-4.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GRAND THEFT AUTO IV\MODMANAGER UNINSTALLERS\UNINSTALL-[PROGRAMS]-161098-ZOLIKA1351S-TRAINER-MOD-MENU.EXE delref %SystemDrive%\PROGRAM FILES\FONELAB\FONELAB ANDROID DATA RECOVERY\FONELAB ANDROID DATA RECOVERY.EXE delref %SystemDrive%\GAMES\THE LONG DRIVE V06.04.2023\THELONGDRIVE.EXE ;------------------------------------------------------------- restart После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, есть ли какие то симптомы работы майнера. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 298 Опубликовано 25 января Share Опубликовано 25 января + Файл AdwCleaner[C00].txt тоже прикрепите, пожалуйста. Ссылка на сообщение Поделиться на другие сайты
95ych0 0 Опубликовано 25 января Автор Share Опубликовано 25 января AdwCleaner[C00].txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 298 Опубликовано 25 января Share Опубликовано 25 января Скачайте AV block remover (или с зеркала). Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем. Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads). В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новые логи FRST.txt и Addition.txt Не забудьте 57 минут назад, safety сказал: добавьте файл Дата_времяlog.txt из папки uVS Ссылка на сообщение Поделиться на другие сайты
95ych0 0 Опубликовано 25 января Автор Share Опубликовано 25 января 2024-01-25_09-58-48_log.txt AV_block_remove_2024.01.25-10.08.log Новые логи. FRST.txt Addition.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 298 Опубликовано 25 января Share Опубликовано 25 января Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ CHR DefaultSearchKeyword: Default -> mcafee C:\Users\kate\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb C:\Users\kate\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb CHR DefaultSearchURL: Profile 3 -> hxxp://extension-search.online/?q={searchTerms} CHR DefaultSuggestURL: Profile 3 -> hxxp://extension-search.online/suggest/get?part={searchTerms} C:\Users\kate\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb 2023-09-23 14:11 C:\ProgramData\ReaItekHD 2023-09-23 14:11 C:\ProgramData\System32 2023-09-23 14:11 C:\ProgramData\Windows Tasks Service 2023-09-23 14:11 C:\ProgramData\WindowsTask AlternateDataStreams: C:\ProgramData:NT [40] AlternateDataStreams: C:\ProgramData:NT2 [173] AlternateDataStreams: C:\Users\Все пользователи:NT [40] AlternateDataStreams: C:\Users\Все пользователи:NT2 [173] AlternateDataStreams: C:\Users\kate\Application Data:NT [40] AlternateDataStreams: C:\Users\kate\Application Data:NT2 [173] AlternateDataStreams: C:\Users\kate\AppData\Roaming:NT [40] AlternateDataStreams: C:\Users\kate\AppData\Roaming:NT2 [173] AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [64] AlternateDataStreams: C:\ProgramData\Application Data:NT [40] AlternateDataStreams: C:\ProgramData\Application Data:NT2 [173] AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40] AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [173] FirewallRules: [TCP Query User{D6E03375-954B-44DE-98B7-C5DDBD6E5C93}C:\program files (x86)\ufiler\ufiler.exe] => (Allow) C:\program files (x86)\ufiler\ufiler.exe => Нет файла FirewallRules: [UDP Query User{EC36450F-F012-472B-97A9-F0CA1CA48562}C:\program files (x86)\ufiler\ufiler.exe] => (Allow) C:\program files (x86)\ufiler\ufiler.exe => Нет файла FirewallRules: [{130257E7-12A4-42E4-BDC1-F9C1844946C2}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла FirewallRules: [{DD0CCE47-6C44-4BFD-8B74-2ED64C1D4EBB}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла FirewallRules: [{5A93F202-0EC9-4595-B619-0E3291412BA2}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe => Нет файла FirewallRules: [{B3BF8285-572F-495A-B4A0-45FE910EBC18}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe => Нет файла FirewallRules: [{5A1E7E5A-727B-4DFA-98FE-4FBA74A1669C}] => (Allow) C:\Users\kate\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла FirewallRules: [{D48F8842-9807-4A7F-BD62-5CFE65BA7876}] => (Allow) C:\Users\kate\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла FirewallRules: [{790A1CE3-98DF-401D-8348-7577FB9BFEFA}] => (Allow) C:\Users\kate\MediaGet2\mediaget.exe => Нет файла FirewallRules: [{07CB0AB2-D95E-4CDF-AB82-1CD0E0467F4D}] => (Allow) C:\Users\kate\MediaGet2\mediaget.exe => Нет файла FirewallRules: [{07FC60C1-BCEE-483F-990D-300021349F67}] => (Allow) C:\Users\kate\MediaGet2\QtWebEngineProcess.exe => Нет файла FirewallRules: [{C544C8D4-57C6-488A-B690-4ABF218E2234}] => (Allow) C:\Users\kate\MediaGet2\QtWebEngineProcess.exe => Нет файла EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
95ych0 0 Опубликовано 25 января Автор Share Опубликовано 25 января Я так и не понял как это делать. Просто нажать исправить или скрипт а блокноте вводить? Ссылка на сообщение Поделиться на другие сайты
Sandor 1 298 Опубликовано 25 января Share Опубликовано 25 января Сначала выделить и скопировать. Скрипт будет выполнен прямо из буфера обмена. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти