Подозрение на майнер.

[ванькаветер]

Подозрение на майнер. Вентилятор включается на видекарте в ноутбуке на несколько минут. Температура видеокарты 51 градус, хотя я включал в msi ценре турбообдув температура падает до38 градусов ротом опять поднимается. Загрузка gpu прыгает до 20%. В основном до 5%. Подозрительно. Возможно планировщик или драйвера nvidia шалят. Все драйвера обновлены в данный момент с помощью SDI программы.

CollectionLog-2024.11.25-13.39.zip

[Sandor]

Здравствуйте!

 

Явных признаков заражения пока не видно.

 

Деинсталлируйте нежелательное ПО:

Цитата

 

Bonjour

SUPERAntiSpyware

Кнопки сервисов Яндекса на панели задач

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

[ванькаветер]

Addition.txt FRST.txt

[Sandor]

Вы вероятно прочитали моё сообщение по диагонали, верно?

Перечисленные первым пунктом программы по прежнему в списке установленных.

Удалите, перезагрузите компьютер и соберите ещё раз последние логи.

[ванькаветер]

FRST.txt

Addition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  RemoveProxy:
  HKU\S-1-5-21-2870071229-1114973445-2035530390-1001\...\MountPoints2: {1d346bc0-12d9-11ed-9c9f-d8bbc1ae0582} - "F:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2870071229-1114973445-2035530390-1001\...\MountPoints2: {1dd90e0f-12f1-11ed-9ca0-d8bbc1ae0582} - "F:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2870071229-1114973445-2035530390-1001\...\MountPoints2: {45b6712e-b3d8-11ec-9bfd-d8bbc1ae0582} - "F:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2870071229-1114973445-2035530390-1001\...\MountPoints2: {85c687d1-7580-11ee-9fd6-f4267941e598} - "F:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2870071229-1114973445-2035530390-1001\...\MountPoints2: {85c687e4-7580-11ee-9fd6-f4267941e598} - "F:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2870071229-1114973445-2035530390-1001\...\MountPoints2: {8da7b111-be3c-11ec-9c09-d8bbc1ae0582} - "F:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2870071229-1114973445-2035530390-1001\...\MountPoints2: {a0f68c8c-af96-11ee-a052-d8bbc1ae0582} - "F:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2870071229-1114973445-2035530390-1001\...\MountPoints2: {a7b24cd5-397d-11ed-9d04-d8bbc1ae0582} - "F:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2870071229-1114973445-2035530390-1001\...\MountPoints2: {d59b5461-52ce-11ee-9f85-f4267941e598} - "F:\HonorSuiteOnlineInstaller.exe" 
  HKU\S-1-5-21-2870071229-1114973445-2035530390-1001\...\MountPoints2: {e2d72919-171f-11ed-9ca7-d8bbc1ae0582} - "F:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2870071229-1114973445-2035530390-1001\...\MountPoints2: {f00f3ae6-0439-11ed-9c7e-d8bbc1ae0582} - "F:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2870071229-1114973445-2035530390-1001\...\MountPoints2: {f4031712-e752-11ed-9e9c-f4267941e598} - "F:\HiSuiteDownLoader.exe" 
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  GroupPolicy\User: Ограничение - Edge <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  AutoConfigURL: [{2915FE0D-A502-4C10-9B68-AA74DF316EE3}] => hxxp://127.0.0.1:1080/pac?hash=aP9esBdy1Q_7XzF69LAkKQ2&secret=mhSsyTFheX9kBmwK86OQmJc87gaT7PcckyCt8z2QcWI1 <==== ВНИМАНИЕ
  AutoConfigURL: [{3FAB7CBC-46BD-4EBF-B60C-501CAA769711}] => hxxp://127.0.0.1:1080/pac?hash=aP9esBdy1Q_7XzF69LAkKQ2&secret=TeKTvciI9ie3KQvlE5XZb-7VYU2XZycAg8cC339pLbA1 <==== ВНИМАНИЕ
  AutoConfigURL: [{6887FC90-BA09-4A41-9C06-C9065E835F5F}] => hxxp://127.0.0.1:1080/pac?hash=aP9esBdy1Q_7XzF69LAkKQ2&secret=ivynbprX-zXCyrT-YEfRftIxF6n0i0EzxeBNDPsfFTY1 <==== ВНИМАНИЕ
  AutoConfigURL: [{6D00875C-4DFB-4849-A1D3-5F8B8F9FF4ED}] => hxxp://127.0.0.1:1080/pac?hash=aP9esBdy1Q_7XzF69LAkKQ2&secret=92s-gQl4ULwUnwKKDokJjyEnLu_GvFCaVVvy_VFE4wQ1 <==== ВНИМАНИЕ
  AutoConfigURL: [{88CD4790-00BD-4B02-91EB-2F270C0DA6C2}] => hxxp://127.0.0.1:1080/pac?hash=aP9esBdy1Q_7XzF69LAkKQ2&secret=aS9qlOrHrvC-7y6yjtKyWW91_Vy96B8vMF5WA874zmo1 <==== ВНИМАНИЕ
  AutoConfigURL: [{8B9077FB-BB15-44A7-808A-B02D521CC137}] => hxxp://127.0.0.1:1080/pac?hash=aP9esBdy1Q_7XzF69LAkKQ2&secret=7t6clZpWZRGXi0VHNPN3C_EWIbaYaMDIm1_AtBcpWjw1 <==== ВНИМАНИЕ
  AutoConfigURL: [{B5D42EBE-E33D-49E8-A620-28E7FA1AA2D3}] => hxxp://127.0.0.1:1080/pac?hash=aP9esBdy1Q_7XzF69LAkKQ2&secret=xG6j6ijDmozKE_HHHkegFBGJ9-xV0wM8qDYDJWFcrb81 <==== ВНИМАНИЕ
  AutoConfigURL: [{F4DD1991-7761-40DB-89F0-22B892956751}] => hxxp://127.0.0.1:1080/pac?hash=aP9esBdy1Q_7XzF69LAkKQ2&secret=92s-gQl4ULwUnwKKDokJjyEnLu_GvFCaVVvy_VFE4wQ1 <==== ВНИМАНИЕ
  FF NetworkProxy: Mozilla\Firefox\Profiles\cqf6s55a.default-release -> socks", "127.0.0.1"
  CHR HKU\S-1-5-21-2870071229-1114973445-2035530390-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
  S3 HWiNFO_191; \??\C:\Users\Private\AppData\Local\Temp\HWiNFO64A_191.SYS [X] <==== ВНИМАНИЕ
  AlternateDataStreams: C:\WINDOWS\tracing:? [16]
  AlternateDataStreams: C:\ProgramData\TEMP:4FB9487F [414]
  AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [314]
  FirewallRules: [{0980BA01-7DBB-4ACD-B6DA-23C38FB9D393}] => (Allow) c:\program files\bonjour\mdnsresponder.exe => Нет файла
  FirewallRules: [{49FE7DDE-8514-4C26-8E4B-C4E746FC2CC6}] => (Allow) c:\program files\bonjour\mdnsresponder.exe => Нет файла
  FirewallRules: [{150D914E-26E0-4203-9A78-25020F198B46}] => (Allow) c:\users\private\appdata\local\temp\q1d9l2z7.tmp\smvpatch.exe => Нет файла
  FirewallRules: [{2CC13D74-FDDD-4C81-A572-4D8B29D39F8B}] => (Allow) c:\users\private\appdata\local\temp\q1d9l2z7.tmp\smvpatch.exe => Нет файла
  FirewallRules: [{F55A4BEB-D64E-4C6A-B41F-46A98FFEFD2A}] => (Allow) c:\users\private\appdata\local\temp\ir_ext_temp_0\autorun.exe => Нет файла
  FirewallRules: [{AED968B3-9D4D-4566-B279-4F04EEF05E18}] => (Allow) c:\users\private\appdata\local\temp\ir_ext_temp_0\autorun.exe => Нет файла
  FirewallRules: [{E0C33CD8-6D7D-444F-BA33-CFE6177D530B}] => (Allow) c:\users\private\appdata\local\temp\ey1nuokv.xdf\dashboardinstaller.exe => Нет файла
  FirewallRules: [{EC46EC1C-206A-4209-BBBC-C8B705FD0DBD}] => (Allow) c:\users\private\appdata\local\temp\ey1nuokv.xdf\dashboardinstaller.exe => Нет файла
  FirewallRules: [{8C45615F-378D-401C-B783-333D5C7FA56F}] => (Allow) c:\users\private\appdata\local\temp\d0kpphbx.ou3\dashboardinstaller.exe => Нет файла
  FirewallRules: [{EC5C27F0-BF2B-466F-A760-01A6504064DD}] => (Allow) c:\users\private\appdata\local\temp\d0kpphbx.ou3\dashboardinstaller.exe => Нет файла
  FirewallRules: [{AC1A64A0-4517-4A2B-A211-F55EFB7D85CE}] => (Allow) c:\users\private\appdata\local\temp\vwsjzzvb.vel\dashboardinstaller.exe => Нет файла
  FirewallRules: [{28E75D79-E78B-4A30-9F04-28BD2F7B5FA8}] => (Allow) c:\users\private\appdata\local\temp\vwsjzzvb.vel\dashboardinstaller.exe => Нет файла
  FirewallRules: [{5F579ABC-EDD4-4B56-96BE-CF8A9061E7C9}] => (Allow) c:\users\private\appdata\local\temp\1jdvz00z.m0m\dashboardinstaller.exe => Нет файла
  FirewallRules: [{C5C16908-97E8-4112-AFE6-7EC9C9977393}] => (Allow) c:\users\private\appdata\local\temp\1jdvz00z.m0m\dashboardinstaller.exe => Нет файла
  FirewallRules: [{6F0A5B6C-C610-4AF9-AC92-EFBB72BCFC04}] => (Allow) c:\users\private\appdata\local\temp\flynwxpr.yzi\dashboardinstaller.exe => Нет файла
  FirewallRules: [{C7183B50-AC5B-45C7-BFD7-65EFA51F05A3}] => (Allow) c:\users\private\appdata\local\temp\flynwxpr.yzi\dashboardinstaller.exe => Нет файла
  FirewallRules: [{1B6217A1-E9ED-448B-9EDC-0C1A2975EF7D}] => (Allow) c:\users\private\appdata\local\temp\pfuuwprj.ppp\dashboardinstaller.exe => Нет файла
  FirewallRules: [{8D7EAF99-198A-409B-B1EB-A0BF03B1D48B}] => (Allow) c:\users\private\appdata\local\temp\pfuuwprj.ppp\dashboardinstaller.exe => Нет файла
  FirewallRules: [{948E004A-2203-4B85-B74E-D260C59A87E0}] => (Allow) LPort=57209
  FirewallRules: [{6545ED89-F65D-4FB5-8DC2-AE4F0C50FED2}] => (Allow) LPort=57210
  FirewallRules: [{161949A7-7F32-4916-9871-47F2F0F3EFA9}] => (Allow) LPort=57211
  FirewallRules: [{24A8D3AE-6A42-4C49-8E47-AECB91BB780C}] => (Allow) LPort=57212
  FirewallRules: [{DDB08CD9-B996-428F-85B4-D8CAE20CA346}] => (Allow) LPort=57213
  FirewallRules: [{DE973AD1-0ED3-4B47-89BD-52C7FA5E5071}] => (Allow) LPort=57214
  FirewallRules: [{D1F0349B-5955-43F2-B96C-E58D4F58634F}] => (Allow) c:\users\private\appdata\local\temp\is-71mti.tmp\recoverit_64bit_full9398.tmp => Нет файла
  FirewallRules: [{88CCBCD4-0AC4-4FD2-982B-CB122EA36666}] => (Allow) LPort=57215
  FirewallRules: [{4F3BBA70-75B2-4C29-AB62-1E8C6C552563}] => (Allow) c:\users\private\appdata\local\temp\is-71mti.tmp\recoverit_64bit_full9398.tmp => Нет файла
  FirewallRules: [{BE323685-8560-43A9-B59F-2E3E83510095}] => (Allow) LPort=57216
  FirewallRules: [{398C816A-C458-4489-94DA-587D896C127B}] => (Allow) LPort=57217
  FirewallRules: [{21180301-F182-4050-93D4-A54EAF9070B0}] => (Allow) LPort=57218
  FirewallRules: [{C00C3884-E05C-4CDE-8C05-49ABD21740ED}] => (Allow) LPort=57209
  FirewallRules: [{05B5B8CA-EA1E-4349-8DFD-980529C67A6E}] => (Allow) LPort=57210
  FirewallRules: [{DFF68199-36CE-4D44-A6A2-82DB016D8730}] => (Allow) LPort=57211
  FirewallRules: [{C0FAFE0A-74EF-4B2F-86B2-3D6F44FDF5F4}] => (Allow) LPort=57212
  FirewallRules: [{18B2BC37-D1E9-46B8-AC6B-6151D2A5922A}] => (Allow) LPort=57213
  FirewallRules: [{8D492FB5-940C-426C-A2CE-0ACB4B5E3D1B}] => (Allow) LPort=57214
  FirewallRules: [{B5BC04C3-535E-481D-86D1-AD3399460E5D}] => (Allow) LPort=57215
  FirewallRules: [{B3B846D2-FF07-41BA-BAEC-D3056AD87356}] => (Allow) LPort=57216
  FirewallRules: [{CC226403-8682-4F23-A1D6-227EB7B67108}] => (Allow) LPort=57217
  FirewallRules: [{62E4269C-AB9E-447D-A9EF-72B7E1B438A4}] => (Allow) LPort=57218
  FirewallRules: [{38B53A1A-DE51-4D1E-8110-B3FF7E04B9EE}] => (Allow) LPort=23007
  FirewallRules: [{D2A9B30A-7C3F-47BB-9FB3-AC6A54DA801C}] => (Allow) LPort=23008
  FirewallRules: [{44E4317F-992A-43DA-A3D7-BE1C91A9BA72}] => (Allow) LPort=33009
  FirewallRules: [{7BDF907F-42D9-4EE6-8AAE-142334BD3C4F}] => (Allow) LPort=33010
  FirewallRules: [{E4A00562-07C5-4690-9D0F-710D5CCCF392}] => (Allow) LPort=33011
  FirewallRules: [{169429A6-3B98-4047-8EA4-B022FAFB03A0}] => (Allow) LPort=43012
  FirewallRules: [{E7525504-42FB-4C71-8CE1-F6A4049ACC06}] => (Allow) LPort=43013
  FirewallRules: [{A7DA761A-A3DC-4B0D-816F-D73C1C1DD25A}] => (Allow) LPort=53014
  FirewallRules: [{5AF2BCF6-F0D5-4844-8984-EB81A71AF34B}] => (Allow) LPort=53015
  FirewallRules: [{90ABA654-3790-48B4-8A1F-ECBB2645A5BC}] => (Allow) LPort=53016
  FirewallRules: [{D2D42744-2AFC-42DD-B7F4-84071625C543}] => (Allow) LPort=23007
  FirewallRules: [{2F5BA1DA-1284-40C9-9F8F-BEB8250138DE}] => (Allow) LPort=23008
  FirewallRules: [{50948D36-AC26-4E08-9152-DF077E14237E}] => (Allow) LPort=33009
  FirewallRules: [{A02D7EBE-D1CA-43D9-A929-92097533494B}] => (Allow) LPort=33010
  FirewallRules: [{40F2B406-94B1-4EAF-8E8D-D9F6FE1B4295}] => (Allow) LPort=33011
  FirewallRules: [{82E52D08-CC91-416B-B7EA-B54454AEDCEE}] => (Allow) LPort=43012
  FirewallRules: [{7A645DB1-FA16-434B-AB11-21EEBCFD4FF6}] => (Allow) LPort=43013
  FirewallRules: [{B896A5BF-C70D-4BA8-9C61-195F5CCB68B6}] => (Allow) LPort=53014
  FirewallRules: [{0201E3A0-318D-46DE-A93B-4A978B899B0A}] => (Allow) LPort=53015
  FirewallRules: [{5A7564AB-A522-4D47-9613-CDF87D68DA6D}] => (Allow) LPort=53016
  FirewallRules: [{CA33631E-C28C-4200-93DF-2D67BE846057}] => (Allow) LPort=50053
  FirewallRules: [{F5595026-85C6-42FE-A7F1-A1D7FA56951A}] => (Allow) LPort=50053
  FirewallRules: [{45F2B430-6985-47A7-A93F-622963650294}] => (Allow) c:\users\private\appdata\local\temp\is-21862390.tmp\installer.exe => Нет файла
  FirewallRules: [{DF10C9EA-1386-4B3F-B00C-7507CBBF9D9A}] => (Allow) c:\users\private\appdata\local\temp\is-21862390.tmp\installer.exe => Нет файла
  FirewallRules: [{A028A730-AF8C-46C9-B83C-DBA9FBA7A433}] => (Allow) LPort=32683
  FirewallRules: [{BCAE181E-2D6A-407C-AFC0-CDA796F8C067}] => (Allow) LPort=33683
  FirewallRules: [{F074F341-1385-4309-A041-F1C76B84ED02}] => (Allow) LPort=26822
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[ванькаветер]

Fixlog.txt

[Sandor]

Копировать код нужно было до последней команды End::

Но в целом, скрипт выполнился успешно. Что из подозрений сейчас осталось?

[ванькаветер]

Спасибо за помощь!!! Пока из подозрений ничего нет. Буду наблюдать дальше.

[Sandor]

Проделайте завершающие шаги, а тему некоторое время не будем закрывать:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[ванькаветер]

SecurityCheck.txt

[Sandor]

Исправьте по возможности:

 

Notepad++ (64-bit x64) v.8.2.1 Внимание! Скачать обновления
TeamViewer v.15.35.5 Внимание! Скачать обновления
Oracle VM VirtualBox 7.0.6 v.7.0.6 Внимание! Скачать обновления
Wireshark 4.0.10 64-bit v.4.0.10 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33130 v.14.38.33130.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
OpenOffice 4.1.11 v.4.111.9808 Внимание! Скачать обновления
Microsoft OneDrive v.24.211.1020.0001 Внимание! Скачать обновления
WinRAR 6.10 beta 3 (64-bit) v.6.10.3 Внимание! Скачать обновления
Telegram Desktop v.5.5.5 Внимание! Скачать обновления
OpenVPN 2.5.7-I602 amd64 v.2.5.036 Внимание! Скачать обновления
µTorrent v.3.6.0.47168 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent Web v.1.2.7 Внимание! Клиент сети P2P с рекламным модулем!.
K-Lite Codec Pack 17.1.0 Standard v.17.1.0 Внимание! Скачать обновления
Mozilla Firefox (x64 ru) v.112.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
 

Читайте Рекомендации после удаления вредоносного ПО

[Sandor]

@ванькаветер - как обстановка? Тему закрываем?