Перейти к содержанию
Правила раздела

Подозрение на майнер.

ванькаветер

От ванькаветер
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

ванькаветер Новичок

ванькаветер

Опубликовано
Опубликовано

Подозрение на майнер. Вентилятор включается на видекарте в ноутбуке на несколько минут. Температура видеокарты 51 градус, хотя я включал в msi ценре турбообдув температура падает до38 градусов ротом опять поднимается. Загрузка gpu прыгает до 20%. В основном до 5%. Подозрительно. Возможно планировщик или драйвера nvidia шалят. Все драйвера обновлены в данный момент с помощью SDI программы.

CollectionLog-2024.11.25-13.39.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Явных признаков заражения пока не видно.

 

Деинсталлируйте нежелательное ПО:

Цитата

 

Bonjour

SUPERAntiSpyware

Кнопки сервисов Яндекса на панели задач

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Вы вероятно прочитали моё сообщение по диагонали, верно? :)

Перечисленные первым пунктом программы по прежнему в списке установленных.

Удалите, перезагрузите компьютер и соберите ещё раз последние логи.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
RemoveProxy:
HKU\S-1-5-21-2870071229-1114973445-2035530390-1001\...\MountPoints2: {1d346bc0-12d9-11ed-9c9f-d8bbc1ae0582} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-2870071229-1114973445-2035530390-1001\...\MountPoints2: {1dd90e0f-12f1-11ed-9ca0-d8bbc1ae0582} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-2870071229-1114973445-2035530390-1001\...\MountPoints2: {45b6712e-b3d8-11ec-9bfd-d8bbc1ae0582} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-2870071229-1114973445-2035530390-1001\...\MountPoints2: {85c687d1-7580-11ee-9fd6-f4267941e598} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-2870071229-1114973445-2035530390-1001\...\MountPoints2: {85c687e4-7580-11ee-9fd6-f4267941e598} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-2870071229-1114973445-2035530390-1001\...\MountPoints2: {8da7b111-be3c-11ec-9c09-d8bbc1ae0582} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-2870071229-1114973445-2035530390-1001\...\MountPoints2: {a0f68c8c-af96-11ee-a052-d8bbc1ae0582} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-2870071229-1114973445-2035530390-1001\...\MountPoints2: {a7b24cd5-397d-11ed-9d04-d8bbc1ae0582} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-2870071229-1114973445-2035530390-1001\...\MountPoints2: {d59b5461-52ce-11ee-9f85-f4267941e598} - "F:\HonorSuiteOnlineInstaller.exe" 
HKU\S-1-5-21-2870071229-1114973445-2035530390-1001\...\MountPoints2: {e2d72919-171f-11ed-9ca7-d8bbc1ae0582} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-2870071229-1114973445-2035530390-1001\...\MountPoints2: {f00f3ae6-0439-11ed-9c7e-d8bbc1ae0582} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-2870071229-1114973445-2035530390-1001\...\MountPoints2: {f4031712-e752-11ed-9e9c-f4267941e598} - "F:\HiSuiteDownLoader.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение - Edge <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
AutoConfigURL: [{2915FE0D-A502-4C10-9B68-AA74DF316EE3}] => hxxp://127.0.0.1:1080/pac?hash=aP9esBdy1Q_7XzF69LAkKQ2&secret=mhSsyTFheX9kBmwK86OQmJc87gaT7PcckyCt8z2QcWI1 <==== ВНИМАНИЕ
AutoConfigURL: [{3FAB7CBC-46BD-4EBF-B60C-501CAA769711}] => hxxp://127.0.0.1:1080/pac?hash=aP9esBdy1Q_7XzF69LAkKQ2&secret=TeKTvciI9ie3KQvlE5XZb-7VYU2XZycAg8cC339pLbA1 <==== ВНИМАНИЕ
AutoConfigURL: [{6887FC90-BA09-4A41-9C06-C9065E835F5F}] => hxxp://127.0.0.1:1080/pac?hash=aP9esBdy1Q_7XzF69LAkKQ2&secret=ivynbprX-zXCyrT-YEfRftIxF6n0i0EzxeBNDPsfFTY1 <==== ВНИМАНИЕ
AutoConfigURL: [{6D00875C-4DFB-4849-A1D3-5F8B8F9FF4ED}] => hxxp://127.0.0.1:1080/pac?hash=aP9esBdy1Q_7XzF69LAkKQ2&secret=92s-gQl4ULwUnwKKDokJjyEnLu_GvFCaVVvy_VFE4wQ1 <==== ВНИМАНИЕ
AutoConfigURL: [{88CD4790-00BD-4B02-91EB-2F270C0DA6C2}] => hxxp://127.0.0.1:1080/pac?hash=aP9esBdy1Q_7XzF69LAkKQ2&secret=aS9qlOrHrvC-7y6yjtKyWW91_Vy96B8vMF5WA874zmo1 <==== ВНИМАНИЕ
AutoConfigURL: [{8B9077FB-BB15-44A7-808A-B02D521CC137}] => hxxp://127.0.0.1:1080/pac?hash=aP9esBdy1Q_7XzF69LAkKQ2&secret=7t6clZpWZRGXi0VHNPN3C_EWIbaYaMDIm1_AtBcpWjw1 <==== ВНИМАНИЕ
AutoConfigURL: [{B5D42EBE-E33D-49E8-A620-28E7FA1AA2D3}] => hxxp://127.0.0.1:1080/pac?hash=aP9esBdy1Q_7XzF69LAkKQ2&secret=xG6j6ijDmozKE_HHHkegFBGJ9-xV0wM8qDYDJWFcrb81 <==== ВНИМАНИЕ
AutoConfigURL: [{F4DD1991-7761-40DB-89F0-22B892956751}] => hxxp://127.0.0.1:1080/pac?hash=aP9esBdy1Q_7XzF69LAkKQ2&secret=92s-gQl4ULwUnwKKDokJjyEnLu_GvFCaVVvy_VFE4wQ1 <==== ВНИМАНИЕ
FF NetworkProxy: Mozilla\Firefox\Profiles\cqf6s55a.default-release -> socks", "127.0.0.1"
CHR HKU\S-1-5-21-2870071229-1114973445-2035530390-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
S3 HWiNFO_191; \??\C:\Users\Private\AppData\Local\Temp\HWiNFO64A_191.SYS [X] <==== ВНИМАНИЕ
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
AlternateDataStreams: C:\ProgramData\TEMP:4FB9487F [414]
AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [314]
FirewallRules: [{0980BA01-7DBB-4ACD-B6DA-23C38FB9D393}] => (Allow) c:\program files\bonjour\mdnsresponder.exe => Нет файла
FirewallRules: [{49FE7DDE-8514-4C26-8E4B-C4E746FC2CC6}] => (Allow) c:\program files\bonjour\mdnsresponder.exe => Нет файла
FirewallRules: [{150D914E-26E0-4203-9A78-25020F198B46}] => (Allow) c:\users\private\appdata\local\temp\q1d9l2z7.tmp\smvpatch.exe => Нет файла
FirewallRules: [{2CC13D74-FDDD-4C81-A572-4D8B29D39F8B}] => (Allow) c:\users\private\appdata\local\temp\q1d9l2z7.tmp\smvpatch.exe => Нет файла
FirewallRules: [{F55A4BEB-D64E-4C6A-B41F-46A98FFEFD2A}] => (Allow) c:\users\private\appdata\local\temp\ir_ext_temp_0\autorun.exe => Нет файла
FirewallRules: [{AED968B3-9D4D-4566-B279-4F04EEF05E18}] => (Allow) c:\users\private\appdata\local\temp\ir_ext_temp_0\autorun.exe => Нет файла
FirewallRules: [{E0C33CD8-6D7D-444F-BA33-CFE6177D530B}] => (Allow) c:\users\private\appdata\local\temp\ey1nuokv.xdf\dashboardinstaller.exe => Нет файла
FirewallRules: [{EC46EC1C-206A-4209-BBBC-C8B705FD0DBD}] => (Allow) c:\users\private\appdata\local\temp\ey1nuokv.xdf\dashboardinstaller.exe => Нет файла
FirewallRules: [{8C45615F-378D-401C-B783-333D5C7FA56F}] => (Allow) c:\users\private\appdata\local\temp\d0kpphbx.ou3\dashboardinstaller.exe => Нет файла
FirewallRules: [{EC5C27F0-BF2B-466F-A760-01A6504064DD}] => (Allow) c:\users\private\appdata\local\temp\d0kpphbx.ou3\dashboardinstaller.exe => Нет файла
FirewallRules: [{AC1A64A0-4517-4A2B-A211-F55EFB7D85CE}] => (Allow) c:\users\private\appdata\local\temp\vwsjzzvb.vel\dashboardinstaller.exe => Нет файла
FirewallRules: [{28E75D79-E78B-4A30-9F04-28BD2F7B5FA8}] => (Allow) c:\users\private\appdata\local\temp\vwsjzzvb.vel\dashboardinstaller.exe => Нет файла
FirewallRules: [{5F579ABC-EDD4-4B56-96BE-CF8A9061E7C9}] => (Allow) c:\users\private\appdata\local\temp\1jdvz00z.m0m\dashboardinstaller.exe => Нет файла
FirewallRules: [{C5C16908-97E8-4112-AFE6-7EC9C9977393}] => (Allow) c:\users\private\appdata\local\temp\1jdvz00z.m0m\dashboardinstaller.exe => Нет файла
FirewallRules: [{6F0A5B6C-C610-4AF9-AC92-EFBB72BCFC04}] => (Allow) c:\users\private\appdata\local\temp\flynwxpr.yzi\dashboardinstaller.exe => Нет файла
FirewallRules: [{C7183B50-AC5B-45C7-BFD7-65EFA51F05A3}] => (Allow) c:\users\private\appdata\local\temp\flynwxpr.yzi\dashboardinstaller.exe => Нет файла
FirewallRules: [{1B6217A1-E9ED-448B-9EDC-0C1A2975EF7D}] => (Allow) c:\users\private\appdata\local\temp\pfuuwprj.ppp\dashboardinstaller.exe => Нет файла
FirewallRules: [{8D7EAF99-198A-409B-B1EB-A0BF03B1D48B}] => (Allow) c:\users\private\appdata\local\temp\pfuuwprj.ppp\dashboardinstaller.exe => Нет файла
FirewallRules: [{948E004A-2203-4B85-B74E-D260C59A87E0}] => (Allow) LPort=57209
FirewallRules: [{6545ED89-F65D-4FB5-8DC2-AE4F0C50FED2}] => (Allow) LPort=57210
FirewallRules: [{161949A7-7F32-4916-9871-47F2F0F3EFA9}] => (Allow) LPort=57211
FirewallRules: [{24A8D3AE-6A42-4C49-8E47-AECB91BB780C}] => (Allow) LPort=57212
FirewallRules: [{DDB08CD9-B996-428F-85B4-D8CAE20CA346}] => (Allow) LPort=57213
FirewallRules: [{DE973AD1-0ED3-4B47-89BD-52C7FA5E5071}] => (Allow) LPort=57214
FirewallRules: [{D1F0349B-5955-43F2-B96C-E58D4F58634F}] => (Allow) c:\users\private\appdata\local\temp\is-71mti.tmp\recoverit_64bit_full9398.tmp => Нет файла
FirewallRules: [{88CCBCD4-0AC4-4FD2-982B-CB122EA36666}] => (Allow) LPort=57215
FirewallRules: [{4F3BBA70-75B2-4C29-AB62-1E8C6C552563}] => (Allow) c:\users\private\appdata\local\temp\is-71mti.tmp\recoverit_64bit_full9398.tmp => Нет файла
FirewallRules: [{BE323685-8560-43A9-B59F-2E3E83510095}] => (Allow) LPort=57216
FirewallRules: [{398C816A-C458-4489-94DA-587D896C127B}] => (Allow) LPort=57217
FirewallRules: [{21180301-F182-4050-93D4-A54EAF9070B0}] => (Allow) LPort=57218
FirewallRules: [{C00C3884-E05C-4CDE-8C05-49ABD21740ED}] => (Allow) LPort=57209
FirewallRules: [{05B5B8CA-EA1E-4349-8DFD-980529C67A6E}] => (Allow) LPort=57210
FirewallRules: [{DFF68199-36CE-4D44-A6A2-82DB016D8730}] => (Allow) LPort=57211
FirewallRules: [{C0FAFE0A-74EF-4B2F-86B2-3D6F44FDF5F4}] => (Allow) LPort=57212
FirewallRules: [{18B2BC37-D1E9-46B8-AC6B-6151D2A5922A}] => (Allow) LPort=57213
FirewallRules: [{8D492FB5-940C-426C-A2CE-0ACB4B5E3D1B}] => (Allow) LPort=57214
FirewallRules: [{B5BC04C3-535E-481D-86D1-AD3399460E5D}] => (Allow) LPort=57215
FirewallRules: [{B3B846D2-FF07-41BA-BAEC-D3056AD87356}] => (Allow) LPort=57216
FirewallRules: [{CC226403-8682-4F23-A1D6-227EB7B67108}] => (Allow) LPort=57217
FirewallRules: [{62E4269C-AB9E-447D-A9EF-72B7E1B438A4}] => (Allow) LPort=57218
FirewallRules: [{38B53A1A-DE51-4D1E-8110-B3FF7E04B9EE}] => (Allow) LPort=23007
FirewallRules: [{D2A9B30A-7C3F-47BB-9FB3-AC6A54DA801C}] => (Allow) LPort=23008
FirewallRules: [{44E4317F-992A-43DA-A3D7-BE1C91A9BA72}] => (Allow) LPort=33009
FirewallRules: [{7BDF907F-42D9-4EE6-8AAE-142334BD3C4F}] => (Allow) LPort=33010
FirewallRules: [{E4A00562-07C5-4690-9D0F-710D5CCCF392}] => (Allow) LPort=33011
FirewallRules: [{169429A6-3B98-4047-8EA4-B022FAFB03A0}] => (Allow) LPort=43012
FirewallRules: [{E7525504-42FB-4C71-8CE1-F6A4049ACC06}] => (Allow) LPort=43013
FirewallRules: [{A7DA761A-A3DC-4B0D-816F-D73C1C1DD25A}] => (Allow) LPort=53014
FirewallRules: [{5AF2BCF6-F0D5-4844-8984-EB81A71AF34B}] => (Allow) LPort=53015
FirewallRules: [{90ABA654-3790-48B4-8A1F-ECBB2645A5BC}] => (Allow) LPort=53016
FirewallRules: [{D2D42744-2AFC-42DD-B7F4-84071625C543}] => (Allow) LPort=23007
FirewallRules: [{2F5BA1DA-1284-40C9-9F8F-BEB8250138DE}] => (Allow) LPort=23008
FirewallRules: [{50948D36-AC26-4E08-9152-DF077E14237E}] => (Allow) LPort=33009
FirewallRules: [{A02D7EBE-D1CA-43D9-A929-92097533494B}] => (Allow) LPort=33010
FirewallRules: [{40F2B406-94B1-4EAF-8E8D-D9F6FE1B4295}] => (Allow) LPort=33011
FirewallRules: [{82E52D08-CC91-416B-B7EA-B54454AEDCEE}] => (Allow) LPort=43012
FirewallRules: [{7A645DB1-FA16-434B-AB11-21EEBCFD4FF6}] => (Allow) LPort=43013
FirewallRules: [{B896A5BF-C70D-4BA8-9C61-195F5CCB68B6}] => (Allow) LPort=53014
FirewallRules: [{0201E3A0-318D-46DE-A93B-4A978B899B0A}] => (Allow) LPort=53015
FirewallRules: [{5A7564AB-A522-4D47-9613-CDF87D68DA6D}] => (Allow) LPort=53016
FirewallRules: [{CA33631E-C28C-4200-93DF-2D67BE846057}] => (Allow) LPort=50053
FirewallRules: [{F5595026-85C6-42FE-A7F1-A1D7FA56951A}] => (Allow) LPort=50053
FirewallRules: [{45F2B430-6985-47A7-A93F-622963650294}] => (Allow) c:\users\private\appdata\local\temp\is-21862390.tmp\installer.exe => Нет файла
FirewallRules: [{DF10C9EA-1386-4B3F-B00C-7507CBBF9D9A}] => (Allow) c:\users\private\appdata\local\temp\is-21862390.tmp\installer.exe => Нет файла
FirewallRules: [{A028A730-AF8C-46C9-B83C-DBA9FBA7A433}] => (Allow) LPort=32683
FirewallRules: [{BCAE181E-2D6A-407C-AFC0-CDA796F8C067}] => (Allow) LPort=33683
FirewallRules: [{F074F341-1385-4309-A041-F1C76B84ED02}] => (Allow) LPort=26822
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Копировать код нужно было до последней команды End::

Но в целом, скрипт выполнился успешно. Что из подозрений сейчас осталось?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Проделайте завершающие шаги, а тему некоторое время не будем закрывать:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Flawor_Swift
      [РЕШЕНО] Подозрение на майнер
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
    • kostyan2008
      Подозрение на вирусы, майнер
      От kostyan2008
      В журнале служб windows часто выскакивает ошибка "Сбой при запуске службы "Служба Google Update (gupdate)" из-за ошибки 
      Служба не ответила на запрос своевременно."
      Сбой при запуске службы "WinRing0_1_2_0" из-за ошибки 
      Системе не удается найти указанный путь.
      В автозагрузке присутствуют непонятные сервисы, включая непонятный google update
      CollectionLog-2024.09.18-20.26.zip
    • Cybermancubus
      Майнер John
      От Cybermancubus
      Обнаружил случайно пользователя в учетных записях. В папке "Пользователи" он не отображается. Скачивал doctor web cureit, но он ничего не обнаружил. Скачал Farbar Recovery Scan Tool. Файлы прикрепляю, спасибо! Какие действия нужно предпринимать?
      FRST.txt Addition.txt
    • David Faker
      Майнер
      От David Faker
      Здравствуйте. Недавно скачал Microsoft Office и, видимо, там попался майнер. Долго боролся с ним. Еле запустил avbr. Потому что даже смена имени и директории не помогала. Вирус запрещал использовать msconfig, диспетчер задач, разнообразные службы Windows, в некоторых ситуациях запрещал использование CMD
       
      После первой попытки запустить AVbr - видимо сработала какая-то защита майнера и он обрубал все попытки разобраться в проблеме, не давая ничего сделать в этом направлении.
       
      Если кто встречался - поможет запуск AVbr в безопасном режиме.
       
      Помогите пожалуйста понять, удалился ли майнер с компьютера, а также остались ли хвосты. Прилагаю файлы с FRST. Заранее, спасибо вам большое
      FRST.txt Addition.txt
    • wolfson
      На компьютере, вероятно, был майнер
      От wolfson
      Доброго дня. Столкнулся с проблемой. На компьютере, вероятно, был майнер который загружал ссд и оперативку. Решил переустановить виндовс 10, но к несчастью, после перезагрузки, всё заканчивается на выборе носителя с установенной ОС Windows с сайта производителя. До этого хотел обновить биос и всё делал по инструкции с сайта материнки, но процесс зависает и пишет, что файл поврежден. После, по видосикам с ютуба, скачал avbr и miner search, всё делал по инструкции. И, вроде как, всё хорошо, но переустановить виндовс всё так же не получается. С биосом такая же проблема. 
      Люди добрые, огромнейшая просьба подсказать как справиться с данной проблемой. Спасибо заранее.
×
×
  • Создать...