На пк "Nanominer", если сношу самостоятельно - постоянно восстанавливается, через касперский такая же ситуация.

[Vinchi]

Решил я скачать фикс для дс. Зашёл на ютуб и вбил, нашел вроде нормального ютубера, видео хорошее, лайков много и комментарии все хорошие. Ну скачал я через некоторое время моему пк стало очень плохо, начал сильно лагать и т.д. Пытался найти проблему - не смог. Решил переустановить винду. Переустановил я винду и снова те же симптомы. Думал, что что-то не так с технической стороны пк, сдал его в сервис там сидели и думали на протяжении 4 дней - ничего не нашли. Потом я решил сам покопаться в системе и нашел тот самый - nanominer. Пытался его удалить через касперский - когда его удаляешь он восстанавливается, вручную удаляешь - итог тот же. Очистил все бек апы, удаляю - восстанавливается. Так же когда открыт диспетчер задач - нагрузка на пк 8%-10% ЦП, когда закрыт - 100% ЦП. Так же AutoLogger не работает, когда диспетчер задач закрыт, говорит, что нет доступа к AV

CollectionLog-2024.12.23-19.43.zip

[thyrex]

Здравствуйте.

 

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O26 - Debugger (Stack Rumbling): HKLM\..\autoruns.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\autorunsc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\bcdedit.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\dism.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\MediaCreationTool22H2.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\mstsc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\PowerTool.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\PowerTool64.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\ReAgentc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\recoverydrive.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\rstrui.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\svchost.exe: [MinimumStackCommitInBytes] = 0x8000
O26 - Debugger (Stack Rumbling): HKLM\..\systemreset.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\SystemSettingsAdminFlows.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\tcpview.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\tcpview64.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\vssadmin.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\Wireshark.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\x32dbg.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\x64dbg.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\xcopy.exe: [MinimumStackCommitInBytes] = 0x41888887

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\skvor\Desktop\zapret\bin\WinDivert64.sys','');
 TerminateProcessByName('c:\programdata\music_upd\music_upd\sgrmbroker.exe');
 QuarantineFile('c:\programdata\music_upd\music_upd\sgrmbroker.exe','');
 TerminateProcessByName('c:\users\public\libraries\directx\dxcache\ddxdiag.exe');
 TerminateProcessByName('c:\programdata\directx\graphics\directxutil.exe');
 QuarantineFile('c:\programdata\directx\graphics\directxutil.exe','');
 QuarantineFile('c:\users\public\libraries\directx\dxcache\ddxdiag.exe','');
 DeleteFile('c:\users\public\libraries\directx\dxcache\ddxdiag.exe','32');
 DeleteFile('c:\programdata\directx\graphics\directxutil.exe','32');
 DeleteFile('c:\programdata\music_upd\music_upd\sgrmbroker.exe','32');
 DeleteSchedulerTask('TMPSYSUPD');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Vinchi]

Когда ввел 1 скрипт, после перезагрузки пк вылезла ошибка: "Службе" Служба профилей пользователей " не удалось войти в систему. Невозможно загрузить профиль пользователя. " и теперь не могу войти на рабочий стол

[thyrex]

10 часов назад, Vinchi сказал:

Когда ввел 1 скрипт

Фикс в HiJack или скрипт AVZ?

[Vinchi]

В AVZ

[thyrex]

В AVZ ничего системного затронуть не должно было. Удалялся только майнер.

[Vinchi]

Хорошо, тогда решу эту проблему через ютуб, введу 2 код в AVZ и скину вам логин. 

[Vinchi]

Все сделал как вы и сказали.  quarantine.7z отправил через "форму отправки карантина"  Логи прикреплены ниже.

CollectionLog-2024.12.25-15.23.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Vinchi]

Новая папка.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
Task: {95864299-5B1E-49A8-A467-0B30E636F068} - \WinAMDTweak -> Нет файла <==== ВНИМАНИЕ
Task: {95CE3166-D3A0-4DDB-94C8-F6D23B537815} - \DirectXUtilTask -> Нет файла <==== ВНИМАНИЕ
S3 GPU-Z-v2; \??\C:\Users\skvor\AppData\Local\Temp\GPU-Z-v2.sys [X] <==== ВНИМАНИЕ
2024-12-23 18:43 - 2024-04-01 10:26 - 000000000 __RHD C:\Users\Public\Libraries
2024-12-10 16:05 - 2024-12-10 16:05 - 000000000 ____D C:\ProgramData\Music_Upd
2024-12-10 16:05 - 2024-12-10 16:05 - 000000000 ____D C:\ProgramData\DirectX
FirewallRules: [{87A5EF36-6B09-47F9-964B-BD632690FDA9}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Vinchi]

Fixlog.txt

[thyrex]

Проблема решена?

[Vinchi]

Нет. На рабочем столе пк нагружен на 100%. Так же касперский детектит все ещё этот майнер. 

[thyrex]

Так это в папке с карантином Farbar. Папку можно просто удалить.

 

Майнер зачищен полностью. 

2 часа назад, Vinchi сказал:

На рабочем столе пк нагружен на 100%

Это что значит?