Два файла Dwm.exe

[Gistap]

Когда я включаю пк у меня он начинает сильно шуметь и проц грузиться очень сильно, и грееться до 70 градусов на рабочем столе. Когда я открываю диспетчер задач до 2 dwm.exe который походу майнер снижает моментально нагрузку с цп, но его задачу можно снять и он не будет грузить систему будет только 1 dwm.exe файл. И ещё у того dwm exe который грузит цп путь такой же как и у оригинального, что мне в этом случае делать я уже всё антивирусы перепробовал и в безопасном режиме их прогонял что только я не делал, не должен же себя так вести себя dwm exe почему когда я открываю диспетчер задач нагрузка моментально падает это же не нормально. Я думал что это майнер, антивирусы находили трояны я их удалял в безопасном режиме. Почему их воопще 2 может эта ошибка системы?

[thyrex]

Здравствуйте.

Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.
 

[Gistap]

Да извиняюсь, но всё сделаю только завтра просто я уже сплю

 

P.s это вроде точно майнер, появился давно ну я просто запретил ему доступ к интернету и он перестал майнить ну а так хочу удалить его полностью 

 

Изменено Суббота в 20:58 пользователем Gistap

[Gistap]

12 часов назад, thyrex сказал:

Здравствуйте.

Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.
 

CollectionLog-2025.01.05-12.52.zip Здравствуйте, логи прикрепил

Изменено вчера в 08:54 пользователем Gistap

[thyrex]

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\User\AppData\Local\driverpatch9t1ohxw8\di.exe','');
 DeleteService('DrvSvc');
 DeleteFile('C:\Users\User\AppData\Local\driverpatch9t1ohxw8\di.exe','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaGet2','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaGet2','x64');
 DeleteFile('C:\Users\User\mediaget2\mediaget_crashpad_handler.exe','32');
 DeleteFile('C:\Users\User\appdata\roaming\drpsu\alice\cloud.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Gistap]

1 час назад, thyrex сказал:

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\User\AppData\Local\driverpatch9t1ohxw8\di.exe','');
 DeleteService('DrvSvc');
 DeleteFile('C:\Users\User\AppData\Local\driverpatch9t1ohxw8\di.exe','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaGet2','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaGet2','x64');
 DeleteFile('C:\Users\User\mediaget2\mediaget_crashpad_handler.exe','32');
 DeleteFile('C:\Users\User\appdata\roaming\drpsu\alice\cloud.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

CollectionLog-2025.01.05-14.55.zip карантин отправил на почтовый ящик.

Изменено вчера в 10:57 пользователем Gistap

[thyrex]

Не нужно полностью цитировать выдаваемые Вам рекомендации. Достаточно написать ответ в окне внизу темы.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan (Сканировать).

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Gistap]

Frst.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
File: C:\Users\User\Desktop\AutoHotkey Script.ahk
HKLM-x32\...\Run: [TrayFactory] => C:\Program Files (x86)\PS Tray Factory\PSTrayFactory.EXE /silent (Нет файла)
HKLM-x32\...\Run: [SystemExplorerAutoStart] => "C:\Program Files (x86)\System Explorer\SystemExplorer.exe" /TRAY (Нет файла)
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
S2 discordfix_zapret; cmd.exe /c "C:\fuyxx\pre-configs\UltimateFix_ALT_v2.bat" [X]
2024-11-17 09:58 - 2025-01-05 14:44 - 000000000 ____D C:\Users\User\AppData\Local\driverpatch9t1ohxw8
CustomCLSID: HKU\S-1-5-21-3375049156-644203747-120083583-1000_Classes\CLSID\{5C4D8D77-5B87-40CA-884E-F56858227E5C}\localserver32 -> C:\Users\User\AppData\Local\Programs\TeamSpeak\notification_helper.exe => Нет файла
ContextMenuHandlers1: [Kaspersky Free 21.19] -> {05E95079-6931-45C1-AC05-4CC75DB1A236} =>  -> Нет файла
ContextMenuHandlers2: [Kaspersky Free 21.19] -> {05E95079-6931-45C1-AC05-4CC75DB1A236} =>  -> Нет файла
ContextMenuHandlers4: [Kaspersky Free 21.19] -> {05E95079-6931-45C1-AC05-4CC75DB1A236} =>  -> Нет файла
ContextMenuHandlers6: [Kaspersky Free 21.19] -> {05E95079-6931-45C1-AC05-4CC75DB1A236} =>  -> Нет файла
C:\Users\User\Desktop\qiu\Новая папка (5)\Новая папка (4)\config\sfx — ярлык.lnk
C:\Users\User\Desktop\qiu\Новая папка (5)\мой генрл\config\sfx — ярлык.lnk
C:\Users\User\Desktop\qiu\Новая папка (5)\летняя сборка  2 (1)\генрл\config\sfx — ярлык.lnk
C:\Users\User\Desktop\qiu\Новая папка (5)\Генрл\config\sfx — ярлык.lnk
C:\Users\User\Desktop\qiu\audio\config\sfx — ярлык.lnk
AlternateDataStreams: C:\ProgramData:MHD [306]
AlternateDataStreams: C:\Users\All Users:MHD [306]
AlternateDataStreams: C:\Users\Все пользователи:MHD [306]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [1307]
AlternateDataStreams: C:\Users\User\AppData\Local:MHD [256]
AlternateDataStreams: C:\Users\User\AppData\Local\Temp:MHD [300]
AlternateDataStreams: C:\Users\User\Documents\Malinovka:MHD [244]
HKU\S-1-5-21-3375049156-644203747-120083583-1000\...\StartupApproved\Run: => "MediaGet2"
FirewallRules: [TCP Query User{B6CC1801-BB98-4ED0-97EA-D2D43BC38C56}E:\sdi_rus\sdi_x64_r2309.exe] => (Allow) E:\sdi_rus\sdi_x64_r2309.exe => Нет файла
FirewallRules: [UDP Query User{A88F537E-F3DC-4E57-BB8A-51E1A63E916A}E:\sdi_rus\sdi_x64_r2309.exe] => (Allow) E:\sdi_rus\sdi_x64_r2309.exe => Нет файла
FirewallRules: [{CCFCDB1D-8667-4984-ABBA-EA563332BAE8}] => (Allow) C:\Program Files (x86)\DriverPack\tools\aria2c.exe => Нет файла
FirewallRules: [{FF60DB11-4BC1-4750-A8A3-B6EB406D25BD}] => (Allow) C:\Users\User\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{248F825F-9C67-4006-81F6-7FB4CB01897D}] => (Allow) C:\Users\User\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{18AE398B-1972-489A-97EB-244EEB4E75A6}] => (Allow) C:\Users\User\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
FirewallRules: [TCP Query User{BC42A8B0-CD46-4A17-A9DC-5411C7D57339}C:\games\cyberpunk 2077 v.1.63 hotfix (2020)\data\bin\x64\cyberpunk2077.exe] => (Allow) C:\games\cyberpunk 2077 v.1.63 hotfix (2020)\data\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [UDP Query User{8E0D3F55-0D98-4817-BC13-F74B6CDF0CB0}C:\games\cyberpunk 2077 v.1.63 hotfix (2020)\data\bin\x64\cyberpunk2077.exe] => (Allow) C:\games\cyberpunk 2077 v.1.63 hotfix (2020)\data\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{B57F81EC-6787-43B1-8CEB-FE46B06A8C4E}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла
FirewallRules: [TCP Query User{1A59CF54-6798-42AD-90EA-DB8336F769CE}C:\program files (x86)\steam\steamapps\common\assettocorsa\acs.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\assettocorsa\acs.exe => Нет файла
FirewallRules: [UDP Query User{06F371A1-C64D-4785-AF43-3A22B346442A}C:\program files (x86)\steam\steamapps\common\assettocorsa\acs.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\assettocorsa\acs.exe => Нет файла
FirewallRules: [TCP Query User{69AF03F9-D800-40AC-95A5-7176422ACA45}C:\users\user\appdata\local\discord\app-1.0.9154\discord.exe] => (Allow) C:\users\user\appdata\local\discord\app-1.0.9154\discord.exe => Нет файла
FirewallRules: [UDP Query User{69F5C577-1883-4129-AFA4-CA34A9BF9842}C:\users\user\appdata\local\discord\app-1.0.9154\discord.exe] => (Allow) C:\users\user\appdata\local\discord\app-1.0.9154\discord.exe => Нет файла
FirewallRules: [TCP Query User{77D49CE4-CAFF-45B6-862A-1ED0D72F10B9}C:\users\user\desktop\teamspeak3-server_win64\ts3server.exe] => (Allow) C:\users\user\desktop\teamspeak3-server_win64\ts3server.exe => Нет файла
FirewallRules: [UDP Query User{0A0D0842-1F9E-49CB-88B0-164F3D36F707}C:\users\user\desktop\teamspeak3-server_win64\ts3server.exe] => (Allow) C:\users\user\desktop\teamspeak3-server_win64\ts3server.exe => Нет файла
FirewallRules: [TCP Query User{A7C8DA91-8D58-488A-8093-55F6045B5557}C:\program files (x86)\steam\steamapps\common\counter-strike global offensive\csgo.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\counter-strike global offensive\csgo.exe => Нет файла
FirewallRules: [UDP Query User{2B7F8480-2DF6-4E2A-8BF6-DA086D83F6F3}C:\program files (x86)\steam\steamapps\common\counter-strike global offensive\csgo.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\counter-strike global offensive\csgo.exe => Нет файла
FirewallRules: [TCP Query User{AC9CBB83-82D8-45F5-9908-977A970E6091}C:\users\user\appdata\local\discord\app-1.0.9155\discord.exe] => (Allow) C:\users\user\appdata\local\discord\app-1.0.9155\discord.exe => Нет файла
FirewallRules: [UDP Query User{D0E70A9D-7D90-4FB5-B271-2CF8AA7F0201}C:\users\user\appdata\local\discord\app-1.0.9155\discord.exe] => (Allow) C:\users\user\appdata\local\discord\app-1.0.9155\discord.exe => Нет файла
FirewallRules: [TCP Query User{51FDBBF1-9DA8-4750-90A3-815BE0F28F8F}C:\users\user\desktop\lovecut\gta_sa.exe] => (Allow) C:\users\user\desktop\lovecut\gta_sa.exe => Нет файла
FirewallRules: [UDP Query User{0D96ED4E-64EF-4904-8036-E0EF41665B6E}C:\users\user\desktop\lovecut\gta_sa.exe] => (Allow) C:\users\user\desktop\lovecut\gta_sa.exe => Нет файла
FirewallRules: [TCP Query User{93B91DF4-AF5C-4200-88F6-4BB019550739}C:\games\dead by daylight 4.4.2\deadbydaylight\binaries\win64\server.exe] => (Allow) C:\games\dead by daylight 4.4.2\deadbydaylight\binaries\win64\server.exe => Нет файла
FirewallRules: [UDP Query User{302B4E96-2C1E-4E09-8085-EDE03EDC965A}C:\games\dead by daylight 4.4.2\deadbydaylight\binaries\win64\server.exe] => (Allow) C:\games\dead by daylight 4.4.2\deadbydaylight\binaries\win64\server.exe => Нет файла
FirewallRules: [TCP Query User{B73A473D-C25F-4719-9111-189ABB54953C}C:\games\dead by daylight 2.3.3\deadbydaylight\binaries\win64\deadbydaylight-win64-shipping.exe] => (Allow) C:\games\dead by daylight 2.3.3\deadbydaylight\binaries\win64\deadbydaylight-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{A834888D-C2A6-4B0D-863D-58321AFAEFD0}C:\games\dead by daylight 2.3.3\deadbydaylight\binaries\win64\deadbydaylight-win64-shipping.exe] => (Allow) C:\games\dead by daylight 2.3.3\deadbydaylight\binaries\win64\deadbydaylight-win64-shipping.exe => Нет файла
FirewallRules: [{BF6E494C-57F5-4E03-AE17-1079FE4EA9BF}] => (Allow) C:\Users\User\AppData\Roaming\utorrent\uTorrent.exe => Нет файла
FirewallRules: [{B64B6FB5-5A05-4BD8-B776-D5CD635BD808}] => (Allow) C:\Users\User\AppData\Roaming\utorrent\uTorrent.exe => Нет файла
FirewallRules: [TCP Query User{63B449E3-82F8-41B4-BF14-C0292407F194}C:\games\whos your daddy v2.0.0\whosyourdaddy.exe] => (Allow) C:\games\whos your daddy v2.0.0\whosyourdaddy.exe => Нет файла
FirewallRules: [UDP Query User{4351D173-D603-4AA2-B64F-51CA604A98DE}C:\games\whos your daddy v2.0.0\whosyourdaddy.exe] => (Allow) C:\games\whos your daddy v2.0.0\whosyourdaddy.exe => Нет файла
FirewallRules: [{3551785F-42D1-4B37-BE6B-8C83BD4FDC40}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Euro Truck Simulator 2\bin\win_x64\eurotrucks2.exe => Нет файла
FirewallRules: [{A02AC065-CB6E-48E8-A61B-BC8494901A47}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Euro Truck Simulator 2\bin\win_x64\eurotrucks2.exe => Нет файла
FirewallRules: [TCP Query User{7E7CCCA7-08C1-4EC2-898E-6B3C1B554FD3}C:\program files (x86)\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [UDP Query User{6AD015EF-580E-455F-BF29-35A75262B806}C:\program files (x86)\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [TCP Query User{B69DA555-0A23-4E88-83A6-5890BBDE95CB}C:\users\user\appdata\local\discord\app-1.0.9034\discord.exe] => (Allow) C:\users\user\appdata\local\discord\app-1.0.9034\discord.exe => Нет файла
FirewallRules: [UDP Query User{C17B1591-911B-4640-9339-9202B1D96A0C}C:\users\user\appdata\local\discord\app-1.0.9034\discord.exe] => (Allow) C:\users\user\appdata\local\discord\app-1.0.9034\discord.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Gistap]

Fixlog.txt

[thyrex]

Проблема решена? AutoHotkey Script.ahk на Рабочем стое Ваш?

[Gistap]

Да вроде бы второго dwm.exe больше нету, автохоткей мой

Спасибо огромное!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Gistap]

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
AMD Software v.24.3.1 Внимание! Скачать обновления
FileZilla 3.67.0 v.3.67.0 Внимание! Скачать обновления
Foxit Reader v.10.1.0.37527 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
7-Zip 23.01 v.23.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.61 (32-разрядная) v.5.61.0 Внимание! Скачать обновления
FastStone Image Viewer 7.6 v.7.6 Внимание! Скачать обновления
Discord v.1.0.9171 Внимание! Скачать обновления
Outline 1.13.1 v.1.13.1 Внимание! Скачать обновления
Java 8 Update 401 (64-bit) v.8.0.4010.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u431-windows-x64.exe - Windows Offline (64-bit))^
AIMP v.5.30.2541 Внимание! Скачать обновления
^Внимание! Данный установщик устанавливает сторонние программы. Снимайте галочки или нажимайте Отмена в соответствующих окнах установщика.^
Audacity 3.2.4 v.3.2.4 Внимание! Скачать обновления
Opera GX Stable 114.0.5282.233 v.114.0.5282.233 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Yandex v.24.12.2.856 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

---------------------------- [ UnwantedApps ] -----------------------------
Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
MediaGet v.3.01.4333 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

На этом закончим.