Поймал майнера

[Мелькор]

10.03.2023 в 16:58, thyrex сказал:

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-1623457299-340476681-1799933098-1001\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {12DF3F8A-9612-48CA-AE38-2818FA70CA73} - System32\Tasks\Microsoft\Windows\HelloFace\FODCleanupTask => C:\WINDOWS\System32\WinBioPlugIns\FaceFodUninstaller.exe (Нет файла)
ProxyServer: [S-1-5-21-1623457299-340476681-1799933098-1001] => http=127.0.0.1:63588;https=127.0.0.1:63588
Tcpip\..\Interfaces\{60b79ffc-62f6-4d7a-a4ba-7b39cdbcb74a}: [NameServer] 178.175.133.58,37.1.207.126
Task: {FBDE5266-7DA6-4388-8295-02B7E042182D} - \TotalAdblockLogonUpdate -> Нет файла <==== ВНИМАНИЕ
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => путь не найдено
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => путь не найдено
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => путь не найдено
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => путь не найдено
ShellIconOverlayIdentifiers: [   00BitrixShellExt_1] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} =>  -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_2] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} =>  -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_3] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} =>  -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_4] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_5] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} =>  -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_6] -> {8009C378-F2BE-42A6-8ADD-083AAFBDC4EB} =>  -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_7] -> {057E631A-726E-4193-BB37-377DBD42812A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_8] -> {86627476-D173-4FBC-B206-3A19447FF8CC} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_1] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_2] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_3] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_4] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_5] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_6] -> {8009C378-F2BE-42A6-8ADD-083AAFBDC4EB} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_7] -> {057E631A-726E-4193-BB37-377DBD42812A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_8] -> {86627476-D173-4FBC-B206-3A19447FF8CC} =>  -> Нет файла
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> Нет файла
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> Нет файла
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Нет файла
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> Нет файла
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> Нет файла
ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> Нет файла
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Нет файла
ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> Нет файла
AlternateDataStreams: C:\Users\dell1\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\dell1\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

А вы можете и мне помочь пожалуйста? А то ноуту тяжело, а мне печально от этого((

Desktop.rar

 

Сообщение от модератора thyrex

Перенесено из темы

[thyrex]

Здравствуйте.

Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.
 

[Мелькор]

Спасибо за ответ. Вот архив с логами

CollectionLog-2025.01.18-19.16.zip

[thyrex]

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O4 - Startup Global: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Cloudflare WARP.lnk    ->    C:\Program Files (x86)\Cloudflare\Cloudflare WARP\Cloudflare WARP.exe (file missing)
O4 - Startup: C:\Users\Mellkor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Alienware Command Center.lnk    ->    C:\Program Files (x86)\Alienware\Alienware Command Center\AWCC\AWCC.exe (file missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Задачи просмотра событий (empty)
O22 - Tasks: (damaged) iGoAudioTask - C:\Windows\System32\DriverStore\FileRepository\igoaudioservice.inf_amd64_c020ee4ab15d7d26\iGoSwServer.exe --apo (user missing) (sign: 'British Cayman Islands Intelligo Technology Inc. Taiwan Branch')
O22 - Tasks: (disabled) \AWCC\Update - C:\Program Files (x86)\"InstallShield Installation Information\{D2DA930B-CB5D-4DD6-BF62-BE6C310A353D}\Update\IMSilentUpdate.exe" (file missing)
O23 - Service S3: CCleaner Performance Optimizer Service - (CCleanerPerformanceOptimizerService) - C:\Program Files\CCleaner\CCleanerPerformanceOptimizerService.exe (file missing)
O23 - Driver S3: cpuz159 - C:\Windows\temp\cpuz159\cpuz159_x64.sys (file missing)
O23 - Driver S3: semav6msr64 - C:\Windows\system32\drivers\semav6msr64.sys (file missing)
O23 - Driver S3: ThrottleStop - C:\Users\Mellkor\AppData\Local\Temp\ThrottleStop.sys (file missing)
O26 - Debugger: HKLM\..\CompatTelRunner.exe: [Debugger] = C:\Windows\system32\systray.exe (sign: 'Microsoft')
O26 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file)

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Мелькор]

3 часа назад, thyrex сказал:

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O4 - Startup Global: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Cloudflare WARP.lnk    ->    C:\Program Files (x86)\Cloudflare\Cloudflare WARP\Cloudflare WARP.exe (file missing)
O4 - Startup: C:\Users\Mellkor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Alienware Command Center.lnk    ->    C:\Program Files (x86)\Alienware\Alienware Command Center\AWCC\AWCC.exe (file missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Задачи просмотра событий (empty)
O22 - Tasks: (damaged) iGoAudioTask - C:\Windows\System32\DriverStore\FileRepository\igoaudioservice.inf_amd64_c020ee4ab15d7d26\iGoSwServer.exe --apo (user missing) (sign: 'British Cayman Islands Intelligo Technology Inc. Taiwan Branch')
O22 - Tasks: (disabled) \AWCC\Update - C:\Program Files (x86)\"InstallShield Installation Information\{D2DA930B-CB5D-4DD6-BF62-BE6C310A353D}\Update\IMSilentUpdate.exe" (file missing)
O23 - Service S3: CCleaner Performance Optimizer Service - (CCleanerPerformanceOptimizerService) - C:\Program Files\CCleaner\CCleanerPerformanceOptimizerService.exe (file missing)
O23 - Driver S3: cpuz159 - C:\Windows\temp\cpuz159\cpuz159_x64.sys (file missing)
O23 - Driver S3: semav6msr64 - C:\Windows\system32\drivers\semav6msr64.sys (file missing)
O23 - Driver S3: ThrottleStop - C:\Users\Mellkor\AppData\Local\Temp\ThrottleStop.sys (file missing)
O26 - Debugger: HKLM\..\CompatTelRunner.exe: [Debugger] = C:\Windows\system32\systray.exe (sign: 'Microsoft')
O26 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file)

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Сделал как вы написали, только в HiJackThis не было пункта 07 "Policy: HKLM...", это я пропустил, остальное все было. Вот архив с двумя файлами

Desktop.rar

Изменено 19 января пользователем Мелькор

[thyrex]

Цитата

Drive с: () (Fixed) (Total:100 GB) (Free:11.02 GB)

Свободного места на системном диске катастрофически мало.

Возможно это и является причиной проблем. Ибо ничего вирусоподобного не обнаружено. Чистим только мусор.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
CustomCLSID: HKU\S-1-5-21-2911033502-3227766438-1865982935-1000_Classes\CLSID\{0CD83B85-7652-4F6D-91CC-399243942157}\localserver32 -> "c:\program files\alienware\alienware command center\subsystems\performance\subagent\ucsubagent\awperformance.ucsubagent.exe" ----AppNotificationActivated: => Нет файла
CustomCLSID: HKU\S-1-5-21-2911033502-3227766438-1865982935-1000_Classes\CLSID\{8F74AA50-68D9-4833-B35E-8FC2833CD5C2}\localserver32 -> "c:\program files\alienware\alienware command center\awcc\awcc.exe" ----AppNotificationActivated: => Нет файла
FirewallRules: [TCP Query User{F8097A2B-23A8-4128-A580-15C814B1A133}C:\users\mellkor\appdata\local\temp\2iqb9eduobwyku5tzcxhky1niss\browser-launcher.exe] => (Allow) C:\users\mellkor\appdata\local\temp\2iqb9eduobwyku5tzcxhky1niss\browser-launcher.exe => Нет файла
FirewallRules: [UDP Query User{E1902ADE-A913-4669-92B8-20C1A2FE17BA}C:\users\mellkor\appdata\local\temp\2iqb9eduobwyku5tzcxhky1niss\browser-launcher.exe] => (Allow) C:\users\mellkor\appdata\local\temp\2iqb9eduobwyku5tzcxhky1niss\browser-launcher.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[Мелькор]

51 минуту назад, thyrex сказал:

Свободного места на системном диске катастрофически мало.

Возможно это и является причиной проблем. Ибо ничего вирусоподобного не обнаружено. Чистим только мусор.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
CustomCLSID: HKU\S-1-5-21-2911033502-3227766438-1865982935-1000_Classes\CLSID\{0CD83B85-7652-4F6D-91CC-399243942157}\localserver32 -> "c:\program files\alienware\alienware command center\subsystems\performance\subagent\ucsubagent\awperformance.ucsubagent.exe" ----AppNotificationActivated: => Нет файла
CustomCLSID: HKU\S-1-5-21-2911033502-3227766438-1865982935-1000_Classes\CLSID\{8F74AA50-68D9-4833-B35E-8FC2833CD5C2}\localserver32 -> "c:\program files\alienware\alienware command center\awcc\awcc.exe" ----AppNotificationActivated: => Нет файла
FirewallRules: [TCP Query User{F8097A2B-23A8-4128-A580-15C814B1A133}C:\users\mellkor\appdata\local\temp\2iqb9eduobwyku5tzcxhky1niss\browser-launcher.exe] => (Allow) C:\users\mellkor\appdata\local\temp\2iqb9eduobwyku5tzcxhky1niss\browser-launcher.exe => Нет файла
FirewallRules: [UDP Query User{E1902ADE-A913-4669-92B8-20C1A2FE17BA}C:\users\mellkor\appdata\local\temp\2iqb9eduobwyku5tzcxhky1niss\browser-launcher.exe] => (Allow) C:\users\mellkor\appdata\local\temp\2iqb9eduobwyku5tzcxhky1niss\browser-launcher.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Ну тогда я даже не знаю уже в чем проблема. По симптомам такая ситуация: под стабильной нагрузкой в онлайн игре все окей, температуры держаться в районе 78-83 градусов, так может продолжать часами. Потом в один момент температуры подскакивают до 97-100, просаживается в моментах фпс со 150-190 до 20-40, подвисает звук и далее два варианта:

1. Я сворачиваю игру, он кипит какое то время и все прекращается, температуры падают и больше не поднимаются, когда я возвращаюсь в игру 

2. Ноут уходит в защиту, завершает работу винды и выключается 

Я усталь от этого. В сервисе ноут был месяц назад, намазали пасту с фазовым переходом, заменили термопрокладки, вычистили

Поэтому было подозрение на майнер, который включается в какой то рандомный момент 

Fixlog.txt

[thyrex]

Майнер, когда присутствует на комптьютере, то ему незачем привязываться к играм или приложениям, даже для маскировки. Поэтому у Вас что-то железное все же.

[Мелькор]

Что ж, я понял, в любом случае спасибо за ваше время

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Мелькор]

Вот результаты 

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
HWiNFO® 64 v.8.16 Внимание! Скачать обновления
WinRAR 6.24 (64-разрядная) v.6.24.0 Внимание! Скачать обновления
Google Chrome v.131.0.6778.265 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

---------------------------- [ UnwantedApps ] -----------------------------
Driver Booster Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

На этом закончим.