Перейти к содержанию
Правила раздела

Майнер жрёт оперативку и компьютер тормозит

Golem555

Автор Golem555
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

safety

safety

Опубликовано
Опубликовано

Детекты вирусных программ есть в системе в логах штатного антивируса? Так же выполните сканирование в KVRT, и добавьте ответы по сканированию. Сегодня на этом все. Завтра продолжим.

Golem555

Golem555

Опубликовано
  • Автор
Опубликовано

А как сохронить, я просто проверил 

 

Вот вашим антивирусом проверил, вот отчёт
 

4.txt

safety

safety

Опубликовано
Опубликовано

По логу сканирования ничего вредоносного не обнаружено.

 

по очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. 

;uVS v4.99.8v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES\PROCESS HACKER 2\PROCESSHACKER.EXE
delall %SystemDrive%\USERS\MANTR\APPDATA\ROAMING\UTORRENT WEB\UTWEB.EXE
deldirex %SystemDrive%\USERS\MANTR\APPDATA\ROAMING\UTORRENT\PRO
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\MANTR\APPDATA\ROAMING\UTORRENT\PRO\UTORRENTPRO.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIBKNAFOBNMNDICOJAHLPPOLCAAIBNGJF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIHCJICGDANJAECHKGEEGCKOFJJEDODEE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKDPELMJPFAFJPPNHBLOFFCJPEOMLNPAH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJDGANDCAGMIKHLBJNILKMFNJEAMFIKK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://EDGE.MICROSOFT.COM/EXTENSIONWEBSTOREBASE/V1/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBOJOBPPFPLOABCEGHNMLAHPOONBCBACN%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WEXT.VBS
zoo %SystemDrive%\PROGRAM FILES\CLIENT HELPER\CLIENT HELPER.EXE
addsgn BA6F9BB2BD614C720B9C2D754C2168FBDA75303AC173435CA5968D37BC9EF2A0035F48524E2C374D633BB63D993BD0D17DDFA04996AFC464AE12BC2F8F8B6F6B 38 AdWare.Win32.ExtInstaller.ep 7

chklst
delvir

apply

deltmp
delref %SystemDrive%\USERS\MANTR\APPDATA\LOCAL\KINGSOFT\WPS OFFICE/12.2.0.19805/OFFICE6\PROMECEFPLUGINHOST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\19.9.3.314\SERVICE_UPDATE.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\CLICKTORUN\OFFICEC2RCLIENT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\GROUP\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\MICROSOFTEDGEUPDATE.EXE
delref %SystemDrive%\USERS\MANTR\APPDATA\LOCAL\PROGRAMS\OPERA GX\LAUNCHER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\WINTHRUSTER\WINTHRUSTER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\24.7.3.1136\INSTALLER\YNDXSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\CLICKTORUN\OFFICECLICKTORUN.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SOURCE ENGINE\OSE.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\128.0.6613.120\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\128.0.6613.120\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.92\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\131.0.6778.70\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\24.10.2.706\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\24.7.2.1074\RESOURCES\YANDEX/BOOK_READER\BOOKREADER
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\24.7.2.1074\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\24.7.2.1074\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\24.7.2.1074\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.54\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.54\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.54\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.54\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.54\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.54\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.54\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.54\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.54\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.54\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %SystemDrive%\USERS\MANTR\APPDATA\LOCAL\WEMOD\APP-9.17.0\WEMOD.EXE
delref %SystemDrive%\USERS\MANTR\APPDATA\LOCAL\TEMP\.OPERA\07233CF28003\INSTALLER.EXE
delref %SystemDrive%\USERS\MANTR\APPDATA\LOCAL\TEMP\.OPERA\599C49939C99\INSTALLER.EXE
delref %SystemDrive%\USERS\MANTR\APPDATA\LOCAL\TEMP\.OPERA\B8396820AEC9\ASSISTANT_INSTALLER.EXE
;-------------------------------------------------------------

restart
czoo

после перезагрузки:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Напишите, остались ли симптомы наличия майнера по вашим наблюдениям.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Golem555
      Майнер жрёт оперативку и компьютер тормозит
      Автор Golem555
      CollectionLog-2025.02.21-22.40.zip
    • Haldor
      Тормозит компьютер
      Автор Haldor
      Здравствуйте, компьютер в последнее время стал намного медленнее загружать систему, в процессе загрузки бывает зависает, в работе, тоже подвисает. Доктор веб и утилита касперского не нашли не чего. Есть подозрения на вирусы. посмотрите логи пожалуйста. Спасибо. 
      CollectionLog-2024.10.10-08.12.zip
    • Хасан Абдурахман
      Компьютер тормозит
      Автор Хасан Абдурахман
      У меня мощный  комп для графики. Но, даже он иногда тормозит при рисовании векторной анимации.  Прошу знатоков помочь в этом вопросе.    Я рисую в векторной программе Adobe Flash Professional CS6 .
    • iaroslav
      Майнер на компьютере
      Автор iaroslav
      Я подозреваю что у меня майнер или троян так как у меня не открываются параметры( все способы перепробовал) а также при открытии например панели управления выскакивает табличка: операция отменена из за огранечений..... Обратитесь к администратору хотя я и есть администратор. Перед этим я использовал AVbr и только потом AutoLogger
      AV_block_remove_2025.02.02-17.03.log report2.log report1.log CollectionLog-2025.02.02-17.19.zip
    • ZombOs
      Майнер на компьютере
      Автор ZombOs
      Столкнулся с вирусом при попытке проверить файл на Вирус тотал. При просмотре диспетчера, заметил подозрительный процесс под именем "COM Surrogate", который дублировал сам себя и потреблял большой ресурс процессора. При попытке отключения процесса через диспетчер задач, процесс завершается и происходит резкий выход из диспетчера. При попытке перейти по расположению файла открывается проводник, после диспетчер и проводник резко закрываются. При попытке найти папку через безопасный режим ее нет на месте. А с подключением в интернет вовсе не работает безопасны режим. При попытке скачать антивирус пишеь, "Операция отменена из-за ограничений, действующих на этом компьютере. Обратитесь к системному администратору". На форма нашел пост, где говорится про программу AV block remover. Скачав ее через USB, запустил ее и получил следующие файл https://vk.com/away.php?to=https%3A%2F%2Fdrive.google.com%2Fdrive%2Ffolders%2F1tFVD4TYYqrMnXJZRZQbLncv3C9BjLZDK%3Fusp%3Dsharing&utf=1. В посте указали данный форм для обращения за помощью. 



      delminer.txt
×
×
  • Создать...