Вирус-майнер

[San4s2034]

Недавно скачал Game of Thrones Genesis с torrent-game.net. Касперски указал, что сайту можно доверять и он проверен. По итогу через время заметил, что в valorant фпс стал заблоченным на 75 и поднимается вверх только если я двигаю мышкой или нажимаю что-то на клавиатуре. Очевидно, что словил майнер. Запустил быструю и полную проверку, результата не дало. Попробовал через защитник windows 11. Заметил, что прогресс доходит до ~70% и потом просто зависает. Запустился через безопасный режим, зашёл в защитник и вылезла ошибка(скриншот). Проверил реестр и групповые политики, ничего нет, все чисто. 

[San4s2034]

Недавно скачал Game of Thrones Genesis с torrent-game.net. Касперски указал, что сайту можно доверять и он проверен. По итогу через время заметил, что в valorant фпс стал заблоченным на 75 и поднимается вверх только если я двигаю мышкой или нажимаю что-то на клавиатуре. Очевидно, что словил майнер. Запустил быструю и полную проверку, результата не дало. Попробовал через защитник windows 11. Заметил, что прогресс доходит до ~70% и потом просто зависает. Запустился через безопасный режим, зашёл в защитник и вылезла ошибка(скриншот). Проверил реестр и групповые политики, ничего нет, все чисто. 

 

Версия Kaspersky: 21.20.8.505

ОС: Windows 11 24H2

Сборка: 26100.3194

[kmscom]

Приложите еще логи в соответсвии с Порядок оформления запроса о помощи

[San4s2034]

Вот логи. Задержался, так как делал проверку при помощи KVRT. Тоже безуспешно.

CollectionLog-2025.02.20-21.35.zip

Сообщение от модератора thyrex

Темы объединены

[Sandor]

Здравствуйте!

 

Оставьте в системе только один антивирус, остальные деинсталлируйте:

Цитата

 

360 Total Security

Bitdefender Agent

Kaspersky

 

 

Деинсталлируйте нежелательное ПО:

Цитата

 

Advanced SystemCare

Bonjour

Driver Booster 12

Wondershare Helper Compact 2.6.0

 

Если для успешного удаления требуется перезагрузка - перегружайте.

 

После этого дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[San4s2034]

Всё нужное удалил, из антивирусов оставил только Kaspersky. 

Addition.txt FRST.txt

[Sandor]

4 часа назад, San4s2034 сказал:

Всё нужное удалил

Однако Bitdefender Agent и Driver Booster 12 по-прежнему в списке установленных. Если не получается удалить стандартно, удалите принудительно через Geek Uninstaller

И 360 Total Security виден в списке приложений из Магазина Windows. Тоже удалите.

 

После удаления сделайте следующее:

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-1330159827-3114781407-3389976096-1001\...\MountPoints2: {b10f0515-7549-11ef-a5a8-9262a055e95b} - "E:\autorun.exe" 
  StartupDir: C:\Users\Public\OAP <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  Task: {C4D4BFF6-D812-4C35-AEE2-4E4A296D19C3} - \Microsoft\Windows\Wininet\winsers -> Нет файла <==== ВНИМАНИЕ
  Task: {EE5B5808-AD9B-443A-AE04-AC8FB180CF4B} - \Microsoft\Windows\Wininet\winser -> Нет файла <==== ВНИМАНИЕ
  Task: {4EDBAD1F-F81B-4463-ABFA-5148588AE26D} - System32\Tasks\ASC_PerformanceMonitor => "D:\Program Files (x86)\IObit\Advanced SystemCare\Monitor.exe"  -> D:\Program Files (x86)\IObit\Advanced SystemCare\\/Task
  Task: {2B59953E-62DC-4418-BA7F-B1A7C486618A} - System32\Tasks\ASC_SkipUac_san4s => "D:\Program Files (x86)\IObit\Advanced SystemCare\ASC.exe"  -> D:\Program Files (x86)\IObit\Advanced SystemCare\\/SkipUac
  Task: {6B77FECD-9F99-4FC6-BA63-F67D7FF27C48} - System32\Tasks\Bitdefender Agent WatchDog_65D6944A0EF74FDAB96E31112AD39864 => C:\Program Files\Bitdefender Agent\27.0.1.285\WatchDog.exe  -> C:\Program Files\Bitdefender Agent\27.0.1.285\repair
  Task: {E6ED8C65-ACB9-4980-A398-527CD4EB3BD6} - System32\Tasks\Driver Booster Scheduler => "C:\Program Files (x86)\IObit\Driver Booster\12.2.0\Scheduler.exe"  /scheduler (Нет файла)
  Task: {A24ED796-A0B3-4E8F-95C7-76DCBDE3CC4A} - System32\Tasks\Driver Booster SkipUAC (san4s) => "C:\Program Files (x86)\IObit\Driver Booster\12.2.0\DriverBooster.exe"  /skipuac (Нет файла)
  Task: {62521F02-FB81-4437-88B0-094AF6A6FF40} - System32\Tasks\Driver Booster Update => "C:\Program Files (x86)\IObit\Driver Booster\12.2.0\AutoUpdate.exe"  /auto (Нет файла)
  Task: {769D3C3F-27EA-4617-977A-4FF3C3724E69} - System32\Tasks\Microsoft\Windows\WindowsBackup\MasterData => C:\Windows\SysWOW64\unsecapp.exe  (Нет файла) <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url>
  S2 AdvancedSystemCareService18; "D:\Program Files (x86)\IObit\Advanced SystemCare\ASCService.exe" [X]
  S3 bdredline_agent; "C:\Program Files\Bitdefender Agent\redline\bdredline.exe" [X]
  S3 ProductAgentService; "C:\Program Files\Bitdefender Agent\ProductAgentService.exe" [X]
  S4 QHActiveDefense; "D:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe" [X]
  S4 QHProtected; "D:\Program Files (x86)\360\Total Security\safemon\WscReg.exe" [X]
  S3 360AvFlt; C:\Windows\SysWOW64\DRIVERS\360AvFlt.sys [100592 2023-12-21] (Microsoft Windows Hardware Compatibility Publisher -> 360.cn)
  R3 360netmon; C:\WINDOWS\System32\DRIVERS\360netmon.sys [96424 2023-03-15] (Qihoo 360 Software (Beijing) Company Limited -> 360.cn)
  S3 cpuz154; C:\WINDOWS\temp\cpuz154\cpuz154_x64.sys [40976 2025-02-20] (Microsoft Windows Hardware Compatibility Publisher -> CPUID) <==== ВНИМАНИЕ
  R3 360Box64; system32\DRIVERS\360Box64.sys [X]
  2025-02-21 12:55 - 2023-12-12 12:17 - 000000000 __SHD C:\Program Files (x86)\IObit
  2025-02-21 12:53 - 2020-03-15 21:14 - 000000000 __SHD C:\$360Section
  2024-09-14 13:16 C:\Program Files\AVAST Software
  2024-09-14 13:16 C:\Program Files\AVG
  2024-09-14 13:16 C:\Program Files\ByteFence
  2024-09-14 13:16 C:\Program Files\Cezurity
  2024-09-14 13:16 C:\Program Files\COMODO
  2024-09-14 13:16 C:\Program Files\DrWeb
  2024-09-14 13:16 C:\Program Files\Enigma Software Group
  2024-09-14 13:16 C:\Program Files\EnigmaSoft
  2024-09-14 13:16 C:\Program Files\ESET
  2024-09-14 13:16 C:\Program Files\HitmanPro
  2024-09-14 13:16 C:\Program Files\Loaris Trojan Remover
  2024-09-14 13:16 C:\Program Files\Malwarebytes
  2024-09-14 13:16 C:\Program Files\NETGATE
  2024-09-14 13:16 C:\Program Files\Process Hacker 2
  2024-09-14 13:16 C:\Program Files\Process Lasso
  2024-09-14 13:16 C:\Program Files\QuickCPU
  2024-09-14 13:16 C:\Program Files\Rainmeter
  2024-09-14 13:16 C:\Program Files\Ravantivirus
  2024-09-14 13:17 C:\Program Files\ReasonLabs
  2024-09-14 13:16 C:\Program Files\RogueKiller
  2024-09-14 13:16 C:\Program Files\SpyHunter
  2024-09-14 13:16 C:\Program Files\SUPERAntiSpyware
  2024-09-14 13:16 C:\Program Files\Transmission
  2024-07-23 03:25 C:\Program Files (x86)\360
  2024-09-14 13:16 C:\Program Files (x86)\AVAST Software
  2024-09-14 13:16 C:\Program Files (x86)\AVG
  2024-09-14 13:16 C:\Program Files (x86)\Cezurity
  2024-09-14 13:16 C:\Program Files (x86)\GPU Temp
  2024-09-14 13:16 C:\Program Files (x86)\GRIZZLY Antivirus
  2024-09-14 13:16 C:\Program Files (x86)\Microsoft JDX
  2024-09-14 13:16 C:\Program Files (x86)\Moo0
  2024-09-14 13:16 C:\Program Files (x86)\Panda Security
  2024-09-14 13:16 C:\Program Files (x86)\SpeedFan
  2024-09-14 13:16 C:\Program Files (x86)\SpyHunter
  2024-09-14 13:16 C:\Program Files (x86)\Transmission
  2024-09-14 13:16 C:\Program Files (x86)\Wise
  2024-09-15 19:51 C:\Program Files\Common Files\AV
  2024-09-14 13:16 C:\Program Files\Common Files\Doctor Web
  2024-09-14 13:16 C:\Program Files\Common Files\McAfee
  2024-09-14 13:17 C:\Users\79246\AppData\Roaming\Sysfiles
  2024-09-14 13:16 C:\ProgramData\AVAST Software
  2024-09-14 13:16 C:\ProgramData\Avira
  2024-09-14 13:16 C:\ProgramData\BookManager
  2024-09-14 13:16 C:\ProgramData\Doctor Web
  2024-09-14 13:16 C:\ProgramData\ESET
  2024-09-14 13:16 C:\ProgramData\Evernote
  2024-09-14 13:16 C:\ProgramData\FingerPrint
  2024-09-14 13:16 C:\ProgramData\grizzly
  2024-09-14 13:16 C:\ProgramData\McAfee
  2024-09-14 13:16 C:\ProgramData\Norton
  2024-09-14 13:16 C:\ProgramData\princeton-produce
  2024-09-14 13:16 C:\ProgramData\PuzzleMedia
  2024-09-14 13:16 C:\ProgramData\RobotDemo
  2024-09-14 13:16 C:\ProgramData\WavePad
  FCheck: C:\WINDOWS\SysWOW64\version_IObitDel.dll [2023-12-12] <==== ВНИМАНИЕ (нулевой байт Файл/Папка)
  AlternateDataStreams: C:\ProgramData\agent.1726433764.bdinstall.v2.bin:C8362185FE [2152]
  AlternateDataStreams: C:\ProgramData\agent.1726434135.bdinstall.v2.bin:4346F72DE9 [2152]
  AlternateDataStreams: C:\ProgramData\agent.update.1726434648.bdinstall.v2.bin:0EE81A9996 [2152]
  AlternateDataStreams: C:\ProgramData\cl.1726434556.bdinstall.v2.bin:AE53D06F64 [2152]
  AlternateDataStreams: C:\ProgramData\cl.kit.1726434555.bdinstall.v2.bin:0A99B7BD38 [2152]
  AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [2152]
  AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [2152]
  AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [2152]
  AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [2152]
  AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [2152]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{ef681c5f-a2c4-11ef-a5e7-d85ed3206d32}.TM.blf:BD4A6BB009 [2152]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{ef681c5f-a2c4-11ef-a5e7-d85ed3206d32}.TMContainer00000000000000000001.regtrans-ms:C81EA58C4A [2152]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{ef681c5f-a2c4-11ef-a5e7-d85ed3206d32}.TMContainer00000000000000000002.regtrans-ms:EABAC84CC9 [2152]
  AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfqfh [0]
  AlternateDataStreams: C:\ProgramData\xid.ini:1484A8F40E [2152]
  AlternateDataStreams: C:\ProgramData\xid.ini:1F6F1BC6A7 [6890]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\BPwin 4.0.lnk:20DDAC7CF7 [2152]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2152]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Docker Desktop.lnk:CBB8C4555E [2152]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\SoftEther VPN Client Manager.lnk:5148F90048 [2152]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\4DDiG Partition Manager.lnk:CF8542588F [2152]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:2C9A3618D0 [4322]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [2152]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Premiere Pro 2024.lnk:E6BA3D2773 [2152]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AmneziaWG.lnk:9D5798B91D [2152]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [2152]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [2152]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [2152]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook.lnk:5465085A2F [2152]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [7746]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Project.lnk:3B7F7AA2C3 [7746]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tenorshare 4DDiG.lnk:3A904C2E5E [7746]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visio.lnk:8113B7619D [6034]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [4322]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [4496]
  HKU\S-1-5-21-1330159827-3114781407-3389976096-1001\Software\Classes\regfile:  <==== ВНИМАНИЕ
  HKU\S-1-5-21-1330159827-3114781407-3389976096-1001\Software\Classes\.reg:  =>  <==== ВНИМАНИЕ
  HKU\S-1-5-21-1330159827-3114781407-3389976096-1001\Software\Classes\.bat:  =>  <==== ВНИМАНИЕ
  HKU\S-1-5-21-1330159827-3114781407-3389976096-1001\Software\Classes\.cmd:  =>  <==== ВНИМАНИЕ
  MSCONFIG\Services: Bonjour Service => 2
  HKLM\...\StartupApproved\Run32: => "Wondershare Helper Compact.exe"
  HKU\S-1-5-21-1330159827-3114781407-3389976096-1001\...\StartupApproved\Run: => "Advanced SystemCare"
  FirewallRules: [TCP Query User{A7ADECE1-D209-4070-97CA-5589C07274EC}D:\users\79246\mediaget2\mediaget.exe] => (Allow) D:\users\79246\mediaget2\mediaget.exe => Нет файла
  FirewallRules: [UDP Query User{5E47EAF3-4E1E-48DE-9745-9143D47575FE}D:\users\79246\mediaget2\mediaget.exe] => (Allow) D:\users\79246\mediaget2\mediaget.exe => Нет файла
  FirewallRules: [TCP Query User{303C10FC-BD6E-47DA-AD52-CCC599E7F93C}D:\users\79246\mediaget2\qtwebengineprocess.exe] => (Allow) D:\users\79246\mediaget2\qtwebengineprocess.exe (The Qt Company Oy -> The Qt Company Ltd.)
  FirewallRules: [UDP Query User{9376DDF9-C8D8-49F5-9F78-4A753926592D}D:\users\79246\mediaget2\qtwebengineprocess.exe] => (Allow) D:\users\79246\mediaget2\qtwebengineprocess.exe (The Qt Company Oy -> The Qt Company Ltd.)
  FirewallRules: [{10D1E57A-9C83-48B3-81D8-0D32C3BC8AA0}] => (Allow) D:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
  FirewallRules: [{DD152868-C423-4A08-98D3-49791E195636}] => (Allow) D:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

На системном диске мало свободного места:

Drive C ( ) (Fixed) (Total:237.44 GB) (Free:12.88 GB)

Постарайтесь освободить хотя бы до 50 GB.

 

Для верности соберите такой отчёт:

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

[San4s2034]

Все остатки приложений удалил через гик, вот отчёты. Место пока освободить не получиться(проблемно перенести бд из postgreSQL).

CollectionLog-2025.02.21-20.53.zip AV_block_remove_2025.02.21-20.41.log

[Sandor]

2 часа назад, Sandor сказал:

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению

Этот файл ещё прикрепите.

[San4s2034]

Вот, извините.

Fixlog.txt

Сейчас проверил, всё также стоит лок на 75 фпс...

[Sandor]

Ещё один скрипт выполните, пожалуйста:

 

Отключите до перезагрузки антивирус.

• Выделите следующий код:

  Start::
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
  Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\MicrosoftHost.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\Windows Tasks Service\winserv.exe"
  Remove-MpPreference -ExclusionPath "C:\Users\79246"
  Remove-MpPreference -ExclusionExtension ".exe"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[San4s2034]

Выполнил. 

Fixlog.txt

 

Я проверил проблему в других играх, она пропала(CS2, Minecraft, Raft). Всё пришло в норму, но в Valorant, всё также остался лок на 75фпс. Сейчас пробую его переустановить.

[Sandor]

Хорошо. Что сейчас с проблемой?

[San4s2034]

Он весит почти 55 гигов, поэтому позже сообщу.

 

[Sandor]

Да, предыдущие сообщения мы написали одновременно

Хорошо, ждём результат.