Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Подозрение на майнер

SuPeR_1

Автор SuPeR_1
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

safety Гигант мысли

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2025-02-23 14:01 - 2025-01-06 17:39 - 000000000 ____D C:\Users\user\AppData\Roaming\.tlauncher
2025-02-23 14:01 - 2025-01-06 17:39 - 000000000 ____D C:\Users\user\AppData\Roaming\.minecraft
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 55
  • Создана
  • Последний ответ

Топ авторов темы

  • SuPeR_1

    28

  • safety

    23

  • Sandor

    3

  • andrew75

    2

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

andrew75
andrew75

Я извиняюсь что вмешиваюсь, скорее всего это Rocksdanister Lively Wallpaper. То есть "живые обои". К которым плагином идет MPV player.

safety
safety

На этом пока и остановимся.

Изображения в теме

SuPeR_1 Постоялец

SuPeR_1

Опубликовано
  • Автор
Опубликовано
4 минуты назад, safety сказал:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Лишь бы помогло, очень надеюсь, сейчас посмотрел ЦП в диспетчере задач всё ещё со 100% резко падает

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Попробуйте еще раз uVS запустить и зайти в главное меню (откуда вы запускали создание образа автозапуска)

В верхней линейке меню, там где Файл, Скрипт, и далее, найдите Запустить.

В окне "запустить" выберите "просмотр активности процессов". (Alt+D)

Отсортируйте столбец по загрузке ЦП по убыванию, т.е. процессы с максимальной нагрузкой будут вверху.

Сделайте скриншот окна процессов, чтобы был разборчив. Добавьте в ваше сообщение, посмотрим, что там нагружает.

 

И кстати, в образе uVS не показывает, что какой-то процесс нагружает процессор под 100%.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
SuPeR_1 Постоялец

SuPeR_1

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

И кстати, в образе uVS не показывает, что какой-то процесс нагружает процессор под 100%

Чтото же должно так нагружаться, даже сейчас с этим майнером решил поиграть в майнкрафт фпс всё ещё низкий, и скриншотил я по пол-ползунка чтобы не потерялись вы, а то процессы меняются то вверх то вниз

Спойлер

Снимок экрана 2025-02-23 194007.png

Снимок экрана 2025-02-23 194023.png

Снимок экрана 2025-02-23 194028.png

Снимок экрана 2025-02-23 194033.png

Снимок экрана 2025-02-23 194038.png

Снимок экрана 2025-02-23 194044.png

Снимок экрана 2025-02-23 194049.png

Снимок экрана 2025-02-23 194056.png

Снимок экрана 2025-02-23 194100.png

 

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
12 часов назад, SuPeR_1 сказал:

Чтото же должно так нагружаться

Область с нулями по CPU, GPU можно было не скриншотить.

Судя по скрину этот процесс >

C:\PROGRAM FILES\WINDOWSAPPS\12030ROCKSDANISTER.LIVELYWALLPAPER_1.0.144.0_X64__97HTA09MMV6HY\BUILD\PLUGINS\MPV\MPV.EXE

(без цифровой подписи: Отсутствует либо ее не удалось проверить)

> активно использует ресурс видеокарты.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
SuPeR_1 Постоялец

SuPeR_1

Опубликовано
  • Автор
Опубликовано
10 часов назад, safety сказал:

Судя по скрину этот процесс >

C:\PROGRAM FILES\WINDOWSAPPS\12030ROCKSDANISTER.LIVELYWALLPAPER_1.0.144.0_X64__97HTA09MMV6HY\BUILD\PLUGINS\MPV\MPV.EXE

(без цифровой подписи: Отсутствует либо ее не удалось проверить)

> активно использует ресурс видеокарты.

И что делать, удалить MPV.EXE? Это и есть майнер вирус троян? 

 

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Просто для начала переименуйте его в mpv.vexe, пронаблюдайте, как это повлияет на работу приложений, и на проблему, которую вы наблюдали. Детекта по нему нет. Майнер это или нет, это еще неизвестно, но по скрину видно что активно использует ресурсы видеокарты.

Ссылка на комментарий
Поделиться на другие сайты
SuPeR_1 Постоялец

SuPeR_1

Опубликовано
  • Автор
Опубликовано
3 часа назад, safety сказал:

да, этого будет достаточно, чтобы исполняемый файл не запустился.

знаете как получить доступ?
просто ищу всё ещё как получить.

Снимок экрана 2025-02-24 164639.png

 

3 часа назад, SuPeR_1 сказал:

знаете как получить доступ?

а не надо, есть теперь другая проблема

Снимок экрана 2025-02-24 165513.png

Снимок экрана 2025-02-24 165529.png

Снимок экрана 2025-02-24 165534.png

Снимок экрана 2025-02-24 165538.png

(Администраторы) это я насколько я понял

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

А просто переименовать файл с правами администратора у вас не получилось? используйте файловый менеджер: far или total commander, чтобы вы могли видеть расширение этого файла.

Ссылка на комментарий
Поделиться на другие сайты
SuPeR_1 Постоялец

SuPeR_1

Опубликовано
  • Автор
Опубликовано
6 минут назад, safety сказал:

используйте файловый менеджер: far

А как использовать, извиняюсь за вопрос, впервые слышу про файловые менеджеры😥

5 минут назад, andrew75 сказал:

Я извиняюсь что вмешиваюсь, скорее всего это Rocksdanister Lively Wallpaper. То есть "живые обои". К которым плагином идет MPV player.

И что делать, вы знаете?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Milink
      [РЕШЕНО] Подозрение на майнер
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
    • FMEKLW
      [РЕШЕНО] Подозрение на майнер
      Автор FMEKLW
      Как-то просто решил зайти в диспетчер задач и посмотреть процессы, и увидел 3 процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Сам просто решил пока ничего не делать, а поискать информации об этой теме. И вот я здесь нашёл обсуждения с помощью по данной теме. Честно не знаю, что мог скачать, из-за чего это появилось: либо игры, либо русификаторы, либо что-то другое. Все скачивал по прямой ссылке, с облаков, с MediaGet и uTorrent. Никаких проблем я особо не увидел, как у других. Т.е. люди писали про проблемы с расширениями в Chrome, коих у себя я не обнаружил, ведь я пользуюсь из браузеров только Яндексом, в котором ничего странного тоже нету.CollectionLog-2025.07.11-23.07.zip
    • Vovkaproshka
      Подозрение на майнер
      Автор Vovkaproshka
      После установки лоадера впнов появился процесс setup нагружает только оперативку.
      Doctor  web antivirus удаляет три трояна, после сетап пропадает из процессов, после перезагрузки процесс снова появляется, думаю прикрепился к какому-то приложению, через безопасный режим также после удаления и перезагрузки загружается,  находится по пути AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC
    • searing
      [РЕШЕНО] Подозрение на майнер
      Автор searing
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock, с обфусцированным js кодом. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами doctor web cureit и malwarebytes - не помогло. CollectionLog-2025.07.04-05.50.zip
    • yestryl
      [РЕШЕНО] подозрение на майнер/стиллер
      Автор yestryl
      скачал программу с торрента. после этого начали запускаться три процесса "setup", которые пытаются отправить файлы на левый сайт,нагружают компьютер. папка с этим процессом создается по пути Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC.
      CollectionLog-2025.07.13-21.57.zip
×
×
  • Создать...