Перейти к содержанию

Подозрение на майнер


Рекомендуемые сообщения

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2025-02-23 14:01 - 2025-01-06 17:39 - 000000000 ____D C:\Users\user\AppData\Roaming\.tlauncher
2025-02-23 14:01 - 2025-01-06 17:39 - 000000000 ____D C:\Users\user\AppData\Roaming\.minecraft
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты

4 минуты назад, safety сказал:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Лишь бы помогло, очень надеюсь, сейчас посмотрел ЦП в диспетчере задач всё ещё со 100% резко падает

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Попробуйте еще раз uVS запустить и зайти в главное меню (откуда вы запускали создание образа автозапуска)

В верхней линейке меню, там где Файл, Скрипт, и далее, найдите Запустить.

В окне "запустить" выберите "просмотр активности процессов". (Alt+D)

Отсортируйте столбец по загрузке ЦП по убыванию, т.е. процессы с максимальной нагрузкой будут вверху.

Сделайте скриншот окна процессов, чтобы был разборчив. Добавьте в ваше сообщение, посмотрим, что там нагружает.

 

И кстати, в образе uVS не показывает, что какой-то процесс нагружает процессор под 100%.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

1 час назад, safety сказал:

И кстати, в образе uVS не показывает, что какой-то процесс нагружает процессор под 100%

Чтото же должно так нагружаться, даже сейчас с этим майнером решил поиграть в майнкрафт фпс всё ещё низкий, и скриншотил я по пол-ползунка чтобы не потерялись вы, а то процессы меняются то вверх то вниз

Спойлер

Снимок экрана 2025-02-23 194007.png

Снимок экрана 2025-02-23 194023.png

Снимок экрана 2025-02-23 194028.png

Снимок экрана 2025-02-23 194033.png

Снимок экрана 2025-02-23 194038.png

Снимок экрана 2025-02-23 194044.png

Снимок экрана 2025-02-23 194049.png

Снимок экрана 2025-02-23 194056.png

Снимок экрана 2025-02-23 194100.png

 

Ссылка на комментарий
Поделиться на другие сайты

12 часов назад, SuPeR_1 сказал:

Чтото же должно так нагружаться

Область с нулями по CPU, GPU можно было не скриншотить.

Судя по скрину этот процесс >

C:\PROGRAM FILES\WINDOWSAPPS\12030ROCKSDANISTER.LIVELYWALLPAPER_1.0.144.0_X64__97HTA09MMV6HY\BUILD\PLUGINS\MPV\MPV.EXE

(без цифровой подписи: Отсутствует либо ее не удалось проверить)

> активно использует ресурс видеокарты.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

10 часов назад, safety сказал:

Судя по скрину этот процесс >

C:\PROGRAM FILES\WINDOWSAPPS\12030ROCKSDANISTER.LIVELYWALLPAPER_1.0.144.0_X64__97HTA09MMV6HY\BUILD\PLUGINS\MPV\MPV.EXE

(без цифровой подписи: Отсутствует либо ее не удалось проверить)

> активно использует ресурс видеокарты.

И что делать, удалить MPV.EXE? Это и есть майнер вирус троян? 

 

Ссылка на комментарий
Поделиться на другие сайты

Просто для начала переименуйте его в mpv.vexe, пронаблюдайте, как это повлияет на работу приложений, и на проблему, которую вы наблюдали. Детекта по нему нет. Майнер это или нет, это еще неизвестно, но по скрину видно что активно использует ресурсы видеокарты.

Ссылка на комментарий
Поделиться на другие сайты

3 часа назад, safety сказал:

да, этого будет достаточно, чтобы исполняемый файл не запустился.

знаете как получить доступ?
просто ищу всё ещё как получить.

Снимок экрана 2025-02-24 164639.png

 

3 часа назад, SuPeR_1 сказал:

знаете как получить доступ?

а не надо, есть теперь другая проблема

Снимок экрана 2025-02-24 165513.png

Снимок экрана 2025-02-24 165529.png

Снимок экрана 2025-02-24 165534.png

Снимок экрана 2025-02-24 165538.png

(Администраторы) это я насколько я понял

Ссылка на комментарий
Поделиться на другие сайты

А просто переименовать файл с правами администратора у вас не получилось? используйте файловый менеджер: far или total commander, чтобы вы могли видеть расширение этого файла.

Ссылка на комментарий
Поделиться на другие сайты

6 минут назад, safety сказал:

используйте файловый менеджер: far

А как использовать, извиняюсь за вопрос, впервые слышу про файловые менеджеры😥

5 минут назад, andrew75 сказал:

Я извиняюсь что вмешиваюсь, скорее всего это Rocksdanister Lively Wallpaper. То есть "живые обои". К которым плагином идет MPV player.

И что делать, вы знаете?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Aman2008
      Автор Aman2008
      Месяц или 3 недели назад заметил как упал фпс в играх и в ДЗ при открывании ЦП резко падает со 100%, скачал касперский стандарт и он его не видит в полную проверку.
      CollectionLog-2025.03.05-20.40.zip
    • itriedsohard
      Автор itriedsohard
      Недавно подловил при скачке множеста файлов с неизвестных источников и наловил вирусов. Вирус блокирует установку любого антивируса (Malwerbytes, 360 total sec, ESET, Avast, так же некторые утилиты как RogueKiller). Блокировал возможность восстановление через точки восстановления но по гайдам на ютубе удалось это разблокировать - не помогло. В безопасном режиме всё ещё нельзя установить никакой антивирус. Блокировки каких то сайтов со стороны вируса не увидел, заметил только небольшое падение FPS в играх. AutoLogger репорт прикрепил. Очень надеюсь на вашу помощь!




      CollectionLog-2025.03.02-02.47.zip
    • KL FC Bot
      Автор KL FC Bot
      В последние полгода особую популярность в России получили драйверы Windows Packet Divert для перехвата и модификации сетевого трафика в Windows-системах. С августа по январь 2024 года частота их обнаружения выросла практически вдвое. Основная причина — задействование этих драйверов в инструментах для обхода блокировок известных зарубежных ресурсов.
      Такой рост популярности не остался незамеченным злоумышленниками. Они активно распространяют вредоносное ПО под видом программ для обхода блокировок и делают это, шантажируя блогеров. Поэтому каждый раз, смотря видео с названием «Как обойти блокировку…», будьте особенно внимательны — даже самый проверенный и честный контент-мейкер может, сам того не зная, распространять стилеры, майнеры и прочие гадости.
      Как злоумышленники зарабатывают на блокировках и при чем тут блогеры — читайте в этом материале.
      Хакеры мимикрируют под честных разработчиков
      Программных способов обхода ограничений зарубежных ресурсов довольно много, но все их объединяет одно — они созданы малоизвестными авторами. Распространяются такие программы органически: энтузиаст написал код, показал его своим друзьям, опубликовал видео на эту тему — и вуаля! Еще вчера никому неизвестный программист стал «народным спасителем», его репозиторий на GitHub сохранили более десяти тысяч раз, люди благодарят за возможность пользоваться привычными ресурсами. Как раз о такой истории, когда злоумышленники раскручивают репозиторий с вредоносным ПО, мы недавно писали в блоге Kaspersky Daily.
      Таких энтузиастов могут быть даже десятки и сотни — но кто они такие и можно ли им доверять? Это, пожалуй, главные вопросы, которые должны волновать как активных, так и потенциальных пользователей таких программ. Особенно насторожить должны сопутствующие рекомендации подобных авторов по отключению антивируса. Отключить защиту, чтобы добровольно дать потенциальному хакеру доступ к своему устройству? Рискованная затея.
      Отключать антивирус на время установки программы советуют из-за якобы «ложных» срабатываний
      Конечно же, под личиной народного спасителя может оказаться хакер, которому на руку подобные советы. Беззащитное устройство уязвимо перед семействами NJRat, XWorm, Phemedrone, DCRat, которые наиболее активно распространялись вместе с подобным ПО.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      В начале 2025 года китайский чат-бот DeepSeek взорвал инфополе. Новинку обсуждали, кажется, повсюду: сравнивали логотип с нашим, искали сходства с ChatGPT, а в Италии, Южной Корее, Австралии и других странах и вовсе заблокировали доступ к DeepSeek. Ажиотаж был и остается на высочайшем уровне, в том числе и со стороны злоумышленников.
      Мы обнаружили несколько групп сайтов, копирующих официальный сайт чат-бота и распространяющих вредоносный код под видом якобы легитимного клиента. Как именно действуют кибернегодяи и как работать с ИИ безопасно — читайте в этом материале.
      Вредоносные скрипты и геофенсинг
      Было зафиксировано несколько схем распространения зловреда, которые имели кое-что общее — во всех случаях использовались поддельные сайты DeepSeek. А разница в том, как и что распространяли злоумышленники через эти сайты. В этой публикации мы подробно расскажем об одной из схем, о других вы можете прочитать в полной версии исследования на Securelist.
      О чем вы подумаете, если окажетесь на сайтах с доменами deepseek-pc-ai[.]com и deepseek-ai-soft[.]com? Вероятнее всего, предположите, что там можно найти какой-то софт, связанный с новинкой в мире ИИ. А какой там может быть софт? Конечно же, клиент DeepSeek! И впрямь, при посещении этих сайтов можно заметить большую кнопку Download («Загрузить») и чуть менее яркую Start Now («Начать сейчас»).
      Страница фейкового сайта DeepSeek
       
      View the full article
    • ARKHIPOV
      Автор ARKHIPOV
      Добрый день! Пару дней назад компьютер после стандартного запуска вывел синий экран (BSOD). При отключении интернет соединения данная проблема исчезла. Это побудило меня приобрести ключ к Касперскому (до этого пользовался Malware, пробником, который истек и защиту в реальном времени уже не оказывал). Проверив ПК на вирусы, обнаружились Трояны (к сожалению логов и скринов не сохранил, причина дальше). Вирус сидел в exeшнике GoogleUpdate. Отключил службы, связанные с апдейтом гугла, удалил файлы связанные с ним, после полной проверки перезагрузил ПК и обнаружил надпись в Касперском: "Некоторые компоненты защиты повреждены", переустановил К (сообщение пропало и логи про удаленный вирус тоже), снова проверил на вирусы, снова перезагрузил, получил тот же результат. У меня подозрение на наличие майнера, который не удаляется стандартным путем и сидит где-то в системных файлах и службах. Прошу помочь восстановить работу служб и системы. Без интернет соединения ПК летает хорошо, при подключении работает медленней.
      CollectionLog-2025.02.18-11.00.zip
×
×
  • Создать...