Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Майнер маскируется под Explorer, два проводника один из которых ест 50 цп при выключенном диспетчере задач

kopia_921

Автор kopia_921
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Mark D. Pearlstone Мудрец

Mark D. Pearlstone

Опубликовано
Опубликовано

Прочтите внимательно правила по ссылке во втором сообщении. Выполните и выложите то, что требуется. Новую тему создавать не нужно.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Значит вирусы тут не причем. Ибо в безопасном режиме даже не все системные программы стартуют.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
kopia_921 Новичок

kopia_921

Опубликовано
  • Автор
Опубликовано

странно, раньше такого не было вот Файлы FRST.txt и Addition.txt

Downloads.rar

 

вирусы причем. у меня 2 проводника один грузит под 50 цп другой под 0,1

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Ничего плохого логи не показывают, только мусорные записи очистим.

 

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O4 - MountPoints2: HKCU\..\{1708170c-1385-11ef-ae3c-88aedd199509}\shell\AutoRun\command: (default) = E:\setup.exe (file missing)
O4 - MountPoints2: HKCU\..\{54139b6c-f13b-11ef-b1f2-88aedd199509}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{68d6e1ed-f10b-11ef-b1f0-88aedd199509}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O22 - Task (.job): (Not scheduled) CCleanerCrashReporting.job - D:\Games\CCleaner\CCleanerBugReport.exe (file missing)
O22 - Tasks: CCleaner Update - D:\Games\CCleaner\CCUpdate.exe (file missing)
O22 - Tasks: CCleanerCrashReporting - D:\Games\CCleaner\CCleanerBugReport.exe --product 90 --send dumps|report --path "D:\Games\CCleaner\LOG" --programpath "D:\Games\CCleaner" --guid "8a11b028-5762-4c3e-baf3-ed1f0e203a03" --version "6.30.11385" --silent (file missing)
O22 - Tasks: CCleanerSkipUAC - Кирилл - D:\Games\CCleaner\CCleaner.exe $(Arg0) (file missing)
O22 - Tasks: LMS - C:\Users\Кирилл\AppData\Local\Ndemic Creations\LMS.exe (file missing)
O22 - Tasks: Wakeup-ChromaCam-Service - C:\Program Files (x86)\Personify\ChromaCam\wakeup-chromacam-service.bat (file missing)
O22 - Tasks_Migrated: (telemetry) NvTmRep_CrashReport1_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe (file missing)
O22 - Tasks_Migrated: (telemetry) NvTmRep_CrashReport2_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe (file missing)
O22 - Tasks_Migrated: (telemetry) NvTmRep_CrashReport3_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe (file missing)
O22 - Tasks_Migrated: (telemetry) NvTmRep_CrashReport4_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe (file missing)
O22 - Tasks_Migrated: \GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem132.0.6833.0{BAF24218-AD21-4067-A4F6-33A9F0A0C83D} - C:\Program Files (x86)\Google\GoogleUpdater\132.0.6833.0\updater.exe --wake --system (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Location\Notifications - C:\WINDOWS\System32\LocationNotificationWindows.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\NetTrace\GatherNetworkInfo - C:\WINDOWS\system32\gatherNetworkInfo.vbs (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\PI\SecureBootEncodeUEFI - C:\WINDOWS\system32\SecureBootEncodeUEFI.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Security\Pwdless\IntelligentPwdlessTask - {8702A841-D5CA-47C3-812D-9CEDC304C200} - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance - C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24090.11-0\MpCmdRun.exe -IdleTask -TaskName WdCacheMaintenance (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Cleanup - C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24090.11-0\MpCmdRun.exe -IdleTask -TaskName WdCleanup (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan - C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24090.11-0\MpCmdRun.exe Scan -ScheduleJob -ScanTrigger 55 -IdleScheduledJob (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Verification - C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24090.11-0\MpCmdRun.exe -IdleTask -TaskName WdVerification (file missing)
O22 - Tasks_Migrated: NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NVIDIA GeForce Experience\NVIDIA GeForce Experience.exe (file missing)
O22 - Tasks_Migrated: NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files (x86)\NVIDIA Corporation\NvNode\nvnodejslauncher.exe --launcher=TaskScheduler (file missing)
O22 - Tasks_Migrated: NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\Update Core\NvProfileUpdater64.exe (file missing)
O22 - Tasks_Migrated: NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\Update Core\NvProfileUpdater64.exe (file missing)
O22 - Tasks_Migrated: OpenUrlEaseUSMobiMover - C:\Program Files (x86)\EaseUS\EaseUS MobiMover\bin\openUrl.exe /skipuac (file missing)
O22 - Tasks_Migrated: Wakeup-ChromaCam-Service - C:\Program Files (x86)\Personify\ChromaCam\wakeup-chromacam-service.bat (file missing)
O22 - Tasks_Migrated: Восстановление сервиса обновлений Яндекс Браузера - C:\Program Files (x86)\Yandex\YandexBrowser\24.10.3.825\service_update.exe --repair (file missing)
O22 - Tasks_Migrated: Системное обновление Браузера Яндекс - C:\Program Files (x86)\Yandex\YandexBrowser\24.10.3.825\service_update.exe --run-as-launcher (file missing)

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKU\S-1-5-21-3187267963-2786948786-3433133948-1001\...\Run: [YandexBrowserAutoLaunch_C0DB4CFAB24AC184C69D68DF164C154B] => "C:\Users\Кирилл\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
HKU\S-1-5-21-3187267963-2786948786-3433133948-1001\...\MountPoints2: {1708170c-1385-11ef-ae3c-88aedd199509} - "E:\setup.exe" 
HKU\S-1-5-21-3187267963-2786948786-3433133948-1001\...\MountPoints2: {54139b6c-f13b-11ef-b1f2-88aedd199509} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3187267963-2786948786-3433133948-1001\...\MountPoints2: {68d6e1ed-f10b-11ef-b1f0-88aedd199509} - "E:\HiSuiteDownLoader.exe" 
Task: {2E5372E4-F17C-4CE8-9F43-813FA0F510EC} - System32\Tasks\%FileName% => "C:\Users\Кирилл\AppData\Local\Ndemic Creations\%PathName%\%FileName%"  (Нет файла)
Task: {F8739428-0A0A-496C-A588-8B1B82FA035A} - System32\Tasks\OpenUrlEaseUSMobiMover => "C:\Program Files (x86)\EaseUS\EaseUS MobiMover\bin\openUrl.exe"  /skipuac (Нет файла)
CustomCLSID: HKU\S-1-5-21-3187267963-2786948786-3433133948-1001_Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32 ->  => Нет файла
ContextMenuHandlers1: [BB FlashBack 2] -> {A8065B9E-193F-4797-B62D-8F6321E7FCCB} =>  -> Нет файла
C:\Users\Кирилл\Creative Cloud Files aleksandrvyganov06@gmail.com 6daf264f835bef8bb821f5703b9119d846a46a591f014faaa940519e1cfa3849\_Облачные документы.lnk
AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [3442]
AlternateDataStreams: C:\ProgramData\sguasgrp.vby:BC52636AE7 [3442]
AlternateDataStreams: C:\ProgramData\vxnylktj.vfa:B3448A612E [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ChromaCam.lnk:01119AB280 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FL Cloud Plugins.lnk:E6EEB5392F [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Geometry Dash.lnk:1767000A43 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote.lnk:60EC9648C0 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook (classic).lnk:BE800952D3 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3442]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [3864]
HKU\S-1-5-21-3187267963-2786948786-3433133948-1001\...\StartupApproved\StartupFolder: => "startup.vbs"
HKU\S-1-5-21-3187267963-2786948786-3433133948-1001\...\StartupApproved\Run: => "taskhostw"
HKU\S-1-5-21-3187267963-2786948786-3433133948-1001\...\StartupApproved\Run: => "CCleaner Smart Cleaning"
C:\Users\Кирилл\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\taskhostw.lnk
C:\Users\Кирилл\AppData\Local\Temp\TerryHackExtra.exe
C:\Users\Кирилл\Downloads\TerryHackExtra!.exe
c:\programdata\taskhostw.exe
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты
kopia_921 Новичок

kopia_921

Опубликовано
  • Автор
Опубликовано
10 минут назад, kopia_921 сказал:

пофиксил а куда вставлять скрипт который вы дали?

 

 

10 минут назад, kopia_921 сказал:

вот лог вобщем

пофиксил а куда вставлять скрипт который вы дали?

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sencity72
      вирус который маскируется под системный процесс Телефон Microsoft Windows
      Автор sencity72
      Добрый день, поймал вирус - силно загружает энергопотребление - ноутбук работает на максимальном охлождении постоянно - ранее небыло видно этого процесса в диспетчере задач, а теперь он на самом верху -  Телефон Microsoft Windows, при попытке отключить процесс - система уходит в синий экран
      CollectionLog-2025.04.25-19.02.zip
    • pudge_djadj
      Майнер маскируется под explorer.exe
      Автор pudge_djadj
      Здравствуйте, форумчане, у меня случилась пренеприятная ситуация, схватил майнер, маскируется под проводник, при запуске диспетчера задач и редактора реестра прекращает активность, обнаружил с помощью мониторинга ресурсов амд + system informer (почему-то его майнер не боится). Путь процесса ведет к обычному проводнику, попытки детекта через cureit, AV block remover и microsoft defender плодов не дали. Помогите, пожалуйста, забороть гада.
       

      Вот путь, по которому ведет данный процесс:
       
    • Silverqt
      Восстановление доступа к Планировщику задач и gpedit.msc после майнера
      Автор Silverqt
      Добрый день Уважаемые форумчане, недавно обнаружил у себя майнер на ПК, понял это по характерной "усиленной" работе пк в простое и загрузке ЦП в 99%. Самостоятельно в безопасном режиме прошел проверку через VRT от Kaspersky и ESET Online Scanner. Так же самостоятельно попытался отыскать необычный процесс через  Farbar Recovery Scan Tool но к сожалению ничего не обнаружил. ПК работает в штатном режиме, но мне не доступны такие команды как: gpedit.msc и Планировщику задач Windows. Помогите пожалуйста вернуть к ним доступ. FRST.txt и Addition.txt от FRST прикрепляю FRST.txtAddition.txt
    • --GoSSaMeR--
      Скачал "Nanominer"-майнер + ещё "ddxdiag"-троян хочу удалить, но они восстанавливаются, в диспетчере задач отображается как "системные прерывания, нужна помощь, пожалуйста
      Автор --GoSSaMeR--
      скачал обход дискорда от PeekBot а там майнер, Cureit нашел exe файл и удалил его но он восстановился
    • Cococanuth
      [РЕШЕНО] Вирус не даёт переустановить виндовс, закрывает все сайты с решениями проблемы, не даёт запуститься антивирусам, закрывает диспетчер задач
      Автор Cococanuth
      Обнаружилось вчера вечером. Вирус закрывает диспетчер задач (иногда все таки пропускает и он открывается). При поиске в браузерах сайтов с решением проблемы автоматически закрывает их. Закрывает exe-установщики, анитивирусники, автологгеры и подобные программы. Подозреваю о наличии скрытыго пользователя - администратора (некоторые папки с закрытым доступом, некоторые функции недоступны к выполнению). Решение похожей проблемы здесь от 8 мая 2022 не помогло, так как не удаётся установить ни одно приложение (при изменении имени файлов, они не запускаются) 
×
×
  • Создать...