[РЕШЕНО] Касперский не видит майнер

[Solnepek7]

Помогите пожалуйста, никак не могу найти майнер на ноутбуке. Почему думаю что майнер, потому что при включении диспетчера задач или process exp, ноут сразу затихает и вентиляторы не крутятся, как только диспетчер закрою, сразу большая активность. Сижу битый час общаюсь с DeepSeek, он там что то рекомендует, но не видит(я скрины ему кидал). Скачал SystemInformer (process hacker тот же), тут уже интереснее, при закрытии диспетчера cmd.exe грузит CPU до 33% и жрет 2.4гб памяти, но в дереве процессов не могу найти этот искомый файл что так грузит и запускается через команду. При открытии диспетчера process hacker сразу показывает что cpu в норме, 99% простаивает и файл закрывается. То есть при открытии диспетчера майнер закрывается, с помощью  process hacker не получается найти, банально не понимаю куда тыкать, да же с помощью нейрухи, deepseek иногда говорит несуществующие вкладки. Пришёл к реальным людям)
Логи прикрепил, в безопасном режиме включал, всё тихо, шума нет, 99% простой системы. 3 раза сделал полную проверку касперским, не видит

CollectionLog-2025.06.11-19.09.zip

Изменено 11 июня пользователем Solnepek7

[safety]

Сделайте дополнительно образ автозапуска в uVS с отслеживанием процессов и задач:

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

[Solnepek7]

да же тут проблема😞

[safety]

Уточните в чем проблема.

Если архив программ не скачивается по указанной ссылке, скачайте отсюда:

 

[Solnepek7]

Готово. Скачать uVS c зеркала программы(самая первая ссылка что вы скинули) получилось только когда впн включил. Что наверное странно? Живу в России

FIJI_2025-06-11_20-18-20_v5.0.RC2.v x64.7z

[safety]

43 минуты назад, Solnepek7 сказал:

Что наверное странно? Живу в России

Известно на текущий момент что есть проблемы с доступом к сайту chklst.ru у TTK.

Образ сейчас гляну.

Вижу по образу что есть проблемы:

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSTEM32\CMD.EXE [1540]

(!) Процесс нагружает CPU: C:\WINDOWS\SYSTEM32\CMD.EXE

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\CMD.EXE [1540], tid=4144

Поток создан: 2025-06-11 20:17:02.191

 

Цепочка запуска для процесса с pid 1540

 

 

Видим, что этот файл/процесс является родительским для процесса cmd.exe с внедрением потоков.

скрипт очистки сейчас добавлю.

 

 

Изменено 11 июня пользователем safety

[safety]

По очистке системы:

 

По очистке системы в uVS

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.RC2.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ЕГОР\APPDATA\ROAMING\SYS64\WLANSINF\SVCSYS64.EXE
icsuspend
;---------command-block---------
delref %SystemDrive%\USERS\ЕГОР\APPDATA\ROAMING\SYS64\WLANSINF\SVCSYS64.EXE
del %SystemDrive%\USERS\ЕГОР\APPDATA\ROAMING\SYS64\WLANSINF\SVCSYS64.EXE
delall %SystemDrive%\PROGRAM FILES\CLIENT HELPER\CLIENT HELPER.EXE

apply
REGT 40

czoo
restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Файл ZOO*** из папки uVS прикрепите к вашему сообщению,

+

добавьте новые логи FRST для контроля

Изменено 11 июня пользователем safety

[Solnepek7]

Готово, решил заново ради интереса скачать вашу первую ссылку утилиты uVS c зеркала программы и о чудо скачивание без проблем))
Открыл Sistem Informer и cmd.exe уже нет, всё тихо (ура ура)
Вам всё еще прикреплять файл ZOO? А то 700мб весит, я на диск закину и скину ссылку если нужно

[safety]

6 минут назад, Solnepek7 сказал:

Вам всё еще прикреплять файл ZOO? А то 700мб весит, я на диск закину и скину ссылку если нужно

да, сделайте, пожалуйста, так.

(да, размер огромный, не обратил сразу внимание.

800065024 байт)

проверить на VT не получится, ну хотя бы штатный антивирус проинспектируем.

+

+

добавьте новые логи FRST для контроля

 

Возможно что то еще надо почистить в системе через FRST.

Изменено 11 июня пользователем safety

[Solnepek7]

ZOO - https://disk.yandex.ru/d/nrjcUxzyfXn79w

safezone еле еле прогрузился и при скачивании Farbar опять 0б в сек.(еще одна проблема?  ) Включил впн, все быстро скачалось
логи с FRST

FRST.txt Addition.txt

[safety]

То что мы удалили в uVS,  в логи FRST уже не попало, значит нагрузки на ЦП быть не должно.

Проверьте, как другие сайты по инфобезопасности открываются:

virusinfo.info

anti-malware,ru

drweb.ru

chklst.ru

 

Продолжаем очистку системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
HKU\S-1-5-21-871676286-343605000-2596813242-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {9BDD0EAE-B704-4812-A4D6-475162CD5809} - System32\Tasks\EdgeUpdate => C:\Windows\system32\cmd.exe [289792 2024-05-15] (Microsoft Windows ->
ShellIconOverlayIdentifiers: [    YandexDisk1 SyncDone] -> {C5F6CDD1-FB7B-4971-A53F-4B00757F756B} =>  -> Нет файла
ShellIconOverlayIdentifiers: [    YandexDisk2 SyncProgress] -> {75EF3512-D401-4172-BA0F-00E000DCBCE4} =>  -> Нет файла
ShellIconOverlayIdentifiers: [    YandexDisk3 SyncDisabled] -> {8EEE3CD5-1F70-4B63-B19D-A5F1457761DB} =>  -> Нет файла
ShellIconOverlayIdentifiers: [    YandexDisk4 SyncError] -> {9CE04609-A360-4266-9937-9D799E8D2D5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [    YandexDisk5 SyncPart] -> {63ADB0D1-6DA0-46A2-89D0-E0CE44536E32} =>  -> Нет файла
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
AlternateDataStreams: C:\Users\Егор\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Егор\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
IE trusted site: HKU\.DEFAULT\...\localhost -> localhost
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-871676286-343605000-2596813242-1001\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-871676286-343605000-2596813242-1001\...\webcompanion.com -> hxxp://webcompanion.com
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Понаблюдайте за работой системы, напишите по результату.

Изменено 11 июня пользователем safety

[Solnepek7]

10 минут назад, safety сказал:

Проверьте, как другие сайты по инфобезопасности открываются:

chklst.ru и virusinfo.info грузятся медленно, а после открываются сломанные. Drweb.ru и anti-malware.ru открываются нормально

Fixlog.txt прикрепил ниже

Fixlog.txt

Изменено 11 июня пользователем Solnepek7

[safety]

Virusinfo открывается нормально, Chklst.ru да - открывается поломанным. Очистка кэша не помогла. На другом устройстве, которое не часто использую для браузинга - аналогично.

 

Если других проблем нет:

 

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

[Solnepek7]

safezone.cc без впн почему то не открывается.
во время сканирования выдал ошибку, но файлик все же прикреплю

SecurityCheck.txt

[safety]

chklst[.]ru нормально заработал сегодня.

 

Обновите данное ПО:

 

Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^

paint.net v.4.2.12 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9003 Внимание! Скачать обновления
ICQ New (версия 10.0.45564) v.10.0.45564 Данная программа больше не поддерживается разработчиком.
Microsoft Teams v.1.4.00.32771 Внимание! Скачать обновления
Zoom Workplace v.6.4.7 (64367) [+]
---------------------------- [ ProxyAndVPNs ] -----------------------------
Proton VPN v.3.0.5 Внимание! Скачать обновления

Windscribe v.2.4.10 Внимание! Скачать обновления

 

-------------

Client Helper 6.1.6 v.6.1.6 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция

Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция

Free File Viewer Pro 1.4 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция

Web Companion v.7.0.2417.4248 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

Изменено 11 июня пользователем safety