Поймал майнер или троян

[user344]

Здравствуйте! Недавно компьютер в простое начинает переодически нагружаться до 100%, вентиляторы начинают крутить на полную в течении 5-10 минут, только начинаешь водить мышкой по рабочему столу, то сразу же нагрузка падает до дефолтных значений. Проверял лечащай утилитой др.веб и kvrt они вирусов не нашли.

CollectionLog-2025.06.25-21.11.zip

[thyrex]

Ничего плохого логи не показывают. Сделаем еще одну проверку.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[user344]

Спасибо! Вот результаты ещё одной проверки

frst.zip

[thyrex]

И тут ничего вирусоподобного. Немного мусора почистим.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
CustomCLSID: HKU\S-1-5-21-547789870-3290931887-1226556297-500_Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32 ->  => Нет файла
ShellServiceObjects: Нет имени -> {872f8dc8-dde4-43bd-ac7a-e3d9fe86ceac} => 
AlternateDataStreams: C:\ProgramData:272f583c [1198]
AlternateDataStreams: C:\ProgramData:DNS [40]
AlternateDataStreams: C:\Users\All Users:272f583c [1198]
AlternateDataStreams: C:\Users\All Users:DNS [40]
AlternateDataStreams: C:\Users\Administrator\Application Data:272f583c [1198]
AlternateDataStreams: C:\Users\Administrator\Application Data:DNS [40]
AlternateDataStreams: C:\Users\Administrator\AppData\Roaming:272f583c [1198]
AlternateDataStreams: C:\Users\Administrator\AppData\Roaming:DNS [40]
AlternateDataStreams: C:\Users\Administrator\Documents\GTA San Andreas User Files:272f583c [1198]
AlternateDataStreams: C:\ProgramData\Application Data:272f583c [1198]
AlternateDataStreams: C:\ProgramData\Application Data:DNS [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:272f583c [1198]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:DNS [40]
FirewallRules: [{2BF78266-E92C-4E17-B5DE-6C3311C8311A}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => Нет файла
FirewallRules: [{2592433E-06FB-4F5C-8A59-E77C178CAD7C}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Counter-Strike Global Offensive\game\bin\win64\cs2.exe => Нет файла
FirewallRules: [{5DE22226-280E-499A-9C20-7C84841FFF6D}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Counter-Strike Global Offensive\game\bin\win64\cs2.exe => Нет файла
FirewallRules: [{803E4CC2-AF6F-4BF6-8C34-81D41AC31786}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Deadlock\game\bin\win64\deadlock.exe => Нет файла
FirewallRules: [{0AD1DB3F-D522-4325-AEBF-DB02FD5E5268}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Deadlock\game\bin\win64\deadlock.exe => Нет файла
FirewallRules: [{98893271-C440-47DD-A7F7-DEA322A2739D}] => (Allow) C:\Users\Administrator\AppData\Local\altv-majestic\backup\GTA5.exe => Нет файла
FirewallRules: [{94403A8B-BB78-4CDF-A875-9CFE2B6B8462}] => (Allow) C:\Users\Administrator\AppData\Local\altv-majestic\backup\GTA5.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

Что еще показали логи: система явно нелицензионная и явно какая-то покоцанная сборка, и та уже устаревшая. Не для всех устройств установлены драйвера.
 

[user344]

Fixlog.txt

[thyrex]

Больше по нашей части ничего.