Перейти к содержанию
Правила раздела

Поймал майнер или троян

user344

Автор user344
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

user344

user344

Опубликовано
Опубликовано

Здравствуйте! Недавно компьютер в простое начинает переодически нагружаться до 100%, вентиляторы начинают крутить на полную в течении 5-10 минут, только начинаешь водить мышкой по рабочему столу, то сразу же нагрузка падает до дефолтных значений. Проверял лечащай утилитой др.веб и kvrt они вирусов не нашли.

CollectionLog-2025.06.25-21.11.zip

thyrex

thyrex

Опубликовано
Опубликовано

Ничего плохого логи не показывают. Сделаем еще одну проверку.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

thyrex

thyrex

Опубликовано
Опубликовано

И тут ничего вирусоподобного. Немного мусора почистим.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
CustomCLSID: HKU\S-1-5-21-547789870-3290931887-1226556297-500_Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32 ->  => Нет файла
ShellServiceObjects: Нет имени -> {872f8dc8-dde4-43bd-ac7a-e3d9fe86ceac} => 
AlternateDataStreams: C:\ProgramData:272f583c [1198]
AlternateDataStreams: C:\ProgramData:DNS [40]
AlternateDataStreams: C:\Users\All Users:272f583c [1198]
AlternateDataStreams: C:\Users\All Users:DNS [40]
AlternateDataStreams: C:\Users\Administrator\Application Data:272f583c [1198]
AlternateDataStreams: C:\Users\Administrator\Application Data:DNS [40]
AlternateDataStreams: C:\Users\Administrator\AppData\Roaming:272f583c [1198]
AlternateDataStreams: C:\Users\Administrator\AppData\Roaming:DNS [40]
AlternateDataStreams: C:\Users\Administrator\Documents\GTA San Andreas User Files:272f583c [1198]
AlternateDataStreams: C:\ProgramData\Application Data:272f583c [1198]
AlternateDataStreams: C:\ProgramData\Application Data:DNS [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:272f583c [1198]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:DNS [40]
FirewallRules: [{2BF78266-E92C-4E17-B5DE-6C3311C8311A}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => Нет файла
FirewallRules: [{2592433E-06FB-4F5C-8A59-E77C178CAD7C}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Counter-Strike Global Offensive\game\bin\win64\cs2.exe => Нет файла
FirewallRules: [{5DE22226-280E-499A-9C20-7C84841FFF6D}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Counter-Strike Global Offensive\game\bin\win64\cs2.exe => Нет файла
FirewallRules: [{803E4CC2-AF6F-4BF6-8C34-81D41AC31786}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Deadlock\game\bin\win64\deadlock.exe => Нет файла
FirewallRules: [{0AD1DB3F-D522-4325-AEBF-DB02FD5E5268}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Deadlock\game\bin\win64\deadlock.exe => Нет файла
FirewallRules: [{98893271-C440-47DD-A7F7-DEA322A2739D}] => (Allow) C:\Users\Administrator\AppData\Local\altv-majestic\backup\GTA5.exe => Нет файла
FirewallRules: [{94403A8B-BB78-4CDF-A875-9CFE2B6B8462}] => (Allow) C:\Users\Administrator\AppData\Local\altv-majestic\backup\GTA5.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Что еще показали логи: система явно нелицензионная и явно какая-то покоцанная сборка, и та уже устаревшая. Не для всех устройств установлены драйвера.
 

thyrex

thyrex

Опубликовано
Опубликовано

Больше по нашей части ничего.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Two2Face
      Подозрительный проводник в диспетчере задач и возможно нагруженная память
      Автор Two2Face
      Добрый день. Сегодня залез в диспетчер задач, а там я заметил, что один из процессоров нагружает 18% ЦП. Это - 'Проводник'. После я решил посмотреть в программе Process Explorer, там наш проводник уже высвечивается, как - 'explorer.exe', без иконки (внизу бегают разные explorer.exe, которые высвечиваются с иконками в виде жёлтой папки, как в диспетчере задач, а этот без иконки и под 18%, но возможно здесь я чего-то не понимаю). Ещё память нагружена под 29, но у меня открыт гугл (много вкладок), Дискорд, ВПН и протокол, поэтому не могу быть полностью уверен в том, что в этом пункте тоже вирус (не знаю, нужно ли это здесь, но 5090 и 9950x3d). Кстати, когда я пытаюсь завершить проводник в диспетчере задач, то у меня комп постоянно уходит в перезагрузку (хотел закрыть процесс, что бы потом запустить новую задачу, вдруг завис). 


      CollectionLog-2026.01.11-07.51.zip
    • ahahahxdd
      помощь в удалении Trojan[dropper]:Python/Wacatac.C9nj
      Автор ahahahxdd
      По дурости открыл данную вещь без виртуальной машины, через x64dbg:
      https://www.virustotal com/gui/file/e450b7efc8b429b618d2d22a074a3dd55c07b451eef315e0e20be7d9054ef18c
      https://cloud.mail ru/public/kbre/tjmmsWNDM

      CollectionLog-2026.01.06-20.25.zip
      Успел уже сделать откат в точку восстановления винды
      В сэндбоксе было подключение TCP 130.12.181.70:7000

       
    • Николай212322122
      [РЕШЕНО] Вирус майнер realtek hd audio не удаляться до конца
      Автор Николай212322122
      Переустановили винду в сервизном центре. По приходу домой обнаружил вирус realtek hd audio, который включается по автозагрузке и не дает скачать антивирусы. Dr web cureit получилось перекинуть через месенжер и сделать проверку, он нашел большое количество угроз. Но не все смог вылечить, я скачал Kaspersky virus removal tool и он тоже нашел вирусы. Я запускал несколько раз эти утелиты и вроде бы угроз больше не обнаруживается. Но в автозагрузках я опять вижу realtek hd audio выключенным с автозагрузок , хотя после первого сканирование он был вообще удален.
       
      Сейчас Dr web cureit и Kaspersky virus removal tool ничего не находит и realtek hd audio выключен с автозагрузок и я могу вписывать антивирус в бразуер и он сразу не закрывается, так же могу зайти ProgramData. Но все равно realtek hd audio весит в автозагрузках и когда первый раз запускал Dr web cureit он написал что не все вылечил, так что есть подозрение что вирус еще на компьютере остался.
       
      Подскажите пж, что делать?
       
      Прикрепить логи от Dr web cureit не получаеться так как они больше 5 мб. Где получить логи от Kaspersky virus removal tool я не нашел. Подскажите как отправить логи
    • AndreyGrom89
      Вирус\майнер CAAServise
      Автор AndreyGrom89
      Доброго времени суток. Недавно обнаружил повышенную нагрузку на ГП. В диспетчере задач было обнаружено два процесса microsoft network realtime inspection service, один из которых и грузил карту. Поиском в инете нашел инфу о возможном майнере. Выполнил рекомендации из поста, не на данном форуме, рекомендации помогли, но увы не надолго, после некоторого времени проблема появилась вновь. Сегодня наткнулся на этот форум с похожей темой. Проверял комп Defender`ом, он проблему не находил. Обнаружил данный "файл" в исключениях, удалил оттуда. По рекомендации с соседней темы скачал FRST, сделал проверку, результаты прикрепил. Какие дальнейшие действия можно применить??
      Addition.txt FRST.txt
    • Владхелп
      [РЕШЕНО] Подозрение на вирус, подвисания
      Автор Владхелп
      Здравствуйте,
      Недавно переносил файлы с флешки друга, после этого начал подвисать и греться ноутбук, защитник ничего не видит
      CollectionLog-2025.12.22-22.00.zip
×
×
  • Создать...