[РЕШЕНО] Проблема с майнером

[Yann]

Добрый день!

Проблема с вирусом/майнером, нагружал CPU до максимальных значений и система в целом была нестабильна.
При открытии диспетчера задач несколько раз автоматически закрывал его или сбрасывал нагрузку на процессор, впрочем через другие утилиты мониторинга нагрузку можно было наблюдать постоянно.

Попытался скачать Dr.Web что бы провести скан, поскольку защитник винды ничего не показал, но вирус не дал запустить экзешник установщика из за отсутствия прав администратора.
После этого я не на шутку перепугался и полностью снес винду, отформатировал/удалил каждый раздел на дисках и установил новую.
Первым же делом скачал Dr.Web, в этот раз установка прошла без проблем и я провел полный скан который ничего не нашёл, посчитав что проблемы окончены начал скачивать гугл хром, но при попытке установки его экзешника антивирус заругался на угрозу и поместил экзешник и ещё один файл,в карантин и брэндмауер указал что процесс updater.exe пытается выйти в сеть и разумеется я запретил ему это, при этом я снова получил ошибку об отсутствии необходимых прав.
После этого система кажется стабильной, ошибки с правами и повышенной нагрузки я не наблюдаю, провел ещё проверку с помощью Kaspersky Virus Removal tool и все было чисто, но я совершенно не уверен в том что так будет всегда и хотел бы получить экспертное мнение.
Прикладываю логи автологера и скриншот файлов попавших в карантин:

CollectionLog-2025.08.22-04.48.zip

[Yann]

И ещё забыл добавить скрин из журнала брэндмауера, может быть это поможет.
Правда по адресу из скрина ничего не нашёл.
 

[safety]

+

дополнительно сделайте образ автозапуска системы.

 

Сделайте дополнительно образ автозапуска в uVS:

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

[Yann]

WIN-2MQ4G6JKT0G_2025-08-23_06-52-40_v5.0v x64.7z
Сделано.

[safety]

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\RUXIM\PLUGSCHEDULER.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\MICROSOFT UPDATE HEALTH TOOLS\UHSSVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.56\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.56\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.56\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.56\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.56\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.56\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.56\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.56\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

[Yann]

2025-08-23_12-29-47_log.txtAddition.txtFRST.txt

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
IFEO\EOSnotify.exe: [Debugger] /
IFEO\InstallAgent.exe: [Debugger] /
IFEO\MoNotificationUx.exe: [Debugger] /
IFEO\MusNotification.exe: [Debugger] /
IFEO\MusNotificationUx.exe: [Debugger] /
IFEO\remsh.exe: [Debugger] /
IFEO\SihClient.exe: [Debugger] /
IFEO\UpdateAssistant.exe: [Debugger] /
IFEO\UsoClient.exe: [Debugger] /
IFEO\WaaSMedic.exe: [Debugger] /
IFEO\WaasMedicAgent.exe: [Debugger] /
IFEO\Windows10Upgrade.exe: [Debugger] /
IFEO\Windows10UpgraderApp.exe: [Debugger] /
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Напишите, наблюдается ли сейчас проблема в системе или ушла после скриптов?

[Yann]

По поводу проблем с системой: их не было с момента срабатывания антивируса, я писал об этом в описании темы.

В 22.08.2025 в 04:52, Yann сказал:

После этого система кажется стабильной, ошибки с правами и повышенной нагрузки я не наблюдаю

Просто меня очень смутил сам факт того что после полного форматирования дисков, на свежей установленной системе я получил срабатывание антивируса и нестабильность системы была похожей на ту что была до переустановки и форматирования, резко поднялась нагрузка на процесcор, взвыл процессорный кулер, та же самая ошибка отказа в доступе, но все это прошло сравнительно быстро, как только файлы оказались в карантине.
Поэтому у меня закрались закономерные сомнения, что ЕСЛИ этот вирус смог пережить форматирование то тогда может то что поймал антивирус лишь отсрочит проблему, а не решит её, а  поскольку у меня нету каких либо продвинутых знаний по этой теме, вот обратился сюда что бы мои сомнения развеяли или наоборот подтвердили.
Впрочем все это лишь мои домыслы и конкретно сейчас все в порядке и проблем я не наблюдаю!
Прикладываю лог:
 

Fixlog.txt

Изменено 23 августа, 2025 пользователем Yann

[safety]

Хорошо.

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

[Yann]

Как я понимаю, проблем быть больше не должно и у меня просто разыгралась паранойя?
Лог:

SecurityCheck.txt

[safety]

Время покажет.

Защита установлена и работает корректно.

Цитата

Dr.Web Scanning Engine (DrWebEngine) - Служба работает
C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe v.12.6.18.7021
Dr.Web Control Service (DrWebAVService) - Служба работает
C:\Program Files\DrWeb\dwservice.exe v.12.12.36.5160
Dr.Web Cloud Service (DrWebCldSvc) - Служба работает
C:\Program Files\DrWeb\dwcloudhost.exe v.13.0.0.3070
Dr.Web Firewall Service (DrWebFwSvc) - Служба работает
C:\Program Files\DrWeb\frwl_svc.exe v.12.5.9.5220
Dr.Web Net Filtering Service (DrWebNetFilter) - Служба работает
C:\Program Files\DrWeb\dwnetfilter.exe v.12.5.19.1300
Dr.Web Wsc Service (DrWebWscService) - Служба работает

 

По возможности обновите данное ПО.

 

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления

 

[Yann]

Это немного настораживает.

3 минуты назад, safety сказал:

Время покажет.

Но в любом случае спасибо за помощь и потраченное время!
Если время покажет что проблема вернулась, я ещё открою новую тему.
А пока что ещё раз спасибо и думаю эту можно закрывать если добавить нечего.

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".