словил майнер, прошу помощи!!!

[kiruxashafr]

такая вот проблема слышу ноут гудит захожу в диспетчер задач там само собой все тихо, а вот в приложухе амд показывает видюха надрывается и процессор нагружен, как только открываю диспетчер все утихает, как закрываю опять гудит!

очень сильно прошу помочь могущественных работников данного форума, когда то очень помогли! спасибо
ноут honor magicbook 16 plus винда 11

[kiruxashafr]

прикреплю все требования к посту в течение 5 минут, в прошлый раз тирекс мне очень помог!

 

нажал лечить с перезагрузкой , после перезагрузки пришлю логи

 

 

CollectionLog-2025.09.20-23.43.zip

[safety]

добавьте, пожалуйста, отчет по обнаружениям и сканированию из Касперского

+

дополнительно сделайте образ автозапуска системы в uVS с отслеживанием процессов и задач.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Изменено 19 часов назад пользователем safety

[kiruxashafr]

 

KIRILL_2025-09-21_10-56-26_v5.0.1v x64.7z

Изменено 12 часов назад пользователем kiruxashafr

[safety]

По очистке системы:

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTPS://CLIENTS2.GOOGLE.COM/CR/REPORT
delref %SystemDrive%\PROGRAMDATA
delref %SystemDrive%\USERS
delref %SystemRoot%
delref %SystemDrive%\USERS\KIRIL\APPDATA\LOCAL\XV1ZXMK5MD
apply

; Bonjour
exec MsiExec.exe /X{56DDDFB8-7F79-4480-89D5-25E1F52AB28F} /quiet

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {8702A841-D5CA-47C3-812D-9CEDC304C200}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\TEAMS INSTALLER\TEAMS.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\22.012.0117.0003\I386\FILESYNCSHELL.DLL
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.101\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.101\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.101\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.101\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\138.0.3351.83\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\138.0.3351.83\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\138.0.3351.83\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\138.0.3351.83\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\138.0.3351.83\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\138.0.3351.83\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\138.0.3351.83\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\138.0.3351.83\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\138.0.3351.83\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\139.0.3405.86\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %SystemDrive%\USERS\KIRIL\APPDATA\LOCAL\SQUIRRELTEMP\UPDATE.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

[kiruxashafr]

2025-09-21_13-09-24_log.txt скажите пожалуйста в чем было дело или в какой программе поймал.

во избежание таких ситуаций в будущем может есть сатик или список где безопасно можно все скачивать?

Addition.txt FRST.txt

[thyrex]

56 минут назад, kiruxashafr сказал:

список где безопасно можно все скачивать?

с официальных сайтов на 99,9% скачивать безопасно, хотя периодически и там случаются казусы.

 

Цитата

C:\Users\kiril\AppData\Roaming\Adobe Photoshop 2024 25.12.0.806 RePack by KpoJIuK.exe

откуда скачивали?

[kiruxashafr]

27 минут назад, thyrex сказал:

откуда скачивали?

тг канал со взломами вроде все так классно было( в нем проблема?

 

Строгое предупреждение от модератора Mark D. Pearlstone

Варезная ссылка удалена.

 

[safety]

1 час назад, kiruxashafr сказал:

во избежание таких ситуаций в будущем может есть сатик или список где безопасно можно все скачивать?

+

Смотря что и как вы хотите скачивать. Если хотите скачать платные программы, но без оплаты, и чтобы их можно было установить без легальных лицензий или ключей, то нет таких "безопасных сайтиков" - за все приходится платить: троянами, майнерами. шифровальщиками, адварными приложениями.

----------------

Сделайте еще раз проверку в KVRT, проверьте, есть ли новые детекты после очистки системы?

Изменено 9 часов назад пользователем safety

[thyrex]

5 минут назад, kiruxashafr сказал:

вроде все так классно было

C:\Users\kiril\AppData\Roaming\Adobe Photoshop 2024 25.12.0.806 RePack by KpoJIuK.exe заархивируйте с паролем malware123, выложите на файлообменник без капчи и времени ожидания и пришлите ссылку на скачивание.

[kiruxashafr]

ссылка удалена

 

 

еще и строгач получил за ссылку откуда качал(
попросили же

 

 

3 часа назад, safety сказал:

Сделайте еще раз проверку в KVRT, проверьте, есть ли новые детекты после очистки системы?

спасибо большое огромное! теперь все пучком? майнер был? удален?

 

фотошоп снести или вирус в установщике? продолжить пользование

 

[thyrex]

6 часов назад, kiruxashafr сказал:

еще и строгач получил за ссылку откуда качал(
попросили же

такой строгач не страшен и нигде не зафиксирован.

 

6 часов назад, kiruxashafr сказал:

вирус в установщике?

скорее всего (скачаю, тогда и гляну), ибо это излюбленный метод распространителей майнера: сначала втюхать майнер, а потом передать управление установщику нужной программы. Пароль какой на архив?