[РЕШЕНО] Подхватил майнер

10 февраля

Подхватил майнер, adwcleaner находит вот это, но удалить не может, пк грузится и тормозит

10 февраля

Прикрепляю логи

CollectionLog-2026.02.11-00.38.zip

11 февраля

Добавьте дополнительно образ автозапуска в uVS без отслеживания процессов и задач.

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

11 февраля

Здравствуйте, прикрепляю

WIN-DIFSNJNRESI_2026-02-11_09-37-20_v5.0.3v x64.7z

11 февраля

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\ADDINPROCESS.EXE [12588]

FAKE:C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\ADDINPROCESS.EXE [12588]

Похоже что майнер трудится.

но непонятен родительский процесс для этого процесса:

FAKE:C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\REGASM.EXE [10480]

------------------

Добавьте дополнительно образ автозапуска в uVS с отслеживанием процессов и задач

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Изменено 11 февраля пользователем safety

11 февраля

Прикрпеляю

WIN-DIFSNJNRESI_2026-02-11_10-10-29_v5.0.3v x64.7z

Изменено 11 февраля пользователем Vamp1ri

11 февраля

Теперь виден родительский процесс, как и предполагал запуск выполнился через задачу.

Скрипт очистки добавляю.

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу uVS без перезагрузкой системы

;uVS v5.0.3v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
delfake
zoo %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\CANTRANSFORMMULTIPLEBLOCKS\TYPEID.EXE
;------------------------autoscript---------------------------

delall %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\CANTRANSFORMMULTIPLEBLOCKS\TYPEID.EXE
delref TYPEID.EXE
delref REGASM.EXE
delref REGSVCS.EXE
apply

regt 28
regt 29
deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINERTELEMETRYAPI.DLL
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\89.0.774.76\MSEDGE.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %Sys32%\MICROSOFT UPDATE SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\ANTICHEATEXPERT\ACE-CORE201308.SYS
delref %SystemDrive%\PROGRAM FILES\ANTICHEATEXPERT\ACE-CORE301308.SYS
delref %Sys32%\DRIVERS\ACE-GAME-0.SYS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.158\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.158\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.158\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\142.0.7444.60\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.12.2.1338\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.12.2.1338\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.12.2.1338\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.12.2.1338\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\138.0.3351.83\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\89.0.774.76\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\138.0.3351.95\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\89.0.774.76\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\89.0.774.76\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\89.0.774.76\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\89.0.774.76\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\89.0.774.76\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\89.0.774.76\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\89.0.774.76\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\144.0.3719.104\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\144.0.3719.104\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref D:\UVS\ULFJOB
delref %SystemDrive%\PROGRAM FILES (X86)\ASTRONEER\ASTRO.EXE
delref %SystemDrive%\X-PLANE 12\X-PLANE.EXE
delref %SystemDrive%\X-PLANE 11\X-PLANE.EXE
delref %SystemDrive%\X-PLANE 11\RESOURCES\DOWNLOADS\PYTHONSCRIPTSNETINSTALLER.EXE
;-------------------------------------------------------------

restart
czoo

Далее:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте логи FRST для контроля

11 февраля

Не могу открыть FRST, после обновления показывает, что не может запуститься на устройстве, версия х64, пк перестал грузиться в 100%

ZOO_2026-02-11_10-31-30.7z

Изменено 11 февраля пользователем Vamp1ri

11 февраля

Вообще у вас 64 разрядная система

uVS v5.0.3v x64 [http://dsrt.dyndns.org:8888]: Windows 10 Pro 2009 x64 (NT v10.0 SP0) build 19045 [C:\WINDOWS]

Может просто устаревшая, так как нет паков 21, 22H2 для W10

Хорошо, сделайте пока новый, контрольный образ завтозапуска, посмотрим что там стало после очистки.

+

этот файл добавьте

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

11 февраля

@Vamp1ri, скачайте FRST с зеркала, там лежит актуальная версия.

11 февраля

Прикрепляю, подскажите, откуда вирус мог взяться?

WIN-DIFSNJNRESI_2026-02-11_10-53-38_v5.0.3v x64.7z

11 февраля

Можно отключить отслеживание процессов и задач:

в UVS:

В главном окне - Дополнительно - Твики - выполнить твик 40. Измененных процессов ней.

Цитата

откуда вирус мог взяться?

Откуда угодно: может с какой либо программой установился, может на каком либо сайте прилетел, система уязвима, надо ставить обновления.

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Изменено 11 февраля пользователем safety

11 февраля

SecurityCheck.rar

11 февраля

Судя по логу 22H2 установлен.

Windows 10 Professional (x64) Версия: 22H2 (10.0.19045.6456) Язык: Russian(0419)

По возможности, обновите данное ПО:

Microsoft Office Professional Plus 2019 - en-us v.16.0.18526.20546 Внимание! Скачать обновления Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
^Инструкция по обновлению Microsoft Office.^
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.18526.20546 Внимание! Скачать обновления Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
^Инструкция по обновлению Microsoft Office.^
AIDA64 Extreme v6.33 v.6.33 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33816 v.14.44.35211.0 Внимание! Скачать обновления
WinRAR 6.21 (64-разрядная) v.6.21.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9200 Внимание! Скачать обновления
Telegram Desktop v.6.4.2 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent v.4.5.2 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 461 (64-bit) v.8.0.4610.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u481-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
K-Lite Mega Codec Pack 17.5.0 v.17.5.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader MUI v.23.001.20093 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
---------------------------- [ UnwantedApps ] -----------------------------
uTorrentClient 2.8.1 v.2.8.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция

+

Проверьте еще раз запуск FRST, переместите ее в другой каталог, можно в корне диска C создать папку для запуска, например C:\FRST

Цитата

скачайте FRST с зеркала, там лежит актуальная версия.

Изменено 11 февраля пользователем safety

11 февраля

FRST.rar

[РЕШЕНО] Подхватил майнер

Рекомендуемые сообщения

Vamp1ri

Vamp1ri

safety

Vamp1ri

safety

Vamp1ri

safety

Vamp1ri

safety

Sandor

Vamp1ri

safety

Vamp1ri

safety

Vamp1ri

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum