Перейти к содержанию
Правила раздела
20 лет клубу! Куда отправится Kaspersky Club? Угадай локацию!

Схватил видимо много майнеров, подозрительная активность c cmd в диспетчере задач.

Ники007

Автор Ники007
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Ники007

Ники007

Опубликовано
Опубликовано

Что необходимо сделать для решение данной проблемы, буду очень благодарен если поможете с этим казусом.

Заранее, спасибо :3

Могу приложить недостающие материалы для исследования данного вопроса. 

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).

  • Будьте внимательны: при сканировании секции Другие области программа не зависает, а продолжает работать, нужно просто немного подождать.


4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ники007

Ники007

Опубликовано
  • Автор
Опубликовано

Что предположительно можно сделать если не даётся запуск программы, попробовал 2 версии. Запуск осуществляется на секунду и вылетает программа. 

 

2 часа назад, thyrex сказал:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).

  • Будьте внимательны: при сканировании секции Другие области программа не зависает, а продолжает работать, нужно просто немного подождать.


4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

 

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте через телефон и запишите на компьютер

Sandor

Sandor

Опубликовано
Опубликовано

@Ники007, при "вылете" программы есть какая-то ошибка? Если есть, напишите или покажите скриншот.

С "зеркала" скачивать пробовали? Там лежит актуальная версия.

Ники007

Ники007

Опубликовано
  • Автор
Опубликовано (изменено)

Проверил через AVbr.zip. прилагаю логи. 

 

Изменено пользователем Sandor
Убрал лишнее вложение
Sandor

Sandor

Опубликовано
Опубликовано
В 06.05.2026 в 08:30, Sandor сказал:

С "зеркала" скачивать пробовали? Там лежит актуальная версия.

С тех пор там программа ещё раз обновилась.

 

(Делайте только то, что запросил консультант, пожалуйста.)

Ники007

Ники007

Опубликовано
  • Автор
Опубликовано (изменено)

 

 

Получилось

 

 

 

 

 

FRST.txt Addition.txt

Изменено пользователем Ники007
не то скинул
thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2023-12-04] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1535488 2023-12-04] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [570368 2023-12-04] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2023-12-04] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3456512 2023-12-04] (Microsoft Windows -> Microsoft Corporation)
S4 CloudflareWARP; "C:\Program Files\Cloudflare\Cloudflare WARP\warp-svc.exe" (Нет файла)
U2 Performance; C:\Windows\System32\cmd.exe /c start install.exe (Нет файла)
U2 Update; \\.\C:\ProgramData\logdata..\prn.exe \\.\C:\ProgramData\logdata..\prn.ini
Folder: C:\ProgramData\logdata..
File: C:\ProgramData\logdata..\prn.exe
Folder: C:\ProgramData\config..
File: C:\ProgramData\config..\ShellExperienceHost.exe
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Нет файла
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Нет файла
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"SCM\"",Filter="__EventFilter.Name=\"SCM\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"MCS\"",Filter="__EventFilter.Name=\"MCS\"::
WMI:subscription\__EventFilter->SCM::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 180 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->MCS::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 200 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\CommandLineEventConsumer->SCM::[CommandLineTemplate => C:\Windows\System32\cmd.exe /c start setup.exe]
WMI:subscription\CommandLineEventConsumer->MCS::[CommandLineTemplate => C:\ProgramData\config..\ShellExperienceHost.exe --ssl apap.app 4450 -e cmd.exe]
BHO: IEToEdge BHO -> {1FD49718-1D00-4B19-AF5F-070AF6D5D54C} -> C:\Program Files (x86)\Microsoft\Edge\Application\147.0.3912.60\BHO\ie_to_edge_bho_64.dll => Нет файла
BHO-x32: IEToEdge BHO -> {1FD49718-1D00-4B19-AF5F-070AF6D5D54C} -> C:\Program Files (x86)\Microsoft\Edge\Application\147.0.3912.60\BHO\ie_to_edge_bho.dll => Нет файла
FirewallRules: [{407C070B-418F-47E6-9C32-56E139034F9D}] => (Allow) C:\Program Files\Cloudflare\Cloudflare WARP\warp-svc.exe => Нет файла
FirewallRules: [TCP Query User{80A4706A-6CD0-4D71-9691-475AD1F80AA2}C:\program files (x86)\steam\steamapps\common\garrysmod\bin\win64\gmod.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\garrysmod\bin\win64\gmod.exe => Нет файла
FirewallRules: [UDP Query User{C8A389D8-CFB7-4999-A807-2707668EAA4D}C:\program files (x86)\steam\steamapps\common\garrysmod\bin\win64\gmod.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\garrysmod\bin\win64\gmod.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
C:\ProgramData\logdata..
C:\ProgramData\config..
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Также соберите новые логи Farbar в обычном, а не безопасном режиме.

thyrex

thyrex

Опубликовано
Опубликовано

Нужны сделать новые логи FRST.txt и Addition.txt, сделанные в обычном режиме загрузки.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • lonfalt
      Майнер на компе
      Автор lonfalt
      всем привет, недавно я был взломан ребятами, скачал с гитхаба обход дискорда и ютуба. По моему решению было переустановить винду, так как в тг и дискорд они ломились , как бешенные. После переустановки винды через образ, я заметил, что в диспетчере у меня нагруз 90 процентов или 100, а потом резко или плавно уходит до 1-4%
      CollectionLog-2026.05.14-20.34.zip
    • ГабриэллаСМ
      [РЕШЕНО] Подозрение на майнер
      Автор ГабриэллаСМ
      Не могу точно сказать, что скачивала и откуда, потому что часто грешила этим делом. При проведении проверки компьютера программой Dr.Web Curelt! показало, что по пути C:\Users\Я\AppData\Local\Temp находится папка -2xzjMMUGjeobOYtjoc0gOuMKKHC, которая появляется после каждого включения ПК. Также в диспетчере задач имеются неизвестные setup. Компьютер шумит даже в спокойном состоянии, подозреваю наличие майнера
      CollectionLog-2026.05.01-12.28.zip
    • Chernov
      [РЕШЕНО] Схватил Майнер, не даёт запускать антивирусы и сайты
      Автор Chernov
      Здравствуйте, схватил майнер и он не даёт запускать никаких утилит. Что делать!?!?!
      В автозагрузке есть подозрительный файл: Father. Его я уже снял с автозагрузки. 
    • RRE
      Вирус (майнер), маскирующийся под dwm.exe
      Автор RRE
      Здравствуйте, столкнулся с вирусом, подменяющим системный файл dwm.exe, в диспетчере 2 процесса dwm.exe, однако оба "располагаются" в C:Windows\System32, стандартные антивирусники ничего не выявляют. uVS определила DWM.EXE[14036] как FAKE:C\WINDOWS\SYSTEM32. Не могли бы вы подсказать скрипт для uVS или другие методы, с помощью которых можно избавиться от данного вируса? Прилагаю логи от AutoLogger и образ автозагрузки(uVs)

       
      Сообщение от модератора Mark D. Pearlstone Файлы удалены по просьбе автора.
       
    • pupochhek228
      словила вирус
      Автор pupochhek228
      приблизительно 2 недели у меня на ноутбуке начала появляться вот эта ошибка, прикреп ниже. В начале я пыталась найти файл и удалить его, но найти не удалось и я благополучно забила на это. Все это время эта ошибка у меня регулярно появлялась, в зависимости от программы частота ее появлений тоже менялась. Вот получается сегодня у меня значительно ухудшилась работа компа, все вылетало, плохо работала, и после захода в игру лицензированную она вообще не убиралась. Я решила проверить что это, оказалось это вирус который не давал мне скачать антивирус и вообще зайти куда то у меня постоянно все вылетало.Я много раз перезагружала комп, после я перезагрузила с безопасным режимом и еще раз обычно, после этого я смогла провести проверку через антивирус курейт и касперский, прикреп ниже, и вот что обнаружило, логи я тоже прикрепила. помогите пожалуйста, очень боюсь за комп. но абсолютно в этом не разбираюсь
       
      CollectionLog-2026.03.28-23.01.zip
×
×
  • Создать...