Скорее всего попал на вирус "майнер"

[MandaRino]

Доброго времени суток, недавно собрал полностью новый компьютер, установил windows, установил KIS, всё было нормально, всё работало как часы, сегодня просто сидел в интернете и услышал судя по всему свист дроселей, я сразу понял что значит видеокарта нагруженна полностью раз дроселя свистят, хотя компьютер стоял в режиме простоя и кроме интернета ничего запущенно не было, залез в msi afterburner и вижу картину как моя видеокарта загружена на 90-95%, ну и судя по всему я попал на майнера, проверил компьютер через AVZ, он ничего не нашёл как и KIS, вот прошу помощи тут, если нужны какие то данные, предоставлю. Заранее спасибо.

[Sandor]

Здравствуйте!

 

если нужны какие то данные, предоставлю

Нужны - Порядок оформления запроса о помощи

[MandaRino]

Здравствуйте!

 

если нужны какие то данные, предоставлю

Нужны - Порядок оформления запроса о помощи

 

 

Здравствуйте!

 

если нужны какие то данные, предоставлю

Нужны - Порядок оформления запроса о помощи

 

Есть ещё папки AVZ , RSIT, HiJackThis и CheckBrowserLNK если надо могу их все в winrar засунуть и тоже скинуть.

CollectionLog-2017.03.22-17.58.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\mandarin\appdata\roaming\notepad++\realtek hd\rthdcpl.exe');
 QuarantineFileF('c:\users\mandarin\appdata\roaming\notepad++\realtek hd', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\users\mandarin\appdata\roaming\notepad++\realtek hd\rthdcpl.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Realtek HD Audio" /F', 0, 15000, true);
 DeleteFile('c:\users\mandarin\appdata\roaming\notepad++\realtek hd\rthdcpl.exe', '32');
 DeleteFileMask('c:\users\mandarin\appdata\roaming\notepad++\realtek hd', '*', true);
 DeleteDirectory('c:\users\mandarin\appdata\roaming\notepad++\realtek hd');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[MandaRino]

Окей щас всё сделаю и напишу тут.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\mandarin\appdata\roaming\notepad++\realtek hd\rthdcpl.exe');
 QuarantineFileF('c:\users\mandarin\appdata\roaming\notepad++\realtek hd', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\users\mandarin\appdata\roaming\notepad++\realtek hd\rthdcpl.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Realtek HD Audio" /F', 0, 15000, true);
 DeleteFile('c:\users\mandarin\appdata\roaming\notepad++\realtek hd\rthdcpl.exe', '32');
 DeleteFileMask('c:\users\mandarin\appdata\roaming\notepad++\realtek hd', '*', true);
 DeleteDirectory('c:\users\mandarin\appdata\roaming\notepad++\realtek hd');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

Файл отправил на почту которую вы указали выше. Теперь ждать ответа?

Пришёл ответ от данного адреса, вот [KLAN-5995618443]

-----------------------------------------------

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
rthdcpl.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.aqz

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

------------------------------------------------

Так же заново проверил все логи, вот сам файл.

И как его удалить с моего ПК на данный момент?

CollectionLog-2017.03.22-18.26.zip

Изменено 22 марта, 2017 пользователем MandaRino

[Sandor]

видеокарта загружена на 90-95%

Это еще продолжается?

[MandaRino]

Нет ещё со вчерашнего дня всё стало нормально работать, спасибо огромное за помощь.

[Sandor]

В завершение:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[MandaRino]

Вот держите

SecurityCheck.txt

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 4.00 (64-разрядная) v.4.00.0 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.5.41372 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

µTorrent Pro v.3.4.5.41372 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

[MandaRino]

Смысл мне обновлять стабильную версию winrar'a, мне и моя нравится, а насчёт Torrenta впринципе точно тоже самое что и с winrar'om он мне не мешает, ещё раз спасибо за помощь

[regist]

WinRar стоит обновить до 5-й линейки, а то архивы в новом формате не сможете открыть.

[MandaRino]

WinRar стоит обновить до 5-й линейки, а то архивы в новом формате не сможете открыть.

Пока никаких проблем с этим не имею, если будут проблемы, обновлю)