Перейти к содержанию
Правила раздела

Чую завелся Майнер

ildad

От ildad
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

ildad Постоялец

ildad

Опубликовано
Опубликовано (изменено)

Микро-фризы на новом пк Win10

Здравствуйте! Есть подозрение на вирус или майнер на пк. Компьютер собрал новый достаточно мощный с пир.windows10 / все проверил на ошибки (процессор, мать, видяху, память, windows) ошибок нет, температура стабильная.

НО через некоторое время (время это всегда разное и не зависит от того пользовался я пк или нет) появляются микро-фризы системы, (тормоза, прерывания) , проходит только после перезагрузки и потом снова все повторяется.

Все проверял все чистил касперский что смог удалил, но проблема осталась, AVZ отсканировал нашел руткиты блокировал их, но я так понял не вылечил их. Проблема осталась.

слышал что майнер имеет способность скрывать свой процесс во время открытия диспетчера. 

Майнер возможно перекочевал со старого жесткого диска. (сейчас стоит два новых и один старый)

логи прикрепил
Сейчас компьютер работает стабильно без лагов и лог прикрепил в этом состоянии.
​Но могу дождаться когда подлагивать начнет и новый лог выложу.

CollectionLog-2018.02.14-17.03.zip

Изменено пользователем ildad
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Driver Booster 5.0.3.393

Reg Organizer

Wise Driver Care 2.1

Видны два антивируса:

Kaspersky Internet Security

Kaspersky Total Security

Удалите оба, пройдитесь Kavremover-ом. Затем скачайте и установите один.

 

Затем:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве. Изменено пользователем Sandor
  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
ildad Постоялец

ildad

Опубликовано
  • Автор
Опубликовано (изменено)

сомневаюсь что adw поможет. я им уже раньше сканировал. проблема осталась.

Все пункты выполнил,

+почистил один пункт с adw/ перезагрузил. 

сейчас начались лаги

прикрепляю новый лог collection


еще на всякий я провел в avz исследование системы
лог прикрепляю тоже

AdwCleanerS1.txt

CollectionLog-2018.02.14-18.44.zip

avz_sysinfo.zip

Изменено пользователем ildad
Ссылка на комментарий
Поделиться на другие сайты
ildad Постоялец

ildad

Опубликовано
  • Автор
Опубликовано (изменено)

еще лог с проверки за (три месяца) сделанные с помощью RSITx64

может поможет...

log.txt

Изменено пользователем ildad
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Прокси
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-2610946163-3817028697-2614589207-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} -  No File
Handler: mso-minsb.16 - {3459B272-CC19-4448-86C9-DDC3B4B2FAD3} -  No File
Handler: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} -  No File
2018-02-14 22:24 - 2018-02-14 22:24 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignf47107f9d76fe315
2018-02-14 22:18 - 2018-02-14 22:18 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigndb1831d60babe80d
2018-02-14 22:18 - 2018-02-14 22:18 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign1cdea644f077e48c
2018-02-14 21:40 - 2018-02-14 21:40 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignf64bbf1fbf7e7c9d
2018-02-14 21:40 - 2018-02-14 21:40 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignf4aa2abc4f93fd9c
2018-02-14 21:40 - 2018-02-14 21:40 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignada4cdbb19d3b8b0
2018-02-14 21:40 - 2018-02-14 21:40 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign97c82e42fa390c32
2018-02-14 21:40 - 2018-02-14 21:40 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign7d737e9e0e2da82d
2018-02-13 12:29 - 2018-02-13 12:29 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign6dec556ff6772a4a
2018-02-13 12:29 - 2018-02-13 12:29 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign11db4f818ce9bdb1
2018-02-13 12:28 - 2018-02-13 12:28 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigndf6e8be72c17aa55
2018-02-13 12:28 - 2018-02-13 12:28 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignacd9b67b1e5d25f6
2018-02-12 23:02 - 2018-02-12 23:02 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign81bb6946d170f93b
2018-02-12 23:02 - 2018-02-12 23:02 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign4c532eeae79717d2
2018-02-12 22:50 - 2018-02-12 22:50 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign3b3d8e60d65758cc
2018-02-12 22:04 - 2018-02-12 22:04 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignb42270da7c59432d
2018-02-12 22:04 - 2018-02-12 22:04 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigna9b53323ab791ddf
2018-02-12 22:03 - 2018-02-12 22:03 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigne03e489a8445f43a
2018-02-12 22:03 - 2018-02-12 22:03 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignaf3e02f646b7b47a
2018-02-12 17:49 - 2018-02-12 17:49 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignf25a029bd730733b
2018-02-12 17:49 - 2018-02-12 17:49 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigna5935ac30f54c492
2018-02-12 16:40 - 2018-02-12 16:40 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign93224c66e5fd9b52
2018-02-12 16:40 - 2018-02-12 16:40 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign688d17372ba6ed67
2018-02-12 15:01 - 2018-02-12 15:01 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign9e07e47f8dc4081d
2018-02-12 15:01 - 2018-02-12 15:01 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign34238bce76443edf
2018-02-12 14:35 - 2018-02-12 14:35 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignd518d4630d4c5bf0
2018-02-12 14:35 - 2018-02-12 14:35 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign941b1b5951a5842a
2018-02-12 14:34 - 2018-02-12 14:34 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign7bca1680d9dedf2f
2018-02-12 14:34 - 2018-02-12 14:34 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign5a6e32f5dfd4f412
2018-02-12 14:34 - 2018-02-12 14:34 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign51b72a124504d763
2018-02-08 21:17 - 2018-02-08 21:17 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignab948b184ae91a8b
2018-02-08 21:17 - 2018-02-08 21:17 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign90bcac20c4336ae2
2018-02-08 21:17 - 2018-02-08 21:17 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign0524d6fb782b9fa8
2018-02-08 21:16 - 2018-02-08 21:16 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignf00c5e10b40d7a9c
2018-02-08 21:16 - 2018-02-08 21:16 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignd7af51b3339bcba4
2018-02-08 21:16 - 2018-02-08 21:16 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign9e65550d92b76c82
2018-02-08 21:07 - 2018-02-08 21:07 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignd288599ff9292fdd
2018-02-08 21:07 - 2018-02-08 21:07 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign28f891847e7b64ff
2018-02-08 21:07 - 2018-02-08 21:07 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign177601197a9cf7ce
2018-02-06 21:46 - 2018-02-06 21:46 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign10c01575c419cc73
2018-02-06 21:45 - 2018-02-06 21:45 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignad4501807ae12d15
2018-02-06 21:45 - 2018-02-06 21:45 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignabcdac80fe52a69a
2018-02-06 21:45 - 2018-02-06 21:45 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign6d10eb14128fbe73
2018-02-06 00:19 - 2018-02-06 00:19 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign6ed2ae1785926d85
2018-02-06 00:18 - 2018-02-06 00:18 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign5194c672ccf26a6e
2018-02-06 00:18 - 2018-02-06 00:18 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign01091b13bdd678c1
2018-02-05 23:33 - 2018-02-05 23:33 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign878f286db29b9574
2018-02-05 21:17 - 2018-02-05 21:17 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign98655376f6193964
2018-02-05 21:16 - 2018-02-05 21:16 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigndd2d947ff513e477
2018-02-05 21:16 - 2018-02-05 21:16 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign530ac570d09d4c07
2018-02-05 21:16 - 2018-02-05 21:16 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign3c0c4dd90cd3db31
2018-02-05 21:16 - 2018-02-05 21:16 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign0a13ee2e667e049c
2018-02-04 11:27 - 2018-02-04 11:27 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign768fca9fc2811d78
2018-02-04 11:12 - 2018-02-04 11:12 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign31c7941710b54745
2018-02-04 11:11 - 2018-02-04 11:11 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignd3e0fea344e11e65
2018-02-04 11:11 - 2018-02-04 11:11 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign466e1a35648d5d88
2018-02-03 22:16 - 2018-02-03 22:16 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign289b28466ba6d310
2018-02-03 21:57 - 2018-02-03 21:57 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign8c43bac54f713a7c
2018-02-03 21:57 - 2018-02-03 21:57 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign86c63cbf4ee6d703
2018-02-03 19:42 - 2018-02-03 19:42 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign9608e1563fd80b8b
2018-02-03 19:42 - 2018-02-03 19:42 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign54fabb4911f2e26e
2018-02-03 13:46 - 2018-02-03 13:46 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign7be85b40c0b95fea
2018-02-03 13:46 - 2018-02-03 13:46 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign3cb6a4c3aae89583
2018-02-03 13:45 - 2018-02-03 13:45 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignf4f5094eff94424d
2018-02-03 13:45 - 2018-02-03 13:45 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign57d8b78b0fbea8af
2018-02-03 13:45 - 2018-02-03 13:45 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign41db6f8313248beb
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
HKU\S-1-5-21-2610946163-3817028697-2614589207-1000\Software\Classes\.scr: scrfile =>  <==== ATTENTION
HKU\S-1-5-21-2610946163-3817028697-2614589207-1000\Software\Classes\regfile: regedit.exe "%1" <==== ATTENTION
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
ildad Постоялец

ildad

Опубликовано
  • Автор
Опубликовано

через пять минут после вашего последнего сообщения. зависла винда. 

только мышка работала . на запросы перестала работать , пришлось перезагрузить только с помощью кнопки reset 
произошло это после запуска мной native instrument komplate audio 6 control panel это файл nika6cpl.exe

тут я запустил system perfomance test и через некоторое время все зависло. (может это важная инфа.) 

вообщем с проблемой пока не ясно. может она еще всплывет. нужно попользоваться пк. или просто в режиме простоя его поставить на несколько часов. 

Ссылка на комментарий
Поделиться на другие сайты
ildad Постоялец

ildad

Опубликовано
  • Автор
Опубликовано (изменено)

вообщем постоял компьютер в рабочем состоянии и начались опять лаги. фризы.

+не работает windows media player (совсем)

+не работает internet explorer (запускается, но просто белое окно)

вот новый лог:

CollectionLog-2018.02.15-17.20.zip

Изменено пользователем ildad
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Sergei Lomov
      Майнер на компьютере
      От Sergei Lomov
      Здравствуйте, возникла проблема после скачивания и запуска игры с торента, сначала перестал открываться браузер хром появлялось сообщение “Не удается получить доступ к объекту на который ссылается ярлык.Возможно , отсутствуют необходимые разрешения” ,после чего пробовал установить антивирус на что мне появлялось сообщение - “Операция отменена из-за ограничений, действующих на этом компьютере.Обратитесь к системному администратору”. Не мог зайти на ваш сайт с компьютера перекидывало на сайт dns.google.Скачал программу autologger, удалось открыть только в безопасном режиме
      CollectionLog-2024.12.03-20.17.zip
    • ванькаветер
      Подозрение на майнер.
      От ванькаветер
      Подозрение на майнер. Вентилятор включается на видекарте в ноутбуке на несколько минут. Температура видеокарты 51 градус, хотя я включал в msi ценре турбообдув температура падает до38 градусов ротом опять поднимается. Загрузка gpu прыгает до 20%. В основном до 5%. Подозрительно. Возможно планировщик или драйвера nvidia шалят. Все драйвера обновлены в данный момент с помощью SDI программы.
      CollectionLog-2024.11.25-13.39.zip
    • Cybermancubus
      Майнер John
      От Cybermancubus
      Обнаружил случайно пользователя в учетных записях. В папке "Пользователи" он не отображается. Скачивал doctor web cureit, но он ничего не обнаружил. Скачал Farbar Recovery Scan Tool. Файлы прикрепляю, спасибо! Какие действия нужно предпринимать?
      FRST.txt Addition.txt
    • David Faker
      Майнер
      От David Faker
      Здравствуйте. Недавно скачал Microsoft Office и, видимо, там попался майнер. Долго боролся с ним. Еле запустил avbr. Потому что даже смена имени и директории не помогала. Вирус запрещал использовать msconfig, диспетчер задач, разнообразные службы Windows, в некоторых ситуациях запрещал использование CMD
       
      После первой попытки запустить AVbr - видимо сработала какая-то защита майнера и он обрубал все попытки разобраться в проблеме, не давая ничего сделать в этом направлении.
       
      Если кто встречался - поможет запуск AVbr в безопасном режиме.
       
      Помогите пожалуйста понять, удалился ли майнер с компьютера, а также остались ли хвосты. Прилагаю файлы с FRST. Заранее, спасибо вам большое
      FRST.txt Addition.txt
    • slimy371
      Вирус (майнер) John
      От slimy371
      cureit.rar Вместе со сторонним ПО скачал вирус, произвел проверку cureit, логи прилагаю. Осталась учетная запись John и несколько папок и файлов которые невозможно удалить т.к. недостаточно прав. Помогите добить этого Джона, не хочется переустанавливать винду. Спасибо!
×
×
  • Создать...