Программа нагружает ЦП

[Bondger]

Здравствуйте. Похоже подхватил вирус. При запуске компьютера запускается программа Vmware tools core service, которая нагружает процессор до максимума. Пишут, что это майнер. Папка с приложением после удаления снова появляется после перезапуска компьютера. Говорят проще переустанавливать винду. Помогите пожалуйста.

[Bondger]

Логи

CollectionLog-2020.07.28-22.16.zip

[thyrex]

Цитата

Malwarebytes [20200630]-->"C:\Program Files (x86)\Malwarebytes\unins000.exe"

удалите через Установку программ.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Bondger]

10 часов назад, thyrex сказал:

Malwarebytes [20200630]-->"C:\Program Files (x86)\Malwarebytes\unins000.exe"

Не запускается.

 

 

FRST.rar

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
(Malwarebytes Inc -> Malwarebytes) C:\Program Files (x86)\Malwarebytes\mbam.exe
GroupPolicy: Restriction - Windows Defender <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Tcpip\..\Interfaces\{3115ed55-3858-4507-852d-18176a57bf23}: [NameServer] 185.192.111.210,37.59.58.122
Tcpip\..\Interfaces\{37f428c4-d764-4102-834b-5a4d88660740}: [NameServer] 185.192.111.210,37.59.58.122
Tcpip\..\Interfaces\{56068eaa-2fbe-11e9-adcc-806e6f6e6963}: [NameServer] 185.192.111.210,37.59.58.122
Tcpip\..\Interfaces\{6ea0b8e0-0a1e-42ea-b685-bf27a9ff8c2c}: [NameServer] 185.192.111.210,37.59.58.122
Tcpip\..\Interfaces\{a9e06193-0b5a-4a66-b20c-df9a82ae4729}: [NameServer] 185.192.111.210,37.59.58.122
Tcpip\..\Interfaces\{cc50a585-4c7b-419c-956b-79754b1338e0}: [NameServer] 185.192.111.210,37.59.58.122
Tcpip\..\Interfaces\{f147d6fb-892a-4adc-8127-ff7f33c2464e}: [NameServer] 185.192.111.210,37.59.58.122
2020-07-28 22:01 - 2020-07-28 22:01 - 000000000 ____D C:\Users\Все пользователи\VMware
2020-07-28 22:01 - 2020-07-28 22:01 - 000000000 ____D C:\ProgramData\VMware
2020-06-30 22:33 - 2020-07-29 18:48 - 000000258 __RSH C:\Users\Все пользователи\ntuser.pol
2020-06-30 22:33 - 2020-07-29 18:48 - 000000258 __RSH C:\ProgramData\ntuser.pol
2020-06-30 22:33 - 2020-07-28 18:55 - 000000000 ____D C:\Program Files (x86)\Malwarebytes
2020-05-25 12:38 - 2020-05-25 12:38 - 000776432 _____ () C:\Users\Артём\Downloads\MediaGet_id46117ids3s.exe
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [200]
AlternateDataStreams: C:\Users\Артём\Downloads\adguardInstaller.exe:SmartScreen [7]
AlternateDataStreams: C:\Users\Артём\Downloads\archpr_setup_en.msi:SmartScreen [7]
AlternateDataStreams: C:\Users\Артём\Downloads\botmek.setup.exe:SmartScreen [7]
AlternateDataStreams: C:\Users\Артём\Downloads\ccsetup567.exe:SmartScreen [7]
AlternateDataStreams: C:\Users\Артём\Downloads\GSAutoClicker.exe:SmartScreen [7]
AlternateDataStreams: C:\Users\Артём\Downloads\Hotkeycontrol v8.3_id231s08ecm.exe:SmartScreen [7]
AlternateDataStreams: C:\Users\Артём\Downloads\Hotkeycontrol v8.3_id231s9205j.exe:SmartScreen [7]
AlternateDataStreams: C:\Users\Артём\Downloads\hotkeycontrol.exe:SmartScreen [7]
AlternateDataStreams: C:\Users\Артём\Downloads\MediaGet_id46117ids3s.exe:SmartScreen [7]
AlternateDataStreams: C:\Users\Артём\Downloads\obnovisetup.exe:SmartScreen [7]
AlternateDataStreams: C:\Users\Артём\Downloads\RAGEMultiplayer_Setup.exe:SmartScreen [7]
AlternateDataStreams: C:\Users\Артём\Downloads\setup.exe:SmartScreen [7]
AlternateDataStreams: C:\Users\Артём\Downloads\Setup_BotMek (1).exe:SmartScreen [7]
AlternateDataStreams: C:\Users\Артём\Downloads\setup_botmek (2).exe:SmartScreen [7]
AlternateDataStreams: C:\Users\Артём\Downloads\Setup_BotMek.exe:SmartScreen [7]
AlternateDataStreams: C:\Users\Артём\Downloads\uopilot.exe:SmartScreen [7]
AlternateDataStreams: C:\Users\Артём\Downloads\YandexPackLoader (1).exe:SmartScreen [7]
AlternateDataStreams: C:\Users\Артём\Downloads\YandexPackLoader (2).exe:SmartScreen [7]
AlternateDataStreams: C:\Users\Артём\Downloads\zvv6rcts.exe:SmartScreen [7]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815 [200]
FirewallRules: [{8E084C48-B5C3-4CBE-A20A-4A21BC558D14}] => (Allow) C:\Program Files (x86)\Malwarebytes\mbam.exe (Malwarebytes Inc -> Malwarebytes)
FirewallRules: [{EF88DFD1-899D-4559-8A35-722D0EDAFD00}] => (Allow) C:\Program Files (x86)\Malwarebytes\mbam.exe (Malwarebytes Inc -> Malwarebytes)
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

 

[Bondger]

Fixlog.txt

[thyrex]

Что сейчас с проблемой?

[Bondger]

Вроде проблема устранена. Спасибо Вам огромное! Думал это не излечится. 

 

Ваш антивирус сможет от этого защитить в будущем?

[thyrex]

54 минуты назад, Bondger сказал:

Ваш антивирус сможет от этого защитить в будущем?

Вирусописатели всегда на шаг впереди.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.