Подозрения на вирус

[Bagration]

Здравствуйте.
Подозреваю, что словил какой-то майнер, или другую бяку.

При высоких нагрузках, а особенно задействующих видеоадаптер (например, игра или даже просмотр ютуба в 1080р), внезапно появляется нагрузка ЦП в 100%, при этом процессор (видеоадаптер встроенный) совсем некрасиво греется до 80-90+ градусов. И это при свежей-то термопасте. 
В общем, подозреваю, что что-то маскируется в системе и врубается "под шумок", когда присутствует другая нагрузка. 

Система - некроноут ThinkPad T420, 4Гб ОЗУ, Win7. 

Прошу помощи экспертов.

CollectionLog-2021.02.25-22.55.zip

[regist]

Awesome Miner [20180704]-->MsiExec.exe /X{9695B033-3827-41F4-A048-D86E61438718}

Это ваше?

 

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Графика\GIMP\Lessons.lnk"       -> ["C:\Program Files (x86)\GIMP-2.0\share\lessons\Les_GIMP.chm"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Графика\GIMP\Help.lnk"          -> ["C:\Program Files (x86)\GIMP-2.0\share\help\RusHelpGIMP.chm"]
>>>  "C:\ProgramData\Media Center Programs\Launcher.lnk"     -> ["C:\Gaems\Hellgate London\MediaCenter\Launcher-MCE.mcl"]
>>>  "C:\Users\Username\Links\Catch!.lnk"          -> ["C:\Catch!"]

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

[Bagration]

5 часов назад, regist сказал:

Awesome Miner [20180704]-->MsiExec.exe /X{9695B033-3827-41F4-A048-D86E61438718}

Это ваше?

Мой, но не пользуюсь им от слова совсем. Можно и удалить. Что он делает в msiexec не представляю.

Логи.

Addition.txt FRST.txt

[Bagration]

Забыл лог ClearLNK.

ClearLNK-2021.02.26_13.37.03.log

[regist]

18 часов назад, Bagration сказал:

Можно и удалить. Что он делает в msiexec не представляю.

MSI установщик у него и удаляться будет через msiexec.

 

18 часов назад, Bagration сказал:

Мой, но не пользуюсь им от слова совсем. Можно и удалить.

Удалите тогда.

 

Групповые политики как понимаю сами тоже не настраивали? Скрипт сбросит и их

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden
  HKLM-x32\...\Run: [] => [X]
  HKU\S-1-5-21-274800054-734323054-2643175030-1000\...\MountPoints2: {3e76a935-ccc8-11e9-89bc-0021ccb4d3c2} - G:\Menu.exe
  HKU\S-1-5-21-274800054-734323054-2643175030-1000\...\MountPoints2: {3e76a9e0-ccc8-11e9-89bc-0021ccb4d3c2} - H:\Menu.exe
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

После этого деинсталируйте: bl

[Bagration]

Fixlog прилагаю.
Как удалить одну точку восстановления не нашёл.  Виндовс предлагает удалить только сразу все.
 

Fixlog.txt

Изменено 27 февраля, 2021 пользователем Bagration

[regist]

8 часов назад, Bagration сказал:

Как удалить одну точку восстановления не нашёл.

А зачем её удалять?

22 часа назад, regist сказал:

После этого деинсталируйте: bl

Bl - это название программы. Деинсталировали её?

 

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Bagration]

12 часов назад, regist сказал:

А зачем её удалять?

Bl - это название программы. Деинсталировали её?

Нет. Я первый раз вижу это название и даже не представляю, где она расположена, чтобы деинсталлировать. 
Всё остальное выполнил. 

Лог adwcleanerа. 

AdwCleaner[S00].txt

Изменено 28 февраля, 2021 пользователем Bagration

[Sandor]

2 часа назад, Bagration сказал:

даже не представляю, где она расположена

Пуск - Панель управления - Установка/удаление программ.

[regist]

11 часов назад, Bagration сказал:

Я первый раз вижу это название

Просто раньше она была скрыта, после скрипта должна быть видна. Деинсталировать также как остальные программы удаляете.

[Bagration]

4 часа назад, regist сказал:

Просто раньше она была скрыта, после скрипта должна быть видна. Деинсталировать также как остальные программы удаляете.

Спасибо. Вроде деинсталлировал, хотя оповещения об успешной деинсталляции мне не показало. Только окошко с процессом удаления.
 

[regist]

Плохого больше не видно.

 

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.

 

 

• Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Подробнее читайте в этом разделе форума поддержки утилиты.

Выполните рекомендации после лечения.

[Bagration]

Спасибо. Буду проверять, помогло ли. 

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.18204 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
---------------------- [ AntiVirusFirewallInstall ] -----------------------
ESET Smart Security v.8.0.319.1 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.1 v.4.7.02558 Внимание! Скачать обновления
Oracle VM VirtualBox 6.1.6 v.6.1.6 Внимание! Скачать обновления
TeamViewer 14 v.14.2.2558 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
TunnelBear v.3.3.0.3 Внимание! Это приложение может отображать рекламу на посещаемых страницах.
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.3.44358 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
VLC media player v.2.2.4 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 NPAPI v.32.0.0.363 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Flash Player 32 PPAPI v.32.0.0.371 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
ph v.1.0.0 << Скрыта Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Acrobat DC v.18.011.20038 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 60.0.1 (x64 ru) v.60.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
 

Читайте Рекомендации после удаления вредоносного ПО