Перейти к содержанию
Правила раздела
Важная информация для бета-тестеров

Скрытый майнер (?)

leavouir

От leavouir
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

leavouir Новичок

leavouir

Опубликовано
Опубликовано

Здравствуйте. Начал замечать, что у меня нагружается процессор до 100%, начались подвисания, долгие загрузки. При открытии диспетчера задач нагрузка на ЦП отображается 100% и затем начинает падать. При закрытии его и используя fps монитор отображает, что ЦП снова нагружен. Помогите, пожалуйста, как это удалить?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\RealtekHD\taskhostw.exe (file missing)
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\E&xport to Microsoft Excel: (default) = C:\Program Files (x86)\Microsoft Office\Root\Office16\EXCEL.EXE (file missing)
O9 - Button: HKLM\..\{31D09BA0-12F5-4CCE-BE8A-2923E76605DA}: Lync Click to Call - (no file)
O9 - Tools menu item: HKLM\..\{31D09BA0-12F5-4CCE-BE8A-2923E76605DA}: Lync Click to Call - (no file)
O9-32 - Button: HKLM\..\{31D09BA0-12F5-4CCE-BE8A-2923E76605DA}: Lync Click to Call - (no file)
O9-32 - Tools menu item: HKLM\..\{31D09BA0-12F5-4CCE-BE8A-2923E76605DA}: Lync Click to Call - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\mso-minsb.16: [CLSID] = {42089D2D-912D-4018-9087-2B87803E93FB} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\mso-minsb-roaming.16: [CLSID] = {83C25742-A9F7-49FB-9138-434302C88D07} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\osf.16: [CLSID] = {5504BE45-A83B-4808-900A-3A5C36E7F77A} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\osf-roaming.16: [CLSID] = {42089D2D-912D-4018-9087-2B87803E93FB} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task (.job): Обновление Браузера Яндекс.job - C:\Users\pasha\AppData\Local\Yandex\YandexBrowser\Application\browser.exe (file missing)
O22 - Task: (damaged) C:\WINDOWS\System32\Tasks\NCH Software (empty)
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)
O22 - Task: (disabled) AAct - C:\Windows\AAct_Tools\AAct.exe /ofs=act (file missing)
O22 - Task: (disabled) Avast Emergency Update - C:\Program Files\Avast Software\Avast\AvEmUpdate.exe (file missing)
O22 - Task: (disabled) Driver Booster Scheduler - C:\Program Files (x86)\IObit\Driver Booster\9.0.1\Scheduler.exe /scheduler (file missing)
O22 - Task: (disabled) Driver Booster SkipUAC (pasha) - C:\Program Files (x86)\IObit\Driver Booster\9.0.1\DriverBooster.exe /skipuac (file missing)
O22 - Task: (disabled) Driver Booster Update - C:\Program Files (x86)\IObit\Driver Booster\9.0.1\AutoUpdate.exe /auto (file missing)
O22 - Task: (disabled) GameNet - C:/Program Files (x86)/QGNA/qGNA.exe /minimized (file missing)
O22 - Task: (disabled) Garena+ Plugin Host Service - C:\Program Files (x86)\Garena Plus\ggdllhost.exe "C:\Program Files (x86)\Garena Plus\ggspawn.dll",rundll_entry (file missing)
O22 - Task: (disabled) OneDrive Standalone Update Task-S-1-5-21-853705723-3787442264-3535378521-1002 - C:\Users\pasha\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: (disabled) Opera scheduled Autoupdate 1635449613 - C:\Users\pasha\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (file missing)
O22 - Task: (disabled) StartIsBack health check - C:\Program Files (x86)\StartIsBack\startscreen.exe /check (file missing)
O22 - Task: (disabled) Обновление Браузера Яндекс - C:\Users\pasha\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --background-update --noerrdialogs (file missing)
O22 - Task: (telemetry) \Microsoft\Office\OfficeTelemetryAgentFallBack2016 - C:\Program Files (x86)\Microsoft Office\root\Office16\msoia.exe scan upload mininterval:2880 (file missing)
O22 - Task: (telemetry) \Microsoft\Office\OfficeTelemetryAgentLogOn2016 - C:\Program Files (x86)\Microsoft Office\root\Office16\msoia.exe scan upload (file missing)
O22 - Task: \Avast Software\Overseer - C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe /from_scheduler:1 (file missing)
O22 - Task: \Microsoft\Office\Office Feature Updates - C:\Program Files (x86)\Microsoft Office\root\Office16\sdxhelper.exe (file missing)
O22 - Task: \Microsoft\Office\Office Feature Updates Logon - C:\Program Files (x86)\Microsoft Office\root\Office16\sdxhelper.exe /onlogon (file missing)

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-853705723-3787442264-3535378521-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-853705723-3787442264-3535378521-1001\...\MountPoints2: {a058b141-2160-11e8-b238-309c231b1838} - "I:\AUTORUN.EXE" 
HKU\S-1-5-21-853705723-3787442264-3535378521-1001\...\MountPoints2: {ec2cc5dc-ecaf-11e7-b22f-309c231b1838} - "H:\autorun.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
S3 PRProt; \??\C:\Users\pasha\AppData\Local\Temp\ActiveAnticheat\1223581\active64.sys [X] <==== ВНИМАНИЕ
FirewallRules: [{CA5E9920-C09A-4E35-AF50-636A7377E31E}] => (Allow) C:\Users\pasha\AppData\Local\Programs\Opera\64.0.3417.73\opera.exe => Нет файла
FirewallRules: [{89AB6D8C-FDC0-4F60-A62A-691500F8747F}] => (Allow) C:\Users\pasha\AppData\Local\Programs\Opera\80.0.4170.63\opera.exe => Нет файла
HKU\S-1-5-21-853705723-3787442264-3535378521-1001\...\StartupApproved\Run: => "MediaGet2"
AlternateDataStreams: C:\WINDOWS\system32\Drivers\ygptwvka.sys:changelist [1714]
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Цитата

--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.7.5.8 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.50918.0 Данная программа больше не поддерживается разработчиком.
Microsoft Office профессиональный плюс 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Professional Plus 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 16.04 (x64) v.16.04 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Zoom v.5.7.8 (1247) Внимание! Скачать обновления
Skype, версия 8.38 v.8.38 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 271 (64-bit) v.8.0.2710.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u311-windows-x64.exe)^
Java 8 Update 271 v.8.0.2710.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u311-windows-i586.exe)^
-------------------------------- [ Media ] --------------------------------
K-Lite Mega Codec Pack 14.9.0 v.14.9.0 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

выполните рекомендованное, и на этом закончим.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Mistory_Young
      появился скрытый майнер
      От Mistory_Young
      Обнаружил что грузится процессор на 70% при запуске. Через процесс Хакер вижу два проводника. Один нормальный а второй как раз и грузит проц. Через доктор веб находит вирус этот, но не может вылечить, через процесс хакер его замораживать только могу. Читал на форуме про это и через прогу видит внедренный процесс
      \Net\9564\TCP\5.188.137.200-80\Device\HarddiskVolume5\Windows\explorer.exe
      CollectionLog-2025.01.18-04.00.zip
    • ZombOs
      Майнер на компьютере
      От ZombOs
      Столкнулся с вирусом при попытке проверить файл на Вирус тотал. При просмотре диспетчера, заметил подозрительный процесс под именем "COM Surrogate", который дублировал сам себя и потреблял большой ресурс процессора. При попытке отключения процесса через диспетчер задач, процесс завершается и происходит резкий выход из диспетчера. При попытке перейти по расположению файла открывается проводник, после диспетчер и проводник резко закрываются. При попытке найти папку через безопасный режим ее нет на месте. А с подключением в интернет вовсе не работает безопасны режим. При попытке скачать антивирус пишеь, "Операция отменена из-за ограничений, действующих на этом компьютере. Обратитесь к системному администратору". На форма нашел пост, где говорится про программу AV block remover. Скачав ее через USB, запустил ее и получил следующие файл https://vk.com/away.php?to=https%3A%2F%2Fdrive.google.com%2Fdrive%2Ffolders%2F1tFVD4TYYqrMnXJZRZQbLncv3C9BjLZDK%3Fusp%3Dsharing&utf=1. В посте указали данный форм для обращения за помощью. 



      delminer.txt
    • Holo_Yolo
      [РЕШЕНО] Проблемы после майнера
      От Holo_Yolo
      Здравствуйте, проблема такая, после удаления майнера и процедуры лечения всё вернулось в норму, но перестала обновляться Windows 
      Так же были проблемы с запуском некоторых команд в командной строке, но их исправил путём удаления из реестра 
      Фото ошибки прилагаю 

    • ванькаветер
      [РЕШЕНО] Подозрение на майнер.
      От ванькаветер
      Подозрение на майнер. Вентилятор включается на видекарте в ноутбуке на несколько минут. Температура видеокарты 51 градус, хотя я включал в msi ценре турбообдув температура падает до38 градусов ротом опять поднимается. Загрузка gpu прыгает до 20%. В основном до 5%. Подозрительно. Возможно планировщик или драйвера nvidia шалят. Все драйвера обновлены в данный момент с помощью SDI программы.
      CollectionLog-2024.11.25-13.39.zip
    • Medoed Stepa
      Поймал "умный" ,скрытый майнер
      От Medoed Stepa
      Недавно заметил что у меня очень сильно начал греться процессор, после запуска компьютера, FPS  начал проседать и.т.д
      Захожу в диспетчер задач вначале высокая загрузка, потом падает ( на форумах говорится что это нормально в первые 2-3с пока диспетчер задач считывает информацию), но  проблема в том что заходя через приложение MyASUS, показывается загрузка процессора которая в среднем составляет 30-40%, при только открытом этом приложении , дальше при открытии диспетчера задач загрузка падает до 3%  что в диспетчере задач что в приложении , но при закрытии сразу возрастает до 40%, так же сегодня заметил что если отключить интернет то загрузка тоже падает . Одним словом майнер в чистом виде.
      Писать бы на форум не стал не попробовав базовые способы решения , что было сделано: полная проверка через KVRT , Dr web Cureit , ручная проверка через монитор ресурсов , все виды проверок через Microsoft Defender (он кстати нашел троян и 1 вирус, но всё равно удалив их проблема не решилась)
       Физические проблемы с процессором и видеокартой сомнительны так как при запуске приложений-игр ,производительность заметно возрастает если держать свернутым диспетчере задач (производительность не возрастала бы в обратном случае)
      Все драйвера обновлены до последних версий и windows тоже, так же проверял на системные сбои через приложение LatencyMon (проблемы не были найдены)
      Из последнего ,что запускал необычного обходы для dicord и youtube  -Zapret , через командные строки , А так всегда пользуюсь только лицензированным ПО  и соблюдаю цифровую гигиену.
      Есть предположение что так как Zapret был запущен через командую строку от имени администратора ,антивирусы не могут его найти так как считают его расширением или программным ПО - Приложением (на данный момент  Zapret был деинсталлирован через командную строку (предположительно)) 
       
      Снизу прикрепил ,то что нашел Microsoft Defender
       
       


×
×
  • Создать...