Перейти к содержанию

Есть подозрение на майнер. Загрузка памяти 60% + 2 моментальные командные строки при включении ПК


Рекомендуемые сообщения

Опубликовано

Добрый вечер!

Столкнулся с проблемой: слишком сильно загружается память в компьютере. После включение в моменте появляются 2 командные строки и тут же исчезают. Вдобавок ко всему, очень много процессов с scchost.exe. По моему мнению (далеко не экспертному) словил майнер(иногда куллеры слишком громко работают, в рандомное время) или троян.

Помогите, пожалуйста, проверить. Сам пользуюсь преимущественно Mac OS, поэтому далек немного от архитектуры винды и как-то даже не знаю, что делать в таких случаях.

 

Заранее спасибо!

CollectionLog-2021.12.21-00.54.zip

Опубликовано

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{03896D04-23AB-4F74-A27D-B1B71EE41E2C} - \Microsoft\Windows\EnterpriseMgmt\MDMMaintenenceTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{03896D04-23AB-4F74-A27D-B1B71EE41E2C} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{15ABD666-CFBA-4CAD-A5FE-775E58DBC937} - \WpsExternal_20161109044301 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1B6D1F4C-6227-453D-85AB-5EE6D2993E1F} - \NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1F15DB3B-F60E-406C-BAA0-2625F8B5333E} - \Microsoft\Windows\UpdateOrchestrator\Policy Install (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{28057C3E-DD4B-4751-84EE-D388CEC346D8} - \ASUS Battery Health Charging Notification (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2A3387FC-3A12-4575-B4C3-5A3ED75A38BC} - \ASUSTek Computer Inc\ASUS GIFTBOX (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2E7DD526-4E91-4895-A993-9DE963B617C2} - \ASUS Splendid ACMON (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2F2FA34D-8E83-4DD0-87C8-A8384FFC238F} - \Microsoft\Windows\UpdateOrchestrator\USO_UxBroker_ReadyToReboot (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{44EC52A6-AC90-4956-926D-6126510C9C17} - \NvTmMon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{44F8C256-C5B7-41F7-96CB-F1086E9FCF1C} - \ATK Package A22126881260 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4520E8A9-AF06-4122-859B-E4B655B29B36} - \Microsoft\Windows\AppID\SmartScreenSpecific (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4547DA54-C217-4464-A991-11F8F17943A9} - \ASUS USB Charger Plus (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{53EED6E1-DE40-43E7-A187-692356E63261} - \NvTmRep_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5D938D69-954F-471D-B537-835931416B84} - \Microsoft\Windows\ErrorDetails\EnableErrorDetailsUpdate (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{61F2BA5D-9484-4A61-A873-0020E37C8846} - \Microsoft\Windows\UpdateOrchestrator\USO_UxBroker_Display (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{635A185A-88AD-4B41-9344-B07C284A75E9} - \Microsoft\Windows\WindowsUpdate\sih (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6E7BF475-DB5E-4B67-A84B-8E330709D439} - \Microsoft\XblGameSave\XblGameSaveTaskLogon (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{78F64FF0-01D7-4794-AC94-453EC312258E} - \NvTmRepOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7C5DC051-68ED-4DCE-B9BF-4497791B9590} - \NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8C69C317-B723-4E68-A332-7CA2F2AD4377} - \Intel PTT EK Recertification (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8D84A120-6D8D-4605-B8C6-556770230F69} - \ASUS\ASUS Product Register Service (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9FA22C1A-972F-4AEE-8CF1-2423ACC189B9} - \Microsoft\Windows\UpdateOrchestrator\Maintenance Install (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A6DF1CFA-2909-4F53-BDEB-DE70AF2211C3} - \ATK Package 36D18D69AFC3 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BA0CB74D-DEC9-4BE1-901E-BED7836E5622} - \NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C7D4E10F-A557-4D12-BDA4-B38A96AD1426} - \Microsoft\Windows\ErrorDetails\ErrorDetailsUpdate (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C9ACBFD2-20AA-4A3F-BE1A-A3D5279BB1BB} - \Microsoft\Windows\Plug and Play\Plug and Play Cleanup (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D394BE25-2E16-45D4-AAB2-3E8861A09351} - \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D42F331E-6BFC-4F99-A75D-D90D9937A998} - \NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F200B6AE-7AD3-4DF7-B3EB-F1356CA5D011} - \Microsoft\Windows\UpdateOrchestrator\Reboot (no xml)

 

 

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

 

Опубликовано

Уважаемый SQ!

Спасибо большое, что так быстро откликнулся. Все сделал по твоей инструкции. Прикладываю отчет к письму:

 

Спасибо!

 

AdwCleaner[S00].txt

Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-1156406588-1324841200-3999135450-1001\...\MountPoints2: {99250c7d-42fd-11ec-99db-88d7f6a160b1} - "E:\SISetup.exe" 
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {F200B6AE-7AD3-4DF7-B3EB-F1356CA5D011} - \Microsoft\Windows\UpdateOrchestrator\Reboot -> No File <==== ATTENTION
    FirewallRules: [{CE8A72EC-EB3E-4C03-A30D-5EA23118B019}] => (Allow) C:\Program Files\CyberLink\PowerDirector12\PDR10.EXE => No File
    FirewallRules: [{8D3424FF-C7AC-404F-8F3C-ABA533B72369}] => (Allow) C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe => No File
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Опубликовано
11 часов назад, CrazyRabbit09 сказал:

После включение в моменте появляются 2 командные строки и тут же исчезают

Это по-прежнему наблюдаете?

Опубликовано
1 минуту назад, Sandor сказал:

Это по-прежнему наблюдаете?

Теперь уже нет.

Опубликовано

По сути, мы почистили мусор.

 

11 часов назад, CrazyRabbit09 сказал:

иногда куллеры слишком громко работают, в рандомное время

Я бы сказал - нормальное поведение.

 

Проделайте завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Опубликовано
13 минут назад, Sandor сказал:

По сути, мы почистили мусор.

Это так сложно, оказывается ...?

 

То есть по сути, вируса нет и не было?

 

Вот, получившийся лог: 

 

SecurityCheck.txt

Опубликовано
18 минут назад, CrazyRabbit09 сказал:

То есть по сути, вируса нет и не было?

Верно.

 

--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.4.0.70 v.3.4.0.70 Warning! Download Update
TeamViewer 11 v.11.0.59518 Warning! Download Update
ASUS Live Update v.3.6.8 Warning! Your Windows may have been compromised. Please download diagnostic tool.
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9002 Warning! Download Update
 

Читайте Рекомендации после удаления вредоносного ПО

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • utkeen
      Автор utkeen
      Здравствуйте, постоянно вылезает расширение Адблок в браузерах, возвращается после перезагрузки компьютера, помогите пожалуйста. Антивирус не спасает
    • Moroshka
      Автор Moroshka
      Добрый день.
      Помогите пожалуйста
      Переименовались службы:
       wuauserv_bkp
      UsoSvc_bkp
      BITS_bkp
      WaaSMedicSvc_bkp
      dosvc_bkp.
      Не работал цент обновления, была ошибка "что-то пошло не так"
      Проблема с обновлением ушла после проверки:
       
      Kaspersky Virus Removal Tool; Dr.Web CureIt!.
      Они нашли часть вирусов и снесли их, но остались дубли  служб, описанных выше, это остаточные следы вируса, или просто нарушение работы файлов реестра?   
       
       

      CollectionLog-2026.06.29-14.31.zip
    • Detanatar2
      Автор Detanatar2
      Добрый день
      на этой неделе лечили комп от вирусов
      все прошло успешно, но сегодня обнаружил, что при входе в мозилу, я вышел из всех почтовых аккаунтов
      входить не стал и стразу перегрузил комп и увидел, что система не успела создать файл  прикрепляю изображение
      так же в корне другого диска обнаружил странный текстовый файл, прикрепляю в архиве.

      Подскажите, может грохнуть диск С и поставить вин 11
      или сначала попробовать вылечить комп.

      Почему я написал в тегах Мамонт, часто качаю видео и вот один MOV просто блымнул на экране и ничего...

      topfiles.zip
    • SuperFlanker
      Автор SuperFlanker
      После входа на сайт www.medkv.ru   (по-видимому зараженный) огромное количество файлов оказалось зашифрованным.
      В корне почти всех логических зон появились пронумерованный файлы README1.txt (1,2,3,и т.д.), в которых оказался текст:
          Ваши файлы были зашифрованы.     Чтобы расшифровать их, Вам необходимо отправить код:     D578B51556B1A605148F|0     на электронный адрес files1147@gmail.com или post100023@gmail.com .     Далее вы получите все необходимые инструкции.       Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.   И аналогичный текст на английском.   Никаких действий кроме тех что указаны в методике - "Порядок оформления запроса о помощи" я не делал. Надеюсь на помощь! CollectionLog-2015.07.08-18.43.zip
    • detanatar
      Автор detanatar
      Добрый день
      обнаруживаю, что видеокарта регулярно громко молотит вентиляторами, температура поднимается до 65 градусов.
      перегружал комп все отключал, все равно температура доползает до 65 градусов и когда начинаю мониторить процессы  опускается до 40, а затем опять взлетает 55-65 гадусов.
      Думаю я поймал майнера
      Помогите с лечение компьютера
      CollectionLog-2026.06.20-20.47.zip
×
×
  • Создать...