[РЕШЕНО] Словил майнера, нагружает видеокарту

[tevervin 0]

Похоже, что словил майнера, так как стала перегреваться видеокарта.

При помощи программки GPU-Z стал мониторить состояние работы видеокарты.
В простое температура держится в районе 50 градусов, если запустить игрушку, то уходит в 75+, были отключения компа из-за перегрева.
У видеокарты по характеристикам частота ядра 975 MHz, памяти 1400 MHz.
На старте компа, когда только-только загрузился и нет никакой нагрузки эти частоты 300 и 150.

Через некоторое время активируется майнер (подловить его в какой именно момент у меня не получилось, иногда запускается прям сразу, иногда спустя минут 10) и частоты становятся 450 и 1400.
При любом переключении между программами и сайтами частоты на несколько секунд подпрыгивают до максимума 975 и 1400.

Проверял комп сначала Kaspersy Free, потом его же Virus Removal Tool, затем Dr. Web CureIt. Только Dr. Web нашел что-то в hosts, но после лечения майнер остался.

CollectionLog-2022.02.27-14.47.zip

[Sandor 1 253]

Здравствуйте!

 

Явного майнера пока не видно.

 

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[tevervin 0]

 

Перед созданием темы им тоже проверялся, вот логи первой проверки:
AdwCleaner[S00].txtAdwCleaner[C00].txt

И сейчас провёл ещё одну проверку:
AdwCleaner[S01].txt

Изменено 28 февраля, 2022 пользователем tevervin

[Sandor 1 253]

Понятно.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[tevervin 0]

Addition.txt FRST.txt

[Sandor 1 253]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-2126979710-3918721098-3693848605-1001\...\Run: [Adobe] => C:\Users\home\AppData\Local\490b38\svсhоst.exe [2 2016-12-11] () [Файл не подписан]
  HKU\S-1-5-21-2126979710-3918721098-3693848605-1001\...\MountPoints2: {81870399-c179-11e4-8286-7824af41fd2b} - "E:\setup.exe" 
  HKU\S-1-5-21-2126979710-3918721098-3693848605-1001\...\MountPoints2: {96cb6f70-42e6-11e7-8470-7824af41fd2b} - "F:\Startme.exe" 
  HKU\S-1-5-21-2126979710-3918721098-3693848605-1001\...\MountPoints2: {d49c8680-6d23-11e4-825c-7824af41fd2b} - "E:\Startme.exe" 
  Startup: C:\Users\home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Steam.lnk [2016-12-11]
  ShortcutTarget: Steam.lnk -> C:\Users\home\AppData\Local\490b38\svсhоst.exe () [Файл не подписан]
  C:\Users\home\AppData\Local\490b38\svсhоst.exe
  AlternateDataStreams: C:\ProgramData\.rdata:X [526]
  AlternateDataStreams: C:\Users\Public\AppData:CSM [478]
  FirewallRules: [{E233A393-77C5-4547-9219-692CC6F223B5}] => (Allow) LPort=2869
  FirewallRules: [{83952CFF-07B7-47B8-9481-BB51431403FF}] => (Allow) LPort=1900
  FirewallRules: [{4C8947CC-2730-4394-82F1-B56B786C14D4}] => (Allow) LPort=2869
  FirewallRules: [{9E95B1E2-0331-49EB-AC57-F6C946BFE711}] => (Allow) LPort=1900
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[tevervin 0]

Проблема осталась так же.

До того, как обратился на форум, видел этот svchost в автозапуске (причём он там был продублирован), отключал, после перезагрузки комп минут десять работал нормально (частоты низкие в простое, никаких подскоков при переключении вкладок и т.п.).
Но минут через десять взглянул в на частоты и увидел, что проблема не ушла.

Fixlog.txt

[Sandor 1 253]

Посмотрим ещё так:

 

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

[tevervin 0]

scanm.txt

[Sandor 1 253]

Найденное можно удалить.

 

Перезагрузите компьютер.

Удалите старые и соберите новые логи FRST.txt и Addition.txt

[tevervin 0]

Всё так же.

Addition.txt FRST.txt

[Sandor 1 253]

Malwarebytes можете деинсталлировать.

 

Также деинсталлируйте нежелательные:

Цитата

 

Bonjour

UmmyVideoDownloader 1.2.0.6

 

 

 

Затем:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

 

Дальше искать причину такого поведения предлагаю в соседнем системном разделе форума.

Вирусного ничего больше в логах не видно.

[tevervin 0]

Понял, спасибо за помощь.

SecurityCheck.txt

[Sandor 1 253]

Указанное по возможности обновите.

 

--------------------------- [ OtherUtilities ] ----------------------------
OpenOffice 4.1.1 v.4.11.9775 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
Bandizip v.5.03 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Skype™ 7.40 v.7.40.104 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45724 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 16.3.5 Standard v.16.3.5 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Microsoft Edge v.88.0.705.81 Внимание! Скачать обновления
 

 

Удалите инструменты лечения:

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.
  

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

[Sandor 1 253]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".