Скрытый вирус-майнер

[Sandor]

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

[Амир_7]

Сделал, но ничего не нашлось

123.txt

[Sandor]

Посмотрим ещё так:

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS).
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

[Амир_7]

DESKTOP-J5S7VF1_2022-04-10_12-46-07_v4.12.7z

[Sandor]

Сделаем так.

 

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   ;uVS v4.12 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv10.0
   v400c
   regt 39
   regt 41
   restart

    

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

Подробнее читайте в этом руководстве.

 

После перезагрузки дождитесь появления процесса calc.exe и, не останавливая этот процесс, соберите ещё раз образ автозапуска uVS.

Прикрепите его к следующему сообщению и можете остановить процесс.

[Амир_7]

После обнаружения calc.exe нужно собрать образ uVS со скриптом или без него ?

[Sandor]

Действуйте в такой последовательности:

1. Выполните скрипт, компьютер перезагрузится.

2. Ждете появления calc.exe и при появлении ничего не останавливаете, а собираете образ автозапуска uVS (AutorunsVTChecker уже запускать не нужно).

[Амир_7]

Здравствуйте, спустя 8 дней процесс наконец-то объявился, но уже под именем "sihost.exe", который нагружал процессор на 30%. Когда я запустил uVS и нажал "Запустить под текущим пользователем", то во время работы этой программы процесс постепенно упал до 0% и затих снова. Прикладываю отчёт.

DESKTOP-J5S7VF1_2022-04-19_00-17-12_v4.12.7z

[Sandor]

Эти ярлыки на Рабочем столе вам известны?

Цитата

 

Ы.LNK

ЮМОРЕСКА!!!.LNK

Я НАЖИМАЮ.LNK

А ОН НЕ МОЕТ.LNK

 

 

[Амир_7]

Да, это я сделал в качестве шутки - просто создал ярлыки к одной и той же игре

[Sandor]

Ясно.

По-прежнему в логе не видно ничего вирусоподобного.

 

Загрузите систему в безопасном режиме и проверьте - будет ли также проявляться нагрузка.

 

 

Рекомендации из этого сообщения тоже желательно выполнить.