Решена Как понять, есть у меня вирусы\майнеры или нет?

[xcxcbsbs]

Доброго времени суток.
Скачал программу AV block remouter по совету своего друга и теперь сижу кумекаю на счёт того, есть ли у меня вирусы на компутаторе, или их нет.
Не совсем понял как работает сканирование AVbr, потому запускал "экзешник" на двух физических дисках.
AVbr нашёл только 1 вирус на диске "C". После благополучно удалил и перезапустил систему.
Первый файл со второго диска, а второй с системного. Не знаю, стоит ли проверять с помощью Auto Logger'a системный диск, потому есть zip архив только с диска "D".
P.S.: Сейчас заметил, что после проверки при демонстрации экрана в Discord'e пожирается 70% ресурсов видеокарты. Якобы кодирования. Раньше такого не было, да и быть не должно, т.к видеокарта не особо старая (GTX 1660 Super).

 

[Sandor]

Здравствуйте!

при демонстрации экрана в Discord'e пожирается 70% ресурсов видеокарты

Я правильно понимаю, что это основная проблема, из-за которой вы начали поиск вирусов?

AVbr не является универсальным средством "против всего", а нацелен только на определённый тип заражения (которого у вас не было).
Autologger не важно из какого места запускать, он соберёт именно то, что требуется.

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Bonjour

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[xcxcbsbs]

@Sandor, я понял что и где удалить. Но вот программа что-то не особо хочет сноситься.
P.S.: Программа пропала из панели управления. Сейчас буду делать проверку с помощью прикреплённой вами программы.

 

[xcxcbsbs]

И я вроде как упомянул, что начала загружаться видеокарта в дискорде после диагностики программой AVbr.
Просто сейчас проблема вообще другая выскочила. И я не понимаю откуда. В диспетчере задач вот такая вот картина. И этих "Хост-процессов" открывается со временем всё больше и больше.

 

[xcxcbsbs]

Вот файлы.

 

[Sandor]

начала загружаться видеокарта в дискорде после диагностики программой AVbr.

Вы ведь по какой-то причине скачали и запустили AVbr, верно? Об этом был вопрос.
Запуск AVbr даже на чистой системе никак не влияет на работу видео карты.

Сделаем некоторую очистку:
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-2106301163-1082548040-917786254-1001\...\MountPoints2: {0c234b53-a92a-11ed-b9bb-d037450a5807} - "E:\HiSuiteDownLoader.exe"
  HKU\S-1-5-21-2106301163-1082548040-917786254-1001\...\MountPoints2: {a65902e7-c5e4-11ec-b899-18c04d2d1618} - "E:\Autorun.exe"
  HKU\S-1-5-21-2106301163-1082548040-917786254-1001\...\MountPoints2: {c4cf0f3d-7af9-11ed-b964-d037450a5807} - "E:\HiSuiteDownLoader.exe"
  HKU\S-1-5-21-2106301163-1082548040-917786254-1001\...\MountPoints2: {efcbccd3-2057-11ed-b8d5-d037450a5807} - "E:\HiSuiteDownLoader.exe"
  CHR HKU\S-1-5-21-2106301163-1082548040-917786254-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  S3 HWiNFO_180; \??\C:\Users\User\AppData\Local\Temp\HWiNFO64A_180.SYS [X] <==== ВНИМАНИЕ
  S3 HWiNFO_190; \??\C:\Users\User\AppData\Local\Temp\HWiNFO64A_190.SYS [X] <==== ВНИМАНИЕ
  AlternateDataStreams: C:\ProgramData\droidcam-client-options-v2:8329C6407A [3442]
  AlternateDataStreams: C:\ProgramData\droidcam-settings:3FFAD04353 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audacity.lnk:09A0A90EF3 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AudioRelay.lnk:A9DEE426C9 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel 2016.lnk:F9B57EE960 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox.lnk:980850BA8A [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook 2016.lnk:21BFFA7D5A [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint 2016.lnk:E033AD74A8 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word 2016.lnk:65270D1A26 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZeroTier.lnk:5D5C9F9C68 [3442]
  AlternateDataStreams: C:\Users\User\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\User\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  FirewallRules: [{DBF6A045-01EB-4F78-9EF3-0C3B02250E14}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
  FirewallRules: [{BF9A3D5B-16E4-443C-98E7-0ACF97748CAA}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
  FirewallRules: [{7B1CD75E-C707-41D0-A674-0E24D04D1FDC}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
  FirewallRules: [{960F8276-1EB9-485F-81EF-8B0EBD768B53}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
  FirewallRules: [{6A8295C0-670A-49BD-BBD9-95175D54F49E}] => (Allow) LPort=8501
  FirewallRules: [{E6E6F93F-C173-4A55-971F-B791EA3B05B1}] => (Allow) LPort=8501
  FirewallRules: [{41D46E9E-AFD4-4BB6-A976-2904B6280EE9}] => (Allow) LPort=9993
  FirewallRules: [{A5F19ADF-59F2-4C4B-88CD-D213316EFCE0}] => (Allow) LPort=9993
  FirewallRules: [TCP Query User{ABE47D1D-EF15-4159-9BDF-4048B4890D40}C:\users\user\appdata\local\temp\rar$exa1944.28414\geometry dash\geometrydash.exe] => (Allow) C:\users\user\appdata\local\temp\rar$exa1944.28414\geometry dash\geometrydash.exe => Нет файла
  FirewallRules: [UDP Query User{2D2100E3-D217-4C32-A376-5C31585CE440}C:\users\user\appdata\local\temp\rar$exa1944.28414\geometry dash\geometrydash.exe] => (Allow) C:\users\user\appdata\local\temp\rar$exa1944.28414\geometry dash\geometrydash.exe => Нет файла
  FirewallRules: [{7F3FFA64-11D9-4A79-A278-B4A862E65F93}] => (Block) C:\users\user\appdata\local\temp\rar$exa1944.28414\geometry dash\geometrydash.exe => Нет файла
  FirewallRules: [{7DAE5B97-A88F-4503-9D1A-C31616828ACA}] => (Block) C:\users\user\appdata\local\temp\rar$exa1944.28414\geometry dash\geometrydash.exe => Нет файла
  FirewallRules: [TCP Query User{CDA82A86-7176-4C60-8AA9-A1A0A812EA5B}C:\users\user\appdata\local\temp\rar$exa3884.29691\geometry dash\geometrydash.exe] => (Allow) C:\users\user\appdata\local\temp\rar$exa3884.29691\geometry dash\geometrydash.exe => Нет файла
  FirewallRules: [UDP Query User{084C3F98-AE50-47A7-95E4-A0CB7797BD86}C:\users\user\appdata\local\temp\rar$exa3884.29691\geometry dash\geometrydash.exe] => (Allow) C:\users\user\appdata\local\temp\rar$exa3884.29691\geometry dash\geometrydash.exe => Нет файла
  FirewallRules: [{AC529E06-BF05-4F33-BD69-52B143EEF074}] => (Block) C:\users\user\appdata\local\temp\rar$exa3884.29691\geometry dash\geometrydash.exe => Нет файла
  FirewallRules: [{17C7669B-4BD3-4CC3-AC78-7BE52E774B61}] => (Block) C:\users\user\appdata\local\temp\rar$exa3884.29691\geometry dash\geometrydash.exe => Нет файла
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Видны системные ошибки

Спойлер

Error: (05/13/2024 11:16:27 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Служба NVIDIA LocalSystem Container была неожиданно завершена. Это произошло 2 раз(а). Следующее корректирующее действие будет предпринято через 8000 мсек: Перезапуск службы.

Error: (05/13/2024 11:16:27 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Служба "NVIDIA LocalSystem Container" завершена из-за ошибки
Исполняемая групповая команда вернула результат, который указывает на ошибку.

Error: (05/13/2024 11:16:20 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Служба NVIDIA LocalSystem Container была неожиданно завершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через 6000 мсек: Перезапуск службы.

Error: (05/13/2024 11:16:20 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Служба "NVIDIA LocalSystem Container" завершена из-за ошибки
Исполняемая групповая команда вернула результат, который указывает на ошибку.

Error: (05/13/2024 11:16:09 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Служба NVIDIA LocalSystem Container была неожиданно завершена. Это произошло 3 раз(а). Следующее корректирующее действие будет предпринято через 10000 мсек: Запустите настроенную программу восстановления.

Error: (05/13/2024 11:16:09 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Служба "NVIDIA LocalSystem Container" завершена из-за ошибки
Исполняемая групповая команда вернула результат, который указывает на ошибку.

Error: (05/13/2024 11:16:00 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Служба NVIDIA LocalSystem Container была неожиданно завершена. Это произошло 2 раз(а). Следующее корректирующее действие будет предпринято через 8000 мсек: Перезапуск службы.

Error: (05/13/2024 11:16:00 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Служба "NVIDIA LocalSystem Container" завершена из-за ошибки
Исполняемая групповая команда вернула результат, который указывает на ошибку.

Возможно следует переустановить драйвер.

 

[xcxcbsbs]

Не понял куда вставлять прикреплённый вами код. Скопировал код в буфер обмена и после запустил "Исправление".

 

[Sandor]

Всё верно, скрипт выполнился из буфера обмена.
Попутно:

Программа защиты ресурсов Windows обнаружила поврежденные файлы и успешно их восстановила.

Проблема сохраняется?

 

[xcxcbsbs]

Нет, с дискордом проблема пропала. Вроде бы никаких симптомов майнера и прочих вирусняков в ходе работы не замечаю. На данном этапе можно считать, что траблы исчерпали себя. Спасибо!

 

[Sandor]

Хорошо, значит завершаем:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[xcxcbsbs]

.

 

[Sandor]

Исправьте по возможности:

7-Zip 22.01 (x64) v.22.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.71 (32-разрядная) v.5.71.0 Внимание! Скачать обновления
Discord v.1.0.9004 Внимание! Скачать обновления
Zoom v.5.13.3 (11494) Внимание! Скачать обновления
Telegram Desktop v.4.16.1 Внимание! Скачать обновления
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u411-windows-x64.exe - Windows Offline (64-bit))^
Audacity 3.1.1 v.3.1.1 Внимание! Скачать обновления
VLC media player v.3.0.7.1 Внимание! Скачать обновления
Mozilla Firefox (x64 ru) v.124.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^

Читайте Рекомендации после удаления вредоносного ПО