Решена Компьютер тормозит из-за майнера

[igpol]

Здравствуйте, просьба проконсультировать по поводу подозрения на майнер. Последние два дня компьютер стал сильно тормозить, программы открываются долго, любое действие с перемещением или удалением файлов требует длительного времени и пр.
Представляю отчёты AV_block_remove_2023.07.03-13.53.log и CollectionLog.
Спасибо.

 

[akok]

не похоже на майнер.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[igpol]

Прилагаю отчеты.

 

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Driver Booster 10
Kerish Doctor 2023
Reg Organizer, версия 9.21
Registrar Registry Manager 9.20

cFosSpeed 12.50 даже если ставили самостоятельно, временно деинсталлируйте.


Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Task: {0C652A7F-60E8-436B-AF6D-3A8173C17936} - отсутствует путь к файлу
  Task: {128D0C5B-DC8F-4CCD-9B54-B8902AD7B8BE} - отсутствует путь к файлу
  Task: {16489A9B-C5B3-4B56-B17E-294E63D95653} - отсутствует путь к файлу
  Task: {19616AA8-9A8D-41DF-B3D9-C6935B611C64} - отсутствует путь к файлу
  Task: {24D2E5A9-1CF3-48AE-BCE3-3235C063C618} - отсутствует путь к файлу
  Task: {472BDF1A-EC1D-4B17-AE09-6DD195459FB4} - отсутствует путь к файлу
  Task: {4A3B298B-C73C-4C2D-924E-AFBF64335244} - отсутствует путь к файлу
  Task: {70252F5A-3AFC-47EC-AA8F-0D8E58866250} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ
  Task: {9F94AB4C-7E80-4AA2-B949-25E00096094F} - отсутствует путь к файлу
  Task: {A36AE529-231C-4254-B045-7DA2F80C3884} - \Trojan Remover -> Нет файла <==== ВНИМАНИЕ
  Task: {C1510805-30B4-4E7A-9496-721A5979E83C} - \memreductTask -> Нет файла <==== ВНИМАНИЕ
  Task: {C18DDD45-D707-4E3F-B4A8-BBE7D991BD26} - отсутствует путь к файлу
  Task: {D7143CBA-C99D-4678-B1FA-A8614886BB07} - отсутствует путь к файлу
  Task: {F58BFEF3-EFE4-43E7-8B96-D33546A4A27F} - отсутствует путь к файлу
  AutoConfigURL: [S-1-5-21-476810483-1054310409-1464312656-1001] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
  ManualProxies: 0hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
  FCheck: C:\WINDOWS\SysWOW64\version_IObitDel.dll [2019-09-24] <==== ВНИМАНИЕ (нулевой байт Файл/Папка)
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[igpol]

@Sandor, программы Driver Booster 10, Kerish Doctor 2023, Reg Organizer, версия 9.21, Registrar Registry Manager 9.20 я устанавливал самостоятельно и ими пользуюсь. Мне бы не хотелось их удалять. Можно ли обойтись без удаления этих программ? Куда нужно скопировать выделенный текст?

 

[Sandor]

Там у вас ещё несколько подобных программ установлено. Не нужно ими пользоваться. Ничего реально полезного они не дают, а вот навредить и замедлить работу системы как раз могут.
Вы их удалите и если по окончании захочется снова их установить, так и сделаете.

Куда нужно скопировать выделенный текст?

Скопировать в буфер обмена, как обычно вы копируете текст. А вот вставлять никуда не нужно.

 

[igpol]

Запустил FRST в режиме чистой загрузки. Fixlog.txt прилагаю. Думаю, что описанные мной ранее проблемы были связаны с последней версией торрент-клиента Tixati. После его удаления работа компьютера восстановилась, хотя AVbr указывал, что удалил какой-то майнер. Это подтвердил и Live Disk Dr.Web.

 

[Sandor]

AVbr указывал, что удалил какой-то майнер

По логу этого не видно.

Хорошо, что определили причину.

Завершаем:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[igpol]

Прилагаю лог SecurityCheck.txt. Содержимое лога мне понятно, но предлагать установить вместо Driver Booster, Kerish Doctor, Reg Organizer программу Malwarebytes Anti-Malware вряд ли уместно - совершенно иные задачи. Большое спасибо за уделенное мне внимание и потраченное время.

 

[Sandor]

Вы неправильно поняли. Предлагается после удаления нежелательных программ проверить систему с помощью Malwarebytes на предмет того, что после удаления могут остаться вредоносные элементы.

А по ссылке в тех строках почитайте:

Политика поддержки Майкрософт для использования утилит очистки реестра - Служба поддержки Майкрософт

Политика поддержки Майкрософт для клиентов, которые используют утилиты очистки реестра.

support.microsoft.com

В современных версиях системы нет необходимости в подобных программах.

Читайте Рекомендации после удаления вредоносного ПО

 

[igpol]

Еще раз спасибо, я все понял. Можно отметить, что проблема решена.