Решена Майнер или нет, NT Kernel & System

Переводчик Google

Клим

Новый пользователь
Сообщения
23
Реакции
2
Здравствуйте. С недавнего времени стал быстро разряжаться ноут и постоянно молотить охлаждением на минимальной мощности. В диспетчере единственное что вызывает подозрение это system, который грузит систему примерно от 6 до 20 %. Расположение этого файла C:\Windows\System32. Никакие антивирусы ничего не видят. Может что то где то поломалось в системе и дело не в майнере
 

Вложения

Пока ничего интересного не видно
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, My-Files.SU, MediaFire, Files.FM, Pixeldrain или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Пока ничего интересного не видно
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, My-Files.SU, MediaFire, Files.FM, Pixeldrain или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Вложения

Файл с карантином забрал
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM-x32\...\Run: [SystemExplorerAutoStart] => "C:\Program Files (x86)\System Explorer\SystemExplorer.exe" /TRAY (Нет файла)
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    Task: {373206df-05a2-4727-98f0-3e4036330de4} - отсутствует путь к файлу. <==== ВНИМАНИЕ
    Task: {4671B5C1-A383-4428-A45A-8D348E4CB873} - \Microsoft\Windows\UpdateOrchestrator\USO_UxBroker -> Нет файла <==== ВНИМАНИЕ
    Task: {483e46e3-d506-4ad7-971a-c0197b0c726d} - отсутствует путь к файлу. <==== ВНИМАНИЕ
    Task: {4d1b4a05-5968-41df-9935-e3066aa8e93f} - отсутствует путь к файлу. <==== ВНИМАНИЕ
    Task: {8345453f-d565-4d3f-a871-06134e9c5412} - отсутствует путь к файлу. <==== ВНИМАНИЕ
    Task: {966caba1-b666-4eb4-a2b8-73247c4da284} - отсутствует путь к файлу. <==== ВНИМАНИЕ
    Task: {a3a626fa-62ee-4403-a4a3-a06c9dd37f2e} - отсутствует путь к файлу. <==== ВНИМАНИЕ
    Task: {beb5948f-a4d6-4428-8170-b252adc0a589} - отсутствует путь к файлу. <==== ВНИМАНИЕ
    Task: {dfc1bd44-1d4a-4c5f-b136-011630235e3d} - отсутствует путь к файлу. <==== ВНИМАНИЕ
    Task: {f536bb56-5813-4c54-aa2a-d016f42d017c} - отсутствует путь к файлу. <==== ВНИМАНИЕ
    Task: {fb347237-1954-4f43-b55b-0ff1a8e7cf1f} - отсутствует путь к файлу. <==== ВНИМАНИЕ
    Task: {283ECD72-8198-4085-B469-D8AA6F1352F4} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe  -task (Нет файла)
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
    AlternateDataStreams: C:\Users\All Users:iSpring Solutions [128]
    AlternateDataStreams: C:\Users\Все пользователи:iSpring Solutions [128]
    AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
    AlternateDataStreams: C:\ProgramData\Temp:D8999815 [227]
    AlternateDataStreams: C:\Users\klimd\Application Data:iSpring Solutions [128]
    AlternateDataStreams: C:\Users\klimd\AppData\Roaming:iSpring Solutions [128]
    AlternateDataStreams: C:\Users\klimd\AppData\Local\Temp:$DATA [16]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Что-то активного и вредоносного в логах не видно
 
Файл с карантином забрал
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM-x32\...\Run: [SystemExplorerAutoStart] => "C:\Program Files (x86)\System Explorer\SystemExplorer.exe" /TRAY (Нет файла)
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    Task: {373206df-05a2-4727-98f0-3e4036330de4} - отсутствует путь к файлу. <==== ВНИМАНИЕ
    Task: {4671B5C1-A383-4428-A45A-8D348E4CB873} - \Microsoft\Windows\UpdateOrchestrator\USO_UxBroker -> Нет файла <==== ВНИМАНИЕ
    Task: {483e46e3-d506-4ad7-971a-c0197b0c726d} - отсутствует путь к файлу. <==== ВНИМАНИЕ
    Task: {4d1b4a05-5968-41df-9935-e3066aa8e93f} - отсутствует путь к файлу. <==== ВНИМАНИЕ
    Task: {8345453f-d565-4d3f-a871-06134e9c5412} - отсутствует путь к файлу. <==== ВНИМАНИЕ
    Task: {966caba1-b666-4eb4-a2b8-73247c4da284} - отсутствует путь к файлу. <==== ВНИМАНИЕ
    Task: {a3a626fa-62ee-4403-a4a3-a06c9dd37f2e} - отсутствует путь к файлу. <==== ВНИМАНИЕ
    Task: {beb5948f-a4d6-4428-8170-b252adc0a589} - отсутствует путь к файлу. <==== ВНИМАНИЕ
    Task: {dfc1bd44-1d4a-4c5f-b136-011630235e3d} - отсутствует путь к файлу. <==== ВНИМАНИЕ
    Task: {f536bb56-5813-4c54-aa2a-d016f42d017c} - отсутствует путь к файлу. <==== ВНИМАНИЕ
    Task: {fb347237-1954-4f43-b55b-0ff1a8e7cf1f} - отсутствует путь к файлу. <==== ВНИМАНИЕ
    Task: {283ECD72-8198-4085-B469-D8AA6F1352F4} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe  -task (Нет файла)
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
    AlternateDataStreams: C:\Users\All Users:iSpring Solutions [128]
    AlternateDataStreams: C:\Users\Все пользователи:iSpring Solutions [128]
    AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
    AlternateDataStreams: C:\ProgramData\Temp:D8999815 [227]
    AlternateDataStreams: C:\Users\klimd\Application Data:iSpring Solutions [128]
    AlternateDataStreams: C:\Users\klimd\AppData\Roaming:iSpring Solutions [128]
    AlternateDataStreams: C:\Users\klimd\AppData\Local\Temp:$DATA [16]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Что-то активного и вредоносного в логах не видно
 

Вложения

1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме
 
Что с системой?
И что еще есть в папке
C:\ProgramData\Win32\CUDA
И в родительской
C:\ProgramData\Win32\

Если там есть файлы, то упакуйте их с паролем virus и залейте на любой файлообменник, посмотрим, что еще есть с наборе.
 
Удалите старые логи Farbar и соберите новые по следующей инструкции.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 
  • Like
Реакции: akok
Удалите старые логи Farbar и соберите новые по следующей инструкции.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Вложения

Что с системой?
И что еще есть в папке
C:\ProgramData\Win32\CUDA
И в родительской
C:\ProgramData\Win32\

Если там есть файлы, то упакуйте их с паролем virus и залейте на любой файлообменник, посмотрим, что еще есть с наборе.
Не понял, что значит: "Что с системой?". Не получается сделать архив с паролем, и почему то многие веб архиваторы вообще не поддерживают данный формат файлов. Получилось только без пароля. Файлы сами по себе были не видны, включил отображение скрытых, увидел. https://www.mediafire.com/file/4txv4hjr4a2dszj/ezyzip.zip/file
В win32 есть только CUDA.
1736081471019.webp
1736081415897.webp
 
Последнее редактирование:

Файл обфусцирован (упакован).

Осталось понять:
1. Как он стартует.
2. Что он из себя извлекает и как передает управление.

Зашлите его кто-либо на hybrid-analysis.com


@Клим, 26 декабря не припомните случайно? Именно в эту дату появилась задача в Планировщике, связанная с Nvidia, а в установленных приложениях эти записи
NVIDIA FrameView SDK 1.4.10624.35034762 [20241226]-->"C:\WINDOWS\SysWOW64\RunDll32.EXE" "C:\Program Files\NVIDIA Corporation\Installer2\InstallerCore\NVI2.DLL",UninstallPackage FrameViewSdk
NVIDIA Аудиодрайвер HD 1.4.2.6 [20241226]-->"C:\WINDOWS\SysWOW64\RunDll32.EXE" "C:\Program Files\NVIDIA Corporation\Installer2\InstallerCore\NVI2.DLL",UninstallPackage HDAudio.Driver
NVIDIA Графический драйвер 566.36 [20241226]-->"C:\WINDOWS\SysWOW64\RunDll32.EXE" "C:\Program Files\NVIDIA Corporation\Installer2\InstallerCore\NVI2.DLL",UninstallPackage Display.Driver

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)
Код:
Start::
CreateRestorePoint:
Task: {197A0469-B2AE-419E-98E9-E7DA66683552} - System32\Tasks\NVIDIA app SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} => C:\Program Files\NVIDIA Corporation\NVIDIA app\CEF\NVIDIA app.exe [3333672 2024-12-18] (NVIDIA Corporation -> NVIDIA Corporation)
Reboot:
End::
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
 
Последнее редактирование:

Файл обфусцирован (упакован).

Осталось понять:
1. Как он стартует.
2. Что он из себя извлекает и как передает управление.

Зашлите его кто-либо на hybrid-analysis.com


@Клим, 26 декабря не припомните случайно? Именно в эту дату появилась задача в Планировщике, связанная с Nvidia, а в установленных приложениях эти записи


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)
Код:
Start::
CreateRestorePoint:
Task: {197A0469-B2AE-419E-98E9-E7DA66683552} - System32\Tasks\NVIDIA app SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} => C:\Program Files\NVIDIA Corporation\NVIDIA app\CEF\NVIDIA app.exe [3333672 2024-12-18] (NVIDIA Corporation -> NVIDIA Corporation)
Reboot:
End::
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
26 число, к сожалению, не помню, вообще.
 

Вложения

Как сейчас ведет себя ноутбук?
 
Все еще грузит, ноут охлаждение не выключает даже в энергосберегающем режиме.
1736207152456.webp
 
Добавьте образ автозапуска в uVS.

1. Скачайте архив программы отсюда
2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe (для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем" (если текущий пользователь с правами администратора).
4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.
5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Вашкомпьютердата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.
 
Добавьте образ автозапуска в uVS.

1. Скачайте архив программы отсюда
2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe (для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем" (если текущий пользователь с правами администратора).
4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.
5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Вашкомпьютердата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.
 

Вложения

Сделайте следующее:

1. Запустите uVS через start.exe - текущий пользователь.
2. Зайдите в главное меню, затем Дополнительно - твики, выполнить твик 39 (включить отслеживание процессов и задач).
3. Перезагрузите компьютер.
4. После перезагрузки создать новый образ автозапуска и прикрепить его к вашему сообщению
 
Назад
Сверху Снизу