Решена Майнер, который не обнаруживается диспетчером задач.

Статус
В этой теме нельзя размещать новые ответы.

LeBoneAde

Новый пользователь
Сообщения
20
Реакции
0
Итак, я уже у вас бывал. В прошлой теме просил помочь решить ту же проблему.


И тогда вроде всё решили, но недавно снова началось (видимо не дочистили).
Несколько мгновенных появлений powershell, которые происходили в разные сессии использования ПК, я списал на Винду.
Так вот около 5 дней, мб, очень грузится ноут, это ощущается по звуку кулеров и нагрузке проца в сотку, сразу после открытия диспетчера задач.
Потом диспетчер показывает, якобы диспетчер так много съел, а само значение энергопотребления (от умеренного до высокого) дропается на рандомный процесс.

Так сегодня ещё винда какой-то доступ просила, я ей отказал, вылез тупо чёрный экран. Пришлось перезагружать и теперь все ярылки в разных местах.
Скачал Process Explorer.

Заметил, что какой-то процесс не даёт находиться другим процессам в одной позиции таблицы, он скачет повсюду или вовсе исчезает.
В миг одного появления перед глазами был отмечен, как "COM Surrogate". Но во время других, имена процесса выглядели иначе, как мне кажется. Так же, он отмечен красным (единственный из всех). Так же, во время написания отзыва, этот процесс был замечен, как "dllhost".

Ни одна мониторинг-программа не влияет на нагрузку.

По нагреву ноута и звуку кулера, очевидно, что процессор загружен постоянно.
Т.к. сайты с антималварью и прочим я посещаю спокойно, то я полагаю, что это остатки предыдущего майнера.
Нормально ли, что SYSTEM IDLE показывает 80-90% CPU?
 

Вложения

  • _2022-11-23_014834998.webp
    _2022-11-23_014834998.webp
    102.2 KB · Просмотры: 156
Антивирусы не находят, а систему жалко, т.к. ноут не мой.
Да и вирус не я поймал. Хотелось бы полностью удалить его, желательно, безболезненно.
 
Хочу добавить уточнение, что помимо хаотично разбросанных по десктопу ярылков, пропала из пуска функция "Спящего режима".
 

Вложения

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Что не сможете удалить стандартно, удаляйте принудительно через Your Uninstaller! или через Geek Uninstaller

"Пофиксите" в HijackThis только эти строки (некоторых может не быть):
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 127.0.0.1:9666 (disabled)
O22 - Tasks: hfoOWChLFMmgFgz - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\VbUpJXLFU\aavluX.dll",#1
O22 - Tasks: hfoOWChLFMmgFgz2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\VbUpJXLFU\aavluX.dll",#1
O22 - Tasks_Migrated: Driver Booster Scheduler - C:\Program Files (x86)\Driver Booster\Scheduler.exe /scheduler (file missing)
O22 - Tasks_Migrated: Driver Booster SkipUAC (пользователь) - C:\Program Files (x86)\Driver Booster\DriverBooster.exe /skipuac (file missing)
O22 - Tasks_Migrated: Driver Booster Update - C:\Program Files (x86)\Driver Booster\AutoUpdate.exe /auto (file missing)

Перезагрузите компьютер и дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Сделал всё, как сказали, после перезагрузки нагрузки на проц не исчезли, всё так же греется, кулер рычит.

Вот файлы.
 

Вложения

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-1593522038-2839035049-1888941508-1001\...\MountPoints2: {36178cc4-557d-11ed-96fa-b9a06013673d} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-1593522038-2839035049-1888941508-1001\...\MountPoints2: {5e9a4e64-4b7f-11eb-94f5-283a4d8df347} - "E:\HiSuiteDownLoader.exe" 
    GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {849BB457-9F55-4027-B1A5-9F31E18DFBB8} - \fearDLManager -> Нет файла <==== ВНИМАНИЕ
    Task: C:\WINDOWS\Tasks\hfoOWChLFMmgFgz.job => C:\Program Files (x86)\VbUpJXLFU\aavluX.dll
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=818404",
    CHR HomePage: Guest Profile -> hxxps://find-it.pro/?utm_source=distr_m
    CHR StartupUrls: Guest Profile -> "hxxps://find-it.pro/?utm_source=distr_m", "hxxps://www.google.com/" 
    CHR DefaultSearchKeyword: Guest Profile -> cdn
    C:\Users\пользователь\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\meejmcfbiapijdfaadackoblffmidlig
    CHR HomePage: Profile 1 -> hxxps://find-it.pro/?utm_source=distr_m
    CHR StartupUrls: Profile 1 -> "hxxps://find-it.pro/?utm_source=distr_m", "hxxps://www.google.com/" 
    CHR DefaultSearchKeyword: Profile 1 -> cdn
    CHR HomePage: System Profile -> hxxps://find-it.pro/?utm_source=distr_m
    CHR StartupUrls: System Profile -> "hxxps://find-it.pro/?utm_source=distr_m", "hxxps://www.google.com/" 
    CHR DefaultSearchKeyword: System Profile -> cdn
    C:\Users\пользователь\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\meejmcfbiapijdfaadackoblffmidlig
    CHR HKU\S-1-5-21-1593522038-2839035049-1888941508-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
    2022-11-19 10:54 - 2022-11-19 13:17 - 000000330 _____ C:\WINDOWS\Tasks\hfoOWChLFMmgFgz.job
    2022-11-19 10:54 - 2022-11-19 10:54 - 000000000 ____D C:\Program Files (x86)\VbUpJXLFU
    AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [111]
    AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
    FirewallRules: [{C43D7DE7-FF61-42EE-99B0-D16AB8E472CC}] => (Allow) LPort=57209
    FirewallRules: [{ECECA467-7F7F-46B8-808F-90AD70F7E116}] => (Allow) LPort=57209
    FirewallRules: [{17F4E148-69CA-4462-8262-A7DB6DB24667}] => (Block) LPort=139
    FirewallRules: [{D933173B-B77E-4C43-9E05-7D5F0B0C3AE2}] => (Block) LPort=139
    FirewallRules: [{27E9F75B-2E36-449D-87DE-6E800E38D65B}] => (Block) LPort=445
    FirewallRules: [{E8B2F463-AF78-4B29-85B6-C651394EC2CA}] => (Block) LPort=445
    FirewallRules: [{D50E2C04-3632-49C1-9492-75F1F875C5B7}] => (Allow) LPort=3389
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-1593522038-2839035049-1888941508-1001\...\MountPoints2: {36178cc4-557d-11ed-96fa-b9a06013673d} - "E:\HiSuiteDownLoader.exe"
    HKU\S-1-5-21-1593522038-2839035049-1888941508-1001\...\MountPoints2: {5e9a4e64-4b7f-11eb-94f5-283a4d8df347} - "E:\HiSuiteDownLoader.exe"
    GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {849BB457-9F55-4027-B1A5-9F31E18DFBB8} - \fearDLManager -> Нет файла <==== ВНИМАНИЕ
    Task: C:\WINDOWS\Tasks\hfoOWChLFMmgFgz.job => C:\Program Files (x86)\VbUpJXLFU\aavluX.dll
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=818404",
    CHR HomePage: Guest Profile -> hxxps://find-it.pro/?utm_source=distr_m
    CHR StartupUrls: Guest Profile -> "hxxps://find-it.pro/?utm_source=distr_m", "hxxps://www.google.com/"
    CHR DefaultSearchKeyword: Guest Profile -> cdn
    C:\Users\пользователь\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\meejmcfbiapijdfaadackoblffmidlig
    CHR HomePage: Profile 1 -> hxxps://find-it.pro/?utm_source=distr_m
    CHR StartupUrls: Profile 1 -> "hxxps://find-it.pro/?utm_source=distr_m", "hxxps://www.google.com/"
    CHR DefaultSearchKeyword: Profile 1 -> cdn
    CHR HomePage: System Profile -> hxxps://find-it.pro/?utm_source=distr_m
    CHR StartupUrls: System Profile -> "hxxps://find-it.pro/?utm_source=distr_m", "hxxps://www.google.com/"
    CHR DefaultSearchKeyword: System Profile -> cdn
    C:\Users\пользователь\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\meejmcfbiapijdfaadackoblffmidlig
    CHR HKU\S-1-5-21-1593522038-2839035049-1888941508-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
    2022-11-19 10:54 - 2022-11-19 13:17 - 000000330 _____ C:\WINDOWS\Tasks\hfoOWChLFMmgFgz.job
    2022-11-19 10:54 - 2022-11-19 10:54 - 000000000 ____D C:\Program Files (x86)\VbUpJXLFU
    AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [111]
    AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
    FirewallRules: [{C43D7DE7-FF61-42EE-99B0-D16AB8E472CC}] => (Allow) LPort=57209
    FirewallRules: [{ECECA467-7F7F-46B8-808F-90AD70F7E116}] => (Allow) LPort=57209
    FirewallRules: [{17F4E148-69CA-4462-8262-A7DB6DB24667}] => (Block) LPort=139
    FirewallRules: [{D933173B-B77E-4C43-9E05-7D5F0B0C3AE2}] => (Block) LPort=139
    FirewallRules: [{27E9F75B-2E36-449D-87DE-6E800E38D65B}] => (Block) LPort=445
    FirewallRules: [{E8B2F463-AF78-4B29-85B6-C651394EC2CA}] => (Block) LPort=445
    FirewallRules: [{D50E2C04-3632-49C1-9492-75F1F875C5B7}] => (Allow) LPort=3389
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
Заметил, что помимо спящего режима, так же пропала регулировка яркости в центре уведомлений, лол. Мб, мне просто систему снести на корню и новую поставить?
 

Вложения

1. Не нужно полностью цитировать предыдущее сообщение. Это ухудшает читаемость темы.
2. Не нужно было дважды выполнять скрипт. Новый отчёт затёр результат первого. Но это не срашно.
3.
Мб, мне просто систему снести на корню и новую поставить?
Это тоже вариант.
Нормально ли, что SYSTEM IDLE показывает 80-90% CPU?
System Idle переводится с английского как Бездействие системы. Так что чем выше его показатель, тем меньше нагрузка на процессор.

всё так же греется, кулер рычит.
Может нужно сделать физическую очистку радиатора, смену термопасты и смазать сам вентилятор?
Только это уже тема для другого раздела форума.
 
Может нужно сделать физическую очистку радиатора, смену термопасты и смазать сам вентилятор?
Только это уже тема для другого раздела форума.
Я думал об этом, но сейчас мне очевидно, что это вирусняк тот же самый устраивает приколы. Ибо после включения бывает состояние, когда ноут спокоен и тихо, без нагрева, работает.
 
Я упоминал, что использовал помимо стандартного диспетчера, отдельную прогу от Майкров. Так вот, там один процесс скачет и меняет своё название постоянно. При это у него единственного красное выделение (видимо, так зловредные процессы отмечаются в этой проге).
 
Понятно. Проверьте есть ли подобное при загрузке в безопасном режиме и сообщите результат.

красное выделение (видимо, так зловредные процессы отмечаются в этой проге).
Нет, не верно, красным помечается закрывающийся процесс, зелёным - запускающийся.
 
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу