Решена Поймал майнер, обычные утилиты не помогли

Viani

Новый пользователь
Сообщения
8
Реакции
1
Добрый вечер. Майнер грузит систему под 90-95% (бездействие системы в диспетчере задач) ЦП при любом открытом окне, ноутбук сильно греется, хотя при открытом браузере даже не включал винты. Вирус был подхвачен когда на ноутбук скачали игру "растения против зомби 2", но проявил себя спустя месяц. (Больше ничего не скачивалось). В корневой папке C после каждого запуска системы появляется свежий файл "HaxLogs.log", внутри написано это: "慨彸敧彴敭潭祲瑟牨獥潨摬›砰〸〰〰〰
ⴭⴭ䠠塁⁍敲敬獡⁥⸱⸰‶ⴭⴭⴭⴭ
桔獩氠杯挠汯敬瑣⁳畲湮楧杮猠慴畴⁳景䠠塁⁍牤癩牥ਮ".
Юзал DrWeb, утулиту касперского, всё по нулям. Помогите, пожалуйста. Логи по вашим правилам прилагаю:
 

Вложения

Здравствуйте!

бездействие системы в диспетчере задач
Чем выше показатель этого "процесса", тем ниже нагрузка.

Кое-что всё же почистим.

Файл Check_Browser_Lnk.log
из папки
...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK.

move.gif


Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

"Пофиксите" в HijackThis только следующие строки:
Код:
O4 - MountPoints2: HKCU\..\{566ec49e-7098-11ed-a88b-80f2ec6816b0}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{9cb5d204-a41f-11ee-a8b6-92f4ae91dde3}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    CHR HomePage: Profile 1 -> hxxp://mail.ru/cnt/10445?gp=811036
    C:\Users\agusa\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\lpidonfckbhlppihlajjflmcgmkhjhag
    CHR HKU\S-1-5-21-924765871-3388427402-325255683-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe InDesign 2021.lnk:3212A1CBBC [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dolphin Anty.lnk:610E443866 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote 2016.lnk:86E8B79B48 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tenorshare ReiBoot.lnk:73C250CA73 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [3442]
    AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [64]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Видны следы бывшей установки антивируса BitDefender, но в перечне установленных его нет.
Очистите по соотв. инструкции - Чистка системы после некорректного удаления антивируса.
 
Всё сделал согласно инструкции. Файл с китайскими иероглифами опять создался в корневом каталоге "С", но систему вроде не грузит теперь, чтобы ноутбук шумел и нагревался.
 

Вложения

Когда этот файл появляется, сразу после перезагрузки системы?
Если да, удалите его и проверьте появится ли при загрузке в безопасном режиме.

Появится ли при отключенной сети?
 
Да, файл появляется в первую-вторую минуту после запуска системы (появляется свежий файл всегда)
1731325032778.webp

Удалить его не могу, пишет что он открыт в System
 
Это запчасть от установленной в системе программы эмулятора:
Intel® Hardware Accelerated Execution Manager
Если не пользуетесь, деинсталлируйте.
 
Unlocker не помог в удалении, пишет следующее :
1731325950171.webp
 
Да, простите.

Удалил эту программу, файл пропал. Очень странно, что это интеловская программа, когда внутри файла на китайском написано следующее:
1731326285375.webp


Если будут проявлятся ещё какие-либо симптомы, напишу Вам. Спасибо большое за помощь.
 
В завершение, пожалуйста:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Исправьте по возможности:

Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
Microsoft Office Professional Plus 2019 - ru-ru v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office Professional Plus 2019 - ru-ru.proof v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
7-Zip 23.00 (x64) v.23.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 6.21 (64-разрядная) v.6.21.0 Внимание! Скачать обновления
Discord v.1.0.9008 Внимание! Скачать обновления
Zoom v.5.17.11 (34827) Внимание! Скачать обновления
µTorrent v.3.6.0.47142 Внимание! Клиент сети P2P с рекламным модулем!.
Java 8 Update 351 (64-bit) v.8.0.3510.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u431-windows-x64.exe - Windows Offline (64-bit))^
Java 8 Update 421 v.8.0.4210.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u431-windows-i586.exe - Windows Offline)^
Opera Stable 114.0.5282.102 v.114.0.5282.102 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^

---------------------------- [ UnwantedApps ] -----------------------------
Pulover's Macro Creator, версия 5.4.1 v.5.4.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Читайте Рекомендации после удаления вредоносного ПО
 
Хорошо, сделаю, приму к сведению. Спасибо большое Вам за вашу титаническую деятельность по консультированию в удалении вирусов < 3 и хорошего вечера!
 
Назад
Сверху Снизу