Решена Помогите найти и удалить вредоносное ПО (майнер), который грузит ЦП и закрывает диспетчер задач при запуске игр.

Статус
В этой теме нельзя размещать новые ответы.

Pipa

Новый пользователь
Сообщения
6
Реакции
0
Добрый день! Не так давно стала замечать, что работа ПК сильно замедлилась моментами. В играх сильные просадки ФПС и просто подлагивания, но особого внимания не придавала. Примерно неделю назад ПК не выключился после того как я выбрала через Пуск "Завершение работы". К сожалению, сообщения о том, что какая-то программа мешает выключению ПК я не увидела вовремя и факт того, что ПК не выключился обнаружила уже утром. После чего несколько раз видела сообщения, о том что некая программа мешает выключению ПК, однако названия программы указано не было. Пару дней назад, когда в старенькой игре Grounded у меня в процессе игры, после часа геймплея, все превратилось в слайдшоу, я подумала, что не может так сильно плохо работать достаточно старая игра и решила проверить через диспетчер задач, что именно не так. Открыв диспетчер задач на фоне игры я увидела, как процессор, который при старте программы был загружен на 100%, очень быстро стал снижать загрузку до примерно 45% и лаги в игре пропали. Это меня смутило и я решила проверять показатели диспетчера задач вне игр и в динамике при запуске игр. В тот момент я обнаружила, что при запуске любой игры у меня закрывается автоматически диспетчер задач, что навело меня на мысль о майнере. Самостоятельные попытки вычислить вредоносный файл успехом не увенчались. Пробовала из безопасного режима, с отключенным интернетом через Dr.Web CureIt искать вирусы. программа нашла 11 угроз, включая два подозрительных файла в моем основном браузере Браузер Opera GX. Все предложенные файлы с угрозами я обезвредила, перезапустила ПК в обычном режиме и с подключением к интернету, однако, проблема с отключением Диспетчера задач и нагрузкой на ЦП осталась. По поводу Opera так же некоторое время назад браузер стал запускаться самостоятельно при включении ПК, я такие настройки не ставила. Всегда всем приложениям запрещаю автозапуск.
Логи по инструкции выгрузила и прилагаю. Так же делала фото списка найденных угроз через Dr.Web CureIt, могу приложить, плюс один раз успела сфотографировать ошибку о том, что программа без названия не позволяет отключить ПК.
 

Вложения

Здравствуйте!

фото списка найденных угроз через Dr.Web CureIt, могу приложить
Лучше найдите файл cureit.log и прикрепите его.

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Здравствуйте!


Лучше найдите файл cureit.log и прикрепите его.

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:


Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
ПО Bonjour удалила. Файлы во вложении.
 

Вложения

CureIt среагировал на AnVir Task Manager, на парочку фалов из кеша Оперы и на активатор.
То есть, ничего серьёзного.
В логах тоже не вижу признаков заражения.

Создайте параллельно тему в системном разделе. Ссылку на текущую тему там укажите.
 
Для очистки совести, так сказать, сделайте ещё это, пожалуйста:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имякомпьютерадата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.
Подробнее читайте в руководстве Как подготовить лог UVS.
 
Для очистки совести, так сказать, сделайте ещё это, пожалуйста:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имякомпьютерадата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.
Подробнее читайте в руководстве Как подготовить лог UVS.
 

Вложения

Не цитируйте, пожалуйста, целиком предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv11.0
    v400c
    regt 14
    regt 39
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер будет перезагружен.
Подробнее читайте в этом руководстве.

После перезагрузки соберите ещё раз образ автозапуска uVS (как в вашем предыдущем сообщении). AutorunsVTchecker уже запускать не нужно.
 
  • Like
Реакции: akok
Как и прежде, не вижу ничего вредоносного.
Следующий скрипт отключит ранее включенный режим отслеживания процессов.
Код:
;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
regt 40
restart
Компьютер будет перезагружен.

Проверьте, пожалуйста, наблюдаются ли подобные проблемы при работе в безопасном режиме?
Результат сообщите.

Также создайте (в обычном режиме) нового пользователя системы и проверьте будут ли там проявляться те же признаки.
 
В безопасном режиме не повторилась проблема. Второго пользователя не создавала, но, кажется, я нашла проблему. И это действительно не вирус. Не так давно я обновила наушники и с ними установила весь софт Razer, включая и Razer Cortex. Сейчас я вспомнила про эту программу, отключила ее и, о чудо, диспетчер на месте, а перегруза процессора нет. Я протестировала нагрузку в Overwatch 2: с включенным на фоне диспетчером и с выключенным, а так же с включенным на фоне Razer Cortex и, соответственно, выключенным, в разных вариациях. И, как мне кажется, корень проблемы именно в этой странной утилите от Razer, тк, в том числе, в одной из функций этой утилиты числится: "Отключить спящий режим ЦП" ( Использовать все ядра процессора, чтобы убедиться, что процессор работает с производительностью 100%).
 

Вложения

  • 2.webp
    2.webp
    47.5 KB · Просмотры: 17
Вот и отлично!
В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу