Решена Подозрение на майнер

[pyrexturnmeup]

Здравствуйте. При открытии диспетчера задач ЦП всегда 100% потом через несколько секунд опускается до 2-10% (из-за игры, которую скачивал в конце декабря)

Пробовал Cureit, HitmanPro, MalwareBytes, но ситуация с нагрузкой ЦП та же.

Ноутбук заметно нагревается и слабее в мощности чем должен быть.
Права администратора были изменены (пофиксил). Обновления в Windows ранее автоматически не подгружались (изменил), файл Hosts пуст, доступ есть ко всему и браузер не закрывается.

Из-за нагрузки ЦП подозрение на майнер, который маскируется под системные файлы. Процессы рода: LaunchTM.exe , logonui.exe , WmiPrvSE.exe , TASKHOSTW , svchost.exe (netsvcs -p) , svchost.exe (wsappx -p) находятся в папке System32. Прикрепляю логи AVbr, так же логи Miner search

 

[pyrexturnmeup]

Логи забыл

 

[akok]

Смотрится неплохо
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, MediaFire, Files.FM, MixDrop или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[pyrexturnmeup]

Сделано

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2808190864-2465862644-2933104366-1001\...\Run: [utweb] => "C:\Users\Nitro 5\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED (Нет файла)
  Task: {522EFF44-E471-4A07-8BC4-6B083A3B32F8} - System32\Tasks\iTopVPN_Scheduler_Nitro 5 => "C:\Program Files (x86)\iTop VPN\iTopVPN.exe"  /autostart (Нет файла)
  Task: {4ACA5D61-4C46-46B2-A3ED-8EDC60C336E9} - System32\Tasks\iTopVPN_SkipUAC_Nitro 5 => "C:\Program Files (x86)\iTop VPN\iTopVPN.exe"  /SkipUac (Нет файла)
  Task: {2C649678-41C3-49E4-8D55-67CCCE708E1C} - System32\Tasks\iTopVPN_Update_Nitro 5 => "C:\Program Files (x86)\iTop VPN\atud.exe"  /auto (Нет файла)
  S3 cpuz143; \??\C:\Windows\temp\cpuz143\cpuz143_x64.sys [X] <==== ВНИМАНИЕ
  S3 cpuz145; \??\C:\Windows\temp\cpuz145\cpuz145_x64.sys [X] <==== ВНИМАНИЕ
  S3 cpuz150; \??\C:\Windows\temp\cpuz150\cpuz150_x64.sys [X] <==== ВНИМАНИЕ
  FirewallRules: [{3D1A2304-7F38-4B9F-9E09-4272FD8477F3}] => (Allow) C:\Users\Nitro 5\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
  FirewallRules: [{B9D75CA8-29D8-4192-81C7-3F6777F0C4D3}] => (Allow) C:\Users\Nitro 5\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
  FirewallRules: [{0C7AC62B-BD46-4131-834E-DB0E5C8D2160}] => (Allow) C:\Users\Nitro 5\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
  FirewallRules: [{AEE1150B-449F-458F-A9AC-539AE22C67E7}] => (Allow) C:\Users\Nitro 5\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
  FirewallRules: [{A37DCC0C-BA43-4DAF-9ECF-2A39279E5195}] => (Allow) C:\Users\Nitro 5\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
  FirewallRules: [{E369B6D5-ECB6-403C-B16B-C57FC92A53D6}] => (Allow) C:\Users\Nitro 5\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
  FirewallRules: [TCP Query User{6098F697-A8BE-4EA9-92EF-97E8B35E903D}C:\users\nitro 5\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe] => (Allow) C:\users\nitro 5\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe => Нет файла
  FirewallRules: [UDP Query User{103BC23D-F08B-4512-8E00-F91217FD2280}C:\users\nitro 5\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe] => (Allow) C:\users\nitro 5\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe => Нет файла
  FirewallRules: [TCP Query User{380337E5-7491-42DE-AE9F-9ED46205C7B2}C:\users\nitro 5\appdata\roaming\.minecraft\runtime\java-runtime-alpha\windows\java-runtime-alpha\bin\javaw.exe] => (Allow) C:\users\nitro 5\appdata\roaming\.minecraft\runtime\java-runtime-alpha\windows\java-runtime-alpha\bin\javaw.exe => Нет файла
  FirewallRules: [UDP Query User{DC433A85-9939-466B-AB9B-6A85E76DE5CB}C:\users\nitro 5\appdata\roaming\.minecraft\runtime\java-runtime-alpha\windows\java-runtime-alpha\bin\javaw.exe] => (Allow) C:\users\nitro 5\appdata\roaming\.minecraft\runtime\java-runtime-alpha\windows\java-runtime-alpha\bin\javaw.exe => Нет файла
  FirewallRules: [TCP Query User{8C30C6A9-0F66-42A0-8A68-FC860855C850}C:\users\nitro 5\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe] => (Block) C:\users\nitro 5\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe => Нет файла
  FirewallRules: [UDP Query User{1CB1B0C5-9319-4627-AC1C-3C8D3FB8425B}C:\users\nitro 5\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe] => (Block) C:\users\nitro 5\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe => Нет файла
  FirewallRules: [{4D75F73E-8860-4857-B10A-0FC396F20988}] => (Allow) C:\Users\Nitro 5\AppData\Roaming\Zoom\bin\Zoom.exe => Нет файла
  FirewallRules: [{7DB72C83-FF4C-471E-85EE-F35AAF0BC4D7}] => (Allow) C:\Users\Nitro 5\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
  FirewallRules: [{37ED2EF4-A914-423F-A824-B66AEC1EA708}] => (Allow) C:\Users\Nitro 5\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
  FirewallRules: [{5F7D8111-984A-4BB7-93EB-42D36B7248E8}] => (Allow) C:\Users\Nitro 5\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
  FirewallRules: [{156FCE0D-7F2D-4C1B-809A-634FDCE998DC}] => (Allow) C:\Users\Nitro 5\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
  FirewallRules: [{864AF088-38A9-4077-909C-DA8D19F3292D}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
  FirewallRules: [{96FC9A3A-926B-42F3-AAAD-1C451D6753BB}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[pyrexturnmeup]

Перед тем, как я выполню скрипт, можете подсказать, пожалуйста, по поводу отключения антивируса. У меня такая картина после того, как я его в последний раз отключил и сформировал логи при том другие антивирусы выключены, а права администратора включены

 

[akok]

Понятно, поправим в следующий проход. А шаг с отключением антивируса пропустите.

 

[pyrexturnmeup]

Готово, по файлу скрипт успешно выполнен (из аккаунтов выхода не было и проблема актуальна пока)

 

[akok]

Запустите Powershell от имени администратора и выполните

Set-MpPreference -UILockdown 0

После перезагрузите компьютер и проверьте появился ли доступ.

 

[pyrexturnmeup]

Ввёл команду, перезагрузил, доступ к центру безопасности виндоус есть и действия можно выполнять, но только нельзя включить защиту в реальном времени как и раньше

 

[akok]

С вторым пунктом придется подождать. Нужно уточнить детали.

 

[akok]

Попробуйте так

Set-MpPreference -DisableRealtimeMonitoring $false

 

[pyrexturnmeup]

Команду выполнил. Всё ещё нельзя включить защиту в режиме реального времени

 

[akok]

Перед забегом по большому кругу, вижу, что есть следы avast, начнем с них.

Чистка системы после некорректного удаления антивируса

В случаях: некорректной деинсталляции антивирусного продукта полной переустановки или перед установкой нового антивируса рекомендуется произвести дополнительную чистку от остатков специальными утилитами. Перечень утилит сгруппирован по производителям: Agnitum Ltd. Загрузите файл clean.zip...

www.safezone.cc

 

[pyrexturnmeup]

прогнал через awsclear, вроде очищено (прога скачалась только с впн)

 

[akok]

Что с защитником?

 

[pyrexturnmeup]

то же самое(

 

[akok]

Нужны свежие логи FRST и вооружаемся переводчиком

How to Fix You're Using Other Antivirus Providers in Windows 11? - MiniTool

When you open Windows Security, you may receive the “you're using other antivirus providers” error message in Windows 11/10. Here are the fixes.

www.minitool.com

После каждого шага проверяйте работу защитника (не забываем о перезагрузке)

 

[pyrexturnmeup]

прошёлся чётко по инструкции, ничего не изменилось с защитником, разве что когда в cmd включал защитник напрямую, то ползунок защиты в реальном времени становился активным, но я всё равно не могу его трогать и надпись про другие антивирусы остаётся. Также при чистке реестра были ошибки (скрин). Проверьте, пожалуйста, логи, возможно я не так удалил Avast или следует удалить другие антивирусы.

 

[akok]

Попробуем так
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1