Решена Майнер перегружает ЦП

[Stereo_Eyebrows]

Поймал майнер NT Kernel & System. Обшарив просторы интернета в поисках решения, наткнулся на один из роликов по нахождению этого вируса и удалению его из системы с помощью диспетчера задач и поиска скрытых файлов в корне выполняемого процесса
Собственно, процедуру удаления исполняемых вирусом файлов я постарался выполнить в меру моих возможностей, однако ЦП продолжает нагружаться до 100%, как показывает диспетчер задач - при появлении показывает 100%, но спустя пару секунд процент стремительно падает. При этом исполняемых файлов вируса нет, как нет и отображения процесса NT Kernel & Systen ни в диспетчере задач, ни в Process Explorer-е

 

[Sandor]

Здравствуйте!

наткнулся на один из роликов по нахождению этого вируса

Дайте ссылку на этот ролик, пожалуйста.

Для верности запустите AVbr, следы майнера ещё видны.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

[Stereo_Eyebrows]

Дайте ссылку на этот ролик, пожалуйста.

Ссылка на видео: https://youtu.be/d8fuCQ4I

 

[Dragokas]

@Sandor, ничего особо стоящего. Просто чувак показал, как пользоваться Диспетчером задач, пару мест на диске где могут хранить свое тело вредоносы, и фокус с раскрытием окна хрома (смещенного в угол экрана) при помощи опции автосворачивания панели задач, что пожалуй наиболее любопытно, при этом не знает даже про встроенный диспетчер задач хрома.

 

[Sandor]

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Sandor]

@Dragokas, да, я пробежался по ролику и согласен

ничего особо стоящего

 

[Stereo_Eyebrows]

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

 

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

App Explorer

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  CHR HKU\S-1-5-21-3762016275-3064586807-3189422126-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  AV: Norton Security Ultra (Enabled - Up to date) {1122B19A-E671-38EC-8EAC-87048FD4528D}
  AV: Norton Security Ultra (Enabled - Up to date) {9E3FD331-C4C2-7AC4-0537-131EEF1B1F8A}
  FW: Norton Security Ultra (Enabled) {A6045214-8EAD-7B9C-2E68-BA2B11C858F1}
  FW: Norton Security Ultra (Enabled) {291930BF-AC1E-39B4-A5F3-2E31710715F6}
  AlternateDataStreams: C:\Windows\system32\msln.exe:adbc89c6c2e395cd5f98d0117bf2249d [226]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Stereo_Eyebrows]

Компьютер будет перезагружен автоматически.

Прошу прощения, что так долго - работа

 

[akok]

что с проблемой?

 

[Stereo_Eyebrows]

Решаем пока, вроде. На данный момент реакция следующая:
1 скрин - загруженность ЦП при запуске диспетчера задач
2 скрин - загруженность спустя несколько секунд
(Не знаю, насколько это нормальное явление и нормальное ли вообще)

 

[akok]

Это норма, чем слабее железо, тем более заметен этот пик. У меня подскакивает до 60% при запуске.

 

[Stereo_Eyebrows]

Полагаю, тред можно закрывать?
Могу сказать огромное спасибо Sandor-у за решение появившейся у меня проблемы. На данный момент, система себя явно лучше стала чувствовать - исчезли вылеты диспетчера задач, зависания браузеров и перегруз ЦП в обычной работе

 

[Sandor]

Хорошо. Только, пожалуйста, в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Stereo_Eyebrows]

Прикрепите этот файл к своему следующему сообщению.

Вот

 

[Sandor]

Исправьте по возможности:
------------------------------- [ Backup ] --------------------------------
Яндекс.Диск v.3.2.28.4901 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46822 Внимание! Клиент сети P2P с рекламным модулем!.
------------------------------- [ Browser ] -------------------------------
Yandex (All Users) v.23.5.2.625 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
VdhCoApp 1.6.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Читайте Рекомендации после удаления вредоносного ПО

 

[Stereo_Eyebrows]

Понял. Еще раз спасибо за помощь