Решена Периодически шумят вентиляторы. При открытии диспетчера временно подавляется уровень шума (майнер)

[remembermydeath]

Заметил такую проблему, что после скачивания крякнутых адобов (photoshop 2024 by KpoJIuK, premier pro и after effect) периодически шумел пк (он новый, куплен мес назад). После открытия диспетчера шум явно начал снижаться. Я сразу и подумал, что скорее всего майнер, начал искать его... Искать не умею, скачивал и др веб и другие проги. В итоге оставил это дело. Дальше в один прекрасный день я решил просто произвести проверку стоковым антивирусом виндовс (автономная проверка), и он нашел один майнер (Trojan:Win64/CoinMiner!pz). Но я так и не понял, удалил он его или нет, написано, что помещено в карантин, но кнопочки удаления нет вовсе. Проблема в наличии шума на слух частично стала меньше, но все еще появляются, даже открытие диспетчера задач уже не помогает. Решил обратиться сюда дабы полностью очистить майнер, если он все еще имеется.

​

Спойлер: скрин с защитника виндовс

​

 

[akok]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[remembermydeath]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-4055248684-3937416853-2600406323-1001\...\MountPoints2: {70a4c0d7-ae40-11ee-ac89-dab6388c3e69} - "H:\INSTALL.exe" 
  HKU\S-1-5-21-4055248684-3937416853-2600406323-1001\...\MountPoints2: {8376bb3c-ae57-11ee-ac8d-7c66eff333ae} - "E:\SISetup.exe" 
  Task: {21AB5FB6-967D-46CB-BB6B-DB82375208B5} - System32\Tasks\GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem124.0.6315.0{5DDC2A74-9124-4863-9AE2-0D9EBF0134D4} => C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe [4698400 2024-02-22] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
  ProxyServer: [S-1-5-21-4055248684-3937416853-2600406323-1001] => 45.158.199.103:8000
  S3 bits; C:\Windows\System32\svchost.exe [79920 2022-05-07] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 bits; C:\Windows\SysWOW64\svchost.exe [48096 2022-05-07] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1388544 2023-11-22] (Microsoft Windows -> Microsoft Corporation)
  S2 GoogleUpdaterInternalService124.0.6315.0; C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe [4698400 2024-02-22] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
  S2 GoogleUpdaterService124.0.6315.0; C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe [4698400 2024-02-22] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
  S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [102400 2024-02-14] (Microsoft Windows -> Microsoft Corporation)
  S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [90112 2024-02-14] (Microsoft Windows -> Microsoft Corporation)
  S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [130528 2024-02-14] (Microsoft Windows -> Microsoft Corporation)
  S3 HWiNFO_187; C:\Users\user\AppData\Local\Temp\HWiNFO64A_187.SYS [56912 2024-02-20] (Microsoft Windows Hardware Compatibility Publisher -> REALiX(tm)) <==== ВНИМАНИЕ
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6170]
  AlternateDataStreams: C:\Users\user\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\user\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Далее скачайте вложенный архив и извлеките из него четыре reg файла.
В безопасном режиме запустите каждый и согласитесь с внесением изменений в реестр.
Перезагрузите компьютер в нормальный режим и соберите следующий лог:

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

 

[remembermydeath]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-4055248684-3937416853-2600406323-1001\...\MountPoints2: {70a4c0d7-ae40-11ee-ac89-dab6388c3e69} - "H:\INSTALL.exe"
  HKU\S-1-5-21-4055248684-3937416853-2600406323-1001\...\MountPoints2: {8376bb3c-ae57-11ee-ac8d-7c66eff333ae} - "E:\SISetup.exe"
  Task: {21AB5FB6-967D-46CB-BB6B-DB82375208B5} - System32\Tasks\GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem124.0.6315.0{5DDC2A74-9124-4863-9AE2-0D9EBF0134D4} => C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe [4698400 2024-02-22] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
  ProxyServer: [S-1-5-21-4055248684-3937416853-2600406323-1001] => 45.158.199.103:8000
  S3 bits; C:\Windows\System32\svchost.exe [79920 2022-05-07] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 bits; C:\Windows\SysWOW64\svchost.exe [48096 2022-05-07] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1388544 2023-11-22] (Microsoft Windows -> Microsoft Corporation)
  S2 GoogleUpdaterInternalService124.0.6315.0; C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe [4698400 2024-02-22] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
  S2 GoogleUpdaterService124.0.6315.0; C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe [4698400 2024-02-22] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
  S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [102400 2024-02-14] (Microsoft Windows -> Microsoft Corporation)
  S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [90112 2024-02-14] (Microsoft Windows -> Microsoft Corporation)
  S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [130528 2024-02-14] (Microsoft Windows -> Microsoft Corporation)
  S3 HWiNFO_187; C:\Users\user\AppData\Local\Temp\HWiNFO64A_187.SYS [56912 2024-02-20] (Microsoft Windows Hardware Compatibility Publisher -> REALiX(tm)) <==== ВНИМАНИЕ
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6170]
  AlternateDataStreams: C:\Users\user\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\user\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Далее скачайте вложенный архив и извлеките из него четыре reg файла.
В безопасном режиме запустите каждый и согласитесь с внесением изменений в реестр.
Перезагрузите компьютер в нормальный режим и соберите следующий лог:

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

 

[Sandor]

Ещё один твик реестра примените таким же способом.
После перезагрузки покажите новый лог FSS.txt

 

[remembermydeath]

Ещё один твик реестра примените таким же способом.
После перезагрузки покажите новый лог FSS.txt

Выходит данная ошибка при запуска твика

Спойлер

Также безопасный режим не запускается сразу, запускал как в прошлый раз через msconfig, сразу прошло, сейчас при запуске черный экран, перезагружаю, запускается этот режим, но вот эта ошибка

 

[Sandor]

Понятно. В нормальном режиме соберите такой лог:
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имякомпьютерадата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.​
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

 

[remembermydeath]

Понятно. В нормальном режиме соберите такой лог:
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имякомпьютерадата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.​
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

Запустил сканирование, параллельно uvs, но выходят данные ошибки, также в защитнике виндовс при открытии start.exe детектит вирусы (один и тот же почему-то везде)

Спойлер

 

[Sandor]

в защитнике виндовс при открытии start.exe детектит вирусы

До запуска uVS отключите Защитника и пробуйте ещё раз.

 

[remembermydeath]

До запуска uVS отключите Защитника и пробуйте ещё раз.

Лог сохраняется пустым и выходит данная ошибка после сохранения лога

Спойлер

 

[Sandor]

Отправьте разработчику.
Защитник отключили? Можете ещё в его исключения добавить папку с uVS и попробовать ещё раз запустить, предварительно перезагрузив компьютер.

 

[remembermydeath]

Отправьте разработчику.
Защитник отключили? Можете ещё в его исключения добавить папку с uVS и попробовать ещё раз запустить, предварительно перезагрузив компьютер.

Разработчику отправил. Защитник отключил, в исключение папку также добавил, перезагрузил, но все равно та же история

 

[Sandor]

Попробуем так.
Скачайте SafeZone Malware Cure LiveCD.
Создайте загрузочную флешку, загрузитесь с неё и там попробуйте собрать лог uVS по этой инструкции.

 

[remembermydeath]

Попробуем так.
Скачайте SafeZone Malware Cure LiveCD.
Создайте загрузочную флешку, загрузитесь с неё и там попробуйте собрать лог uVS по этой инструкции.

Что-то сложненько, а там нужен чистый пк для этого?

 

[Sandor]

Желательно, но попробуйте на этом.
Загрузочную флешку удобно создавать с помощью Ventoy.

 

[remembermydeath]

Желательно, но попробуйте на этом.
Загрузочную флешку удобно создавать с помощью Ventoy.

 

[Sandor]

Выполните следующий скрипт по этой инструкции:

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c

regt 43
restart

Компьютер перезагрузится.

Соберите новые логи FRST.txt и Addition.txt (при запуске программа вероятно предложит обновиться, согласитесь).

 

[Sandor]

Попробуйте также загрузиться в безопасном режиме, только не используйте для этого средство msconfig! Выбирайте остальные способы.

 

[remembermydeath]

Попробуйте также загрузиться в безопасном режиме, только не используйте для этого средство msconfig! Выбирайте остальные способы.

не совсем понял, после выполнения скрипта в безопасном режиме логи FRST.txt и Addition.txt собрать нужно?