Добрый день, сегодня заметил, что процессор работает почти на 100%, хотя все приложения выключены. Далее попробовал загуглить что-то про майнер, у меня начал закрываться браузер (и даже сюда на форум не мог зайти). Друг скинул Dr.Web Curelt. Он нашел 18 угроз, но 10 исправить не смог. После чего у меня появилась возможность зайти сюда. Как полагается, скачал AutoLogger, уже хотел скинуть логи и ждать помощи, но тут у меня вылезла ошибка. Даже когда я делал этот скрин, мне не дает его сохранить на рабочий стол, так же "Отказано в доступе". Загрузил через Ctrl+C, Ctrl+V, только так. Так же могу добавить, что сижу на учетной записи администратора. Больше учетных записей нет.
Решена Подозрение на майнер
- Автор темы dueto
- Дата начала
Переводчик Google
- Сообщения
- 17,842
- Решения
- 5
- Реакции
- 3,883
Здравствуйте!
Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.
Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
После перезагрузки системы соберите новый CollectionLog Автологером.
Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.
Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
После перезагрузки системы соберите новый CollectionLog Автологером.
- Сообщения
- 17,842
- Решения
- 5
- Реакции
- 3,883
Хорошо, продолжаем.
1.Файл Check_Browser_Lnk.log
из папки
Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
2. "Пофиксите" в HijackThis только следующие строки:
Перезагрузите компьютер.
3. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
1.Файл Check_Browser_Lnk.log
из папки
перетащите на утилиту ClearLNK.
Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
2. "Пофиксите" в HijackThis только следующие строки:
Код:
O4 - HKCU\..\StartupApproved\Run: [FACEIT] = C:\Users\Misha\AppData\Local\FACEIT\update.exe" --processStart "FACEIT.exe (file missing) (2025/04/03)
O4 - HKCU\..\StartupApproved\Run: [GameCenter] = "C:\Users\Misha\AppData\Local\GameCenter\GameCenter.exe" -autostart (file missing) (2025/06/08)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: \Microsoft\Windows\CreedMobeM\RecoveryHosts - C:\ProgramData\Microsoft\MapData\FGLhLvsoPUqmaDA3Z\CreedMobeM.bat (file missing)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 03. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 17,842
- Решения
- 5
- Реакции
- 3,883
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Подробнее читайте в этом руководстве.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: 2026-01-18 18:44 - 2026-01-18 18:44 - 000000000 ___SH C:\ProgramData\temp.txt 2026-01-17 20:26 - 2026-01-17 20:26 - 000000000 ___SH C:\ProgramData\tg.txt 2026-01-14 15:53 - 2026-01-14 15:55 - 000064969 _____ C:\Users\Misha\AppData\LocalLow\e95cccb15879e9d7b13efb1d52c1d9a4e3b28aef40d1d5c3bf67480e9973122b 2026-01-14 15:53 - 2026-01-14 15:53 - 000000026 _____ C:\Users\Misha\AppData\LocalLow\56850bde1d8976ae7e369af477edf4e1befe77862383706230a5d67a883d2718 2026-01-14 15:48 - 2026-01-26 15:24 - 000000130 _____ C:\Users\Misha\AppData\LocalLow\d249bd85c60ebe0105a3d7ab86ac44214e96c32df35d919263973c7e08596c41 2026-01-14 15:48 - 2026-01-25 19:16 - 000011216 _____ C:\Users\Misha\AppData\LocalLow\fab690305a6b33beb90f99a76c167d5f3057ea8393efef1b3ee74da349fd5e98 2026-01-14 15:48 - 2026-01-14 15:48 - 000000026 _____ C:\Users\Misha\AppData\LocalLow\92ba36d63ffd0dac8bcf48cdcd74387d49354598cf2cd5cb8e37724426543969 2026-01-14 15:48 - 2026-01-14 15:48 - 000000026 _____ C:\Users\Misha\AppData\LocalLow\6f0e657df362542271cf887d7e86e3099f44b2679d3fa2d11ac9404e17521331 StartPowerShell: Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper" Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData" Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\MicrosoftHost.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\Windows Tasks Service\winserv.exe" EndPowerShell: ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора (если уже его закрыли).
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 17,842
- Решения
- 5
- Реакции
- 3,883
Хорошо. Если других претензий к работе системы больше нет, в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
- Загрузите SecurityCheck by glax24 & Severnyj (или с зеркала), сохраните утилиту на Рабочем столе и извлеките из архива.
- Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
- Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
- Прикрепите этот файл к своему следующему сообщению.
- Сообщения
- 17,842
- Решения
- 5
- Реакции
- 3,883
Подумайте об актуализации системы:
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Исправьте по возможности:
Microsoft Office Enterprise 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft OneDrive v.25.238.1204.0001 Внимание! Скачать обновления
7-Zip 22.01 (x64) v.22.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
µTorrent v.3.6.0.47224 Внимание! Клиент сети P2P с рекламным модулем!
Java 8 Update 441 (64-bit) v.8.0.4410.7 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u481-windows-x64.exe - Windows Offline (64-bit))^
K-Lite Mega Codec Pack 17.8.0 v.17.8.0 Внимание! Скачать обновления
Adobe Flash Player 32 PPAPI v.32.0.0.465 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Читайте Рекомендации после удаления вредоносного ПО
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Исправьте по возможности:
Microsoft Office Enterprise 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft OneDrive v.25.238.1204.0001 Внимание! Скачать обновления
7-Zip 22.01 (x64) v.22.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
µTorrent v.3.6.0.47224 Внимание! Клиент сети P2P с рекламным модулем!
Java 8 Update 441 (64-bit) v.8.0.4410.7 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u481-windows-x64.exe - Windows Offline (64-bit))^
K-Lite Mega Codec Pack 17.8.0 v.17.8.0 Внимание! Скачать обновления
Adobe Flash Player 32 PPAPI v.32.0.0.465 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Читайте Рекомендации после удаления вредоносного ПО