Решена Поймал майнер, помогите решить

[thyrex]

@everywhereyougo, когда сделаете всё, что просил Dragokas, выполните написанное ниже в безопасном режиме.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
Task: {5A14C44A-426A-4A7A-831E-C7857E23951D} - System32\Tasks\GoogleUpdateTaskMachineQC => C:\Program Files\Google\Chrome\updater.exe [5925152 2023-10-02] (Google LLC -> ) [Файл не подписан] <==== ВНИМАНИЕ
C:\Program Files\Google\Chrome\updater.exe
Task: {BBAEC521-0FFD-4F4D-9745-EC63226F5234} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.7.0.1841\service_update.exe  --repair (Нет файла)
Task: {3DEC3996-04BD-4820-B909-E6E6483888A5} - System32\Tasks\Обновление Браузера Яндекс => C:\Users\User\AppData\Local\Yandex\YandexBrowser\Application\browser.exe  --background-update --noerrdialogs (Нет файла)
HKU\S-1-5-18\...\RunOnce: [HttpAcceptLanguageOptOut] => REG ADD "HKCU\Control Panel\International\User Profile" /v "HttpAcceptLanguageOptOut" /t REG_DWORD /f /d 1 (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-18\...\RunOnce: [GlobalUserDisabled] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications" /v "GlobalUserDisabled" /t REG_DWORD /f /d 1 (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-18\...\RunOnce: [ShellFeedsTaskbarViewMode] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Feeds" /v "ShellFeedsTaskbarViewMode" /t REG_DWORD /f /d 2 (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-80-3880718306-3832830129-1677859214-2598158968-1052248003\...\RunOnce: [GlobalUserDisabled] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications" /v "GlobalUserDisabled" /t REG_DWORD /f /d 1 (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-80-3880718306-3832830129-1677859214-2598158968-1052248003\...\RunOnce: [ShellFeedsTaskbarViewMode] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Feeds" /v "ShellFeedsTaskbarViewMode" /t REG_DWORD /f /d 2 (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-80-3880718306-3832830129-1677859214-2598158968-1052248003\...\RunOnce: [HttpAcceptLanguageOptOut] => REG ADD "HKCU\Control Panel\International\User Profile" /v "HttpAcceptLanguageOptOut" /t REG_DWORD /f /d 1 (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-80-3263513310-3392720605-1798839546-683002060-3227631582\...\RunOnce: [HttpAcceptLanguageOptOut] => REG ADD "HKCU\Control Panel\International\User Profile" /v "HttpAcceptLanguageOptOut" /t REG_DWORD /f /d 1 (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-80-3263513310-3392720605-1798839546-683002060-3227631582\...\RunOnce: [GlobalUserDisabled] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications" /v "GlobalUserDisabled" /t REG_DWORD /f /d 1 (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-80-3263513310-3392720605-1798839546-683002060-3227631582\...\RunOnce: [ShellFeedsTaskbarViewMode] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Feeds" /v "ShellFeedsTaskbarViewMode" /t REG_DWORD /f /d 2 (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-80-2652535364-2169709536-2857650723-2622804123-1107741775\...\RunOnce: [HttpAcceptLanguageOptOut] => REG ADD "HKCU\Control Panel\International\User Profile" /v "HttpAcceptLanguageOptOut" /t REG_DWORD /f /d 1 (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-80-2652535364-2169709536-2857650723-2622804123-1107741775\...\RunOnce: [GlobalUserDisabled] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications" /v "GlobalUserDisabled" /t REG_DWORD /f /d 1 (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-80-2652535364-2169709536-2857650723-2622804123-1107741775\...\RunOnce: [ShellFeedsTaskbarViewMode] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Feeds" /v "ShellFeedsTaskbarViewMode" /t REG_DWORD /f /d 2 (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-21-4157084790-1321097883-1285276116-1000\...\Run: [Battle.net] => "D:\Battle.net\Battle.net.exe" --autostarted (Нет файла)
HKU\S-1-5-20\...\RunOnce: [HttpAcceptLanguageOptOut] => REG ADD "HKCU\Control Panel\International\User Profile" /v "HttpAcceptLanguageOptOut" /t REG_DWORD /f /d 1 (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-20\...\RunOnce: [GlobalUserDisabled] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications" /v "GlobalUserDisabled" /t REG_DWORD /f /d 1 (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-20\...\RunOnce: [ShellFeedsTaskbarViewMode] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Feeds" /v "ShellFeedsTaskbarViewMode" /t REG_DWORD /f /d 2 (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-19\...\RunOnce: [HttpAcceptLanguageOptOut] => REG ADD "HKCU\Control Panel\International\User Profile" /v "HttpAcceptLanguageOptOut" /t REG_DWORD /f /d 1 (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-19\...\RunOnce: [GlobalUserDisabled] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications" /v "GlobalUserDisabled" /t REG_DWORD /f /d 1 (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-19\...\RunOnce: [ShellFeedsTaskbarViewMode] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Feeds" /v "ShellFeedsTaskbarViewMode" /t REG_DWORD /f /d 2 (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;windowsdefender
FirewallRules: [TCP Query User{B2E8BDFB-BA95-4296-9C09-C8ECE38A381C}C:\users\user\appdata\local\discord\app-1.0.9011\discord.exe] => (Allow) C:\users\user\appdata\local\discord\app-1.0.9011\discord.exe => Нет файла
FirewallRules: [UDP Query User{C5685C0A-AE53-4719-973E-2760871AA4C8}C:\users\user\appdata\local\discord\app-1.0.9011\discord.exe] => (Allow) C:\users\user\appdata\local\discord\app-1.0.9011\discord.exe => Нет файла
FirewallRules: [TCP Query User{50896BCF-87FB-40A4-ACA8-86AF0B001387}C:\users\user\desktop\iccup_war3_ru\war3.exe] => (Allow) C:\users\user\desktop\iccup_war3_ru\war3.exe => Нет файла
FirewallRules: [UDP Query User{8ABDE4AF-0507-43F3-A9C4-970AEECE1051}C:\users\user\desktop\iccup_war3_ru\war3.exe] => (Allow) C:\users\user\desktop\iccup_war3_ru\war3.exe => Нет файла
FirewallRules: [TCP Query User{BE6AA29A-5CF4-4EDD-82FA-3E4ACEF16BCB}C:\users\user\downloads\handyman_legend\handyman legend final\handyman legend.exe] => (Allow) C:\users\user\downloads\handyman_legend\handyman legend final\handyman legend.exe => Нет файла
FirewallRules: [UDP Query User{CFBC07C4-A9C1-40DB-8E38-0AFB85ECB958}C:\users\user\downloads\handyman_legend\handyman legend final\handyman legend.exe] => (Allow) C:\users\user\downloads\handyman_legend\handyman legend final\handyman legend.exe => Нет файла
FirewallRules: [{7BE03F36-FC73-4D3E-BC32-4B0F4299F717}] => (Allow) D:\Battle.net\StarCraft II\Versions\Base89720\SC2_x64.exe => Нет файла
FirewallRules: [{8F0D52A1-6A58-4FF5-8827-7895D61B7FB7}] => (Allow) D:\Battle.net\StarCraft II\Versions\Base89720\SC2_x64.exe => Нет файла
FirewallRules: [{214EE960-E352-4D5E-8223-23312AEB98C1}] => (Allow) C:\Users\User\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{32535485-12AB-43D2-8C45-26316E13004E}] => (Allow) C:\Users\User\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{46E1BD4C-7C47-4DA3-BD8F-8DC5783DE6C0}] => (Allow) C:\Users\User\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{82898DC0-0F57-4F45-B294-6A77ACDC393F}] => (Allow) C:\Users\User\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [TCP Query User{FFA99D9A-8247-4EA7-B514-0E92712A233D}C:\needy streamer overload\windose.exe] => (Allow) C:\needy streamer overload\windose.exe => Нет файла
FirewallRules: [UDP Query User{615A4EEC-7F93-4386-91FB-7FE819786B3C}C:\needy streamer overload\windose.exe] => (Allow) C:\needy streamer overload\windose.exe => Нет файла
FirewallRules: [{64378703-B884-45CE-B6AC-8DCB89016C34}] => (Block) C:\needy streamer overload\windose.exe => Нет файла
FirewallRules: [{8D8C3EC7-2510-40A6-8C7E-0A11DA018EAB}] => (Block) C:\needy streamer overload\windose.exe => Нет файла
FirewallRules: [TCP Query User{D5AC327F-1075-4CE0-9D1D-286412F944D3}D:\новая папка\lovelorn.sanatorium\lovelorn sanatorium ⅰ.exe] => (Allow) D:\новая папка\lovelorn.sanatorium\lovelorn sanatorium ⅰ.exe => Нет файла
FirewallRules: [UDP Query User{C0297FF6-5EEE-4187-801B-5DAAB33CAA78}D:\новая папка\lovelorn.sanatorium\lovelorn sanatorium ⅰ.exe] => (Allow) D:\новая папка\lovelorn.sanatorium\lovelorn sanatorium ⅰ.exe => Нет файла
FirewallRules: [{E08148B7-CF5E-47D1-A9E4-DFDBFB7D03F5}] => (Block) D:\новая папка\lovelorn.sanatorium\lovelorn sanatorium ⅰ.exe => Нет файла
FirewallRules: [{D2C696AF-D254-4A50-8F8A-9C7A8E749516}] => (Block) D:\новая папка\lovelorn.sanatorium\lovelorn sanatorium ⅰ.exe => Нет файла
FirewallRules: [TCP Query User{967B2447-4A9F-4078-86C7-6861404A6D1A}D:\новая папка\screentranslator\qtwebengineprocess.exe] => (Allow) D:\новая папка\screentranslator\qtwebengineprocess.exe => Нет файла
FirewallRules: [UDP Query User{BED1FE1F-A3A8-451E-8EEB-7C776AEB8577}D:\новая папка\screentranslator\qtwebengineprocess.exe] => (Allow) D:\новая папка\screentranslator\qtwebengineprocess.exe => Нет файла
FirewallRules: [TCP Query User{705FFBCD-2C47-4841-B4D9-01C1E8F3497A}C:\users\user\appdata\local\temp\rar$exa10980.29223\rebirthmr wang\rebirth mr wang.exe] => (Allow) C:\users\user\appdata\local\temp\rar$exa10980.29223\rebirthmr wang\rebirth mr wang.exe => Нет файла
FirewallRules: [UDP Query User{8B0077E7-B6E5-4880-AF4C-FD828D0F5918}C:\users\user\appdata\local\temp\rar$exa10980.29223\rebirthmr wang\rebirth mr wang.exe] => (Allow) C:\users\user\appdata\local\temp\rar$exa10980.29223\rebirthmr wang\rebirth mr wang.exe => Нет файла
FirewallRules: [{5B46194A-D8AE-42C4-8571-932A2C9B6CC1}] => (Block) C:\users\user\appdata\local\temp\rar$exa10980.29223\rebirthmr wang\rebirth mr wang.exe => Нет файла
FirewallRules: [{CF480F3E-5D8D-43B4-8F3D-E167BDC0CF05}] => (Block) C:\users\user\appdata\local\temp\rar$exa10980.29223\rebirthmr wang\rebirth mr wang.exe => Нет файла
FirewallRules: [{A2B978CC-57D8-4818-94C0-881BFDD661C6}] => (Allow) D:\new folder\The Sims 4\Game\Bin_LE\TS4.exe => Нет файла
FirewallRules: [{7C20C9DB-5123-4C15-9D0E-5D6C8D8CF597}] => (Allow) D:\new folder\The Sims 4\Game\Bin_LE\TS4.exe => Нет файла
FirewallRules: [{B3D72AB4-DF38-407C-8C8F-06246FB5FC5E}] => (Allow) D:\new folder\The Sims 4\Game\Bin\TS4_x64.exe => Нет файла
FirewallRules: [{7A265064-A774-4D47-9A2E-E97707AD5EC5}] => (Allow) D:\new folder\The Sims 4\Game\Bin\TS4_x64.exe => Нет файла
FirewallRules: [TCP Query User{93632FB5-76B2-4ECE-983B-09DDCD806E4D}C:\users\user\appdata\local\programs\sirus-open-launcher\resources\app.asar.unpacked\node_modules\@sirussu\torrent-downloader\vendor\td-win-x64\td-win-x64.exe] => (Allow) C:\users\user\appdata\local\programs\sirus-open-launcher\resources\app.asar.unpacked\node_modules\@sirussu\torrent-downloader\vendor\td-win-x64\td-win-x64.exe => Нет файла
FirewallRules: [UDP Query User{78F71615-A8E9-4D35-8686-0A5C5CC98201}C:\users\user\appdata\local\programs\sirus-open-launcher\resources\app.asar.unpacked\node_modules\@sirussu\torrent-downloader\vendor\td-win-x64\td-win-x64.exe] => (Allow) C:\users\user\appdata\local\programs\sirus-open-launcher\resources\app.asar.unpacked\node_modules\@sirussu\torrent-downloader\vendor\td-win-x64\td-win-x64.exe => Нет файла
FirewallRules: [{EF25B524-7A39-4C9B-AF52-40AA391422F5}] => (Block) C:\users\user\appdata\local\programs\sirus-open-launcher\resources\app.asar.unpacked\node_modules\@sirussu\torrent-downloader\vendor\td-win-x64\td-win-x64.exe => Нет файла
FirewallRules: [{A1FAA1F9-627E-4692-B20C-C3939E649BE8}] => (Block) C:\users\user\appdata\local\programs\sirus-open-launcher\resources\app.asar.unpacked\node_modules\@sirussu\torrent-downloader\vendor\td-win-x64\td-win-x64.exe => Нет файла
FirewallRules: [TCP Query User{E403551D-F5E5-420D-9E6A-8F2A82FEEFBF}D:\новая папка\brotato\brotato.exe] => (Allow) D:\новая папка\brotato\brotato.exe => Нет файла
FirewallRules: [UDP Query User{86586016-9060-4628-9045-E719C296FD88}D:\новая папка\brotato\brotato.exe] => (Allow) D:\новая папка\brotato\brotato.exe => Нет файла
FirewallRules: [{FE5D764A-65DF-47F0-9D96-837316A6CE88}] => (Block) D:\новая папка\brotato\brotato.exe => Нет файла
FirewallRules: [{33B52B6F-3038-45AD-9A3F-7F992B26559D}] => (Block) D:\новая папка\brotato\brotato.exe => Нет файла
FirewallRules: [{DEDA1CEA-06A9-4834-B5FE-71E0960469DF}] => (Allow) D:\steam\steamapps\common\Only Climb Better Together\ocbt.exe => Нет файла
FirewallRules: [{AC0BC319-91A6-4B1A-9740-AC46AB4AF87E}] => (Allow) D:\steam\steamapps\common\Only Climb Better Together\ocbt.exe => Нет файла
FirewallRules: [TCP Query User{1C255D41-4FD8-4462-B06A-03715565868C}D:\steam\steamapps\common\only climb better together\onlyclimbtogether\binaries\win64\onlyclimbtogether-win64-shipping.exe] => (Allow) D:\steam\steamapps\common\only climb better together\onlyclimbtogether\binaries\win64\onlyclimbtogether-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{1DE56F55-FA24-46DB-8CA0-874C6F8074AF}D:\steam\steamapps\common\only climb better together\onlyclimbtogether\binaries\win64\onlyclimbtogether-win64-shipping.exe] => (Allow) D:\steam\steamapps\common\only climb better together\onlyclimbtogether\binaries\win64\onlyclimbtogether-win64-shipping.exe => Нет файла
FirewallRules: [{FEF72078-66FC-46D8-AE12-A055B026708F}] => (Block) D:\steam\steamapps\common\only climb better together\onlyclimbtogether\binaries\win64\onlyclimbtogether-win64-shipping.exe => Нет файла
FirewallRules: [{7811312F-FFA4-41DC-8800-699E65B2453D}] => (Block) D:\steam\steamapps\common\only climb better together\onlyclimbtogether\binaries\win64\onlyclimbtogether-win64-shipping.exe => Нет файла
FirewallRules: [{64CD3D04-A756-42A7-AD08-1B53603099BD}] => (Allow) D:\steam\steamapps\common\Puzzle Together\Puzzle Together.exe => Нет файла
FirewallRules: [{766B6F39-E7B7-46A4-98D1-700E70146EF8}] => (Allow) D:\steam\steamapps\common\Puzzle Together\Puzzle Together.exe => Нет файла
FirewallRules: [{B72EB1CE-E088-4438-9D52-AC4BA2C8114A}] => (Allow) D:\steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{DD3A4BE1-9465-4D5A-8E3D-9FF5B38EDCE4}] => (Allow) D:\steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{D00AFBC3-BEFF-44CA-B7DF-B55CAB7E4D74}] => (Allow) C:\Users\User\AppData\Roaming\utorrent\uTorrent.exe => Нет файла
FirewallRules: [{04B15BAA-84D1-4996-B83D-579DFB8C2EA3}] => (Allow) C:\Users\User\AppData\Roaming\utorrent\uTorrent.exe => Нет файла
FirewallRules: [{D0C06044-4D3C-4CB0-B5F8-1D16E7FA049D}] => (Allow) C:\Users\User\AppData\Local\Yandex\YandexBrowser\Application\browser.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[everywhereyougo]

fixlog

 

[everywhereyougo]

К слову, оперативная память больше не скачет и других признаков майнера не наблюдаю, загружается виндовс все равно странно, но вроде терпимо

 

[regist]

К слову, оперативная память больше не скачет и других признаков майнера не наблюдаю, загружается виндовс все равно странно, но вроде терпимо

раз уже пофиксили, то проверьте сейчас лог Хиджака нормально создаётся или опять зависает?

 

[everywhereyougo]

раз уже пофиксили, то проверьте сейчас лог Хиджака нормально создаётся или опять зависает?

Да, работает.

 

[Dragokas]

Нажмите Win+R и введите:

lusrmgr.msc

нажмите ОК, в окне "Локальные пользователи и группы" нажмите на "Пользователи", сделайте двойной клик на имени "User", откройте вкладку "Членство в группах" и покажите её скриншот.

 

[everywhereyougo]

Нажмите Win+R и введите:

lusrmgr.msc

нажмите ОК, в окне "Локальные пользователи и группы" нажмите на "Пользователи", сделайте двойной клик на имени "User", откройте вкладку "Членство в группах" и покажите её скриншот.

 

[Dragokas]

Спасибо.
(для хелперов: учётка в группе Unknown это бага утилиты)

Завтра вам помогут по зачистке хвостов.
Пока сделайте такое:
Папку C:\FRST\Quarantine упакуйте в архив, и пришлите мне в ЛС.