Здравствуйте уважаемая администрация форума и специалисты, прошу вашей помощи. В системе обнаружил майнер, понял это по трём вещам. 1 {Первый признак косвенный, и может быть не связан с майнером}. Службы обновления windows не работают полностью, а сами файлы служб переименованы в регистре (Например не UsoSvc, а UsoSvc_bkp) сначала думал, что это из за корявой сборки виндовс которую мне поставили бесплатно при сборке пк и не предавал этому значения долгое время, но после того как у меня отвалился microsoft store и xbox, стал активно искать решение проблемы, но так и не справился. 2 Второй признак уже более весомой и обнаружил я его с помощью программы FPS Monitor, где есть функция отображение температуры cpu. В состоянии покоя процессор греется до от 75 до 88 градусов, но как только я открываю диспетчер задач температура падает до 50. Доказательство приложил в виде скриншотов. 3 Ну и последней признак, это то, что программа AVbr таки нашла майнер и вроде как удалила его, однако это не помогло и процессор по прежнему перегревается. Файл результатов сканирования программы FRST64 приложу. Возможно я ошибаюсь и это не майнер, а другой тип вируса. P.s Думаю, что вся проблема в Behavior:Win32/Persistence.A!ml , но боюсь самостоятельно удалить не получиться
Решена Поймал майнер, закрывается после открытия диспетчера задач.
- Статус
- Сообщения
- 3,879
- Реакции
- 2,431
У Вас совершенно иной майнер. Запуск AVBR наверняка был лишним и бесполезным. Behavior:Win32/Persistence.A!ml - это реакция Защитника на запуск AVBR.
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)
Код:
Start::
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-858040832-1035600373-3092776981-1001\...\Run: [User] => explorer.exe hxxp://exinariuminix.info (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-21-858040832-1035600373-3092776981-1001\...\Run: [YandexBrowserAutoLaunch_B64B7D5D07784CD66F00CA43360BB68B] => "C:\Users\User\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --no-startup-window --atlogin-bgr-mark /prefetch:5 (Нет файла)
HKU\S-1-5-21-858040832-1035600373-3092776981-1001\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\User\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-858040832-1035600373-3092776981-1001\...\RunOnce: [Uninstall 23.158.0730.0001\i386] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\User\AppData\Local\Microsoft\OneDrive\23.158.0730.0001\i386" [0 2023-09-02] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-858040832-1035600373-3092776981-1001\...\RunOnce: [Uninstall 23.158.0730.0001] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\User\AppData\Local\Microsoft\OneDrive\23.158.0730.0001" [0 2023-09-02] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
GroupPolicy-Firefox: Ограничение <==== ВНИМАНИЕ
Task: {BB950F3A-E871-4A0D-9A96-B0C7D9969B9D} - System32\Tasks\GoogleUpdateTaskMachineQC => C:\Program Files\Google\Chrome\updater.exe [5985792 2023-08-15] () [Файл не подписан] <==== ВНИМАНИЕ
C:\Program Files\Google\Chrome\updater.exe
C:\Users\User\Documents\BeamNG.drive\levels\Berlin\art\shapes\trees\trees - Ярлык.lnk
C:\Users\User\Desktop\PaintTool SAI Russian Pack\sai - Ярлык (2).lnk
C:\Users\User\Desktop\PaintTool SAI Russian Pack\sai - Ярлык (3).lnk
C:\Users\User\Desktop\PaintTool SAI Russian Pack\sai - Ярлык.lnk
AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [2586]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhioihinfh [0]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Mathcad 15.lnk:B56057AFE6 [2586]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe After Effects 2021.lnk:421F4811F0 [2586]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Audition 2022.lnk:3B484DA981 [2586]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Premiere Pro 2020.lnk:E07F759D69 [2586]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Apple Software Update.lnk:B026C77744 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audacity.lnk:09A0A90EF3 [2586]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [2586]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel 2016.lnk:F9B57EE960 [2586]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox.lnk:980850BA8A [2586]
AlternateDataStreams: C:\Users\Public\Desktop\Half Life: Alyx.lnk [1466]
FirewallRules: [{912F2E9C-96CB-47F0-8067-DA7A506A1235}] => (Allow) D:\Games\Red Dead Redemption 2\RDR2.exe => Нет файла
FirewallRules: [{0C13F0CE-2ABF-4298-943B-E24380F72974}] => (Allow) D:\Games\Red Dead Redemption 2\RDR2.exe => Нет файла
FirewallRules: [UDP Query User{FA8FBDD4-B730-4197-B224-9A18B72A4A92}D:\games\mad games tycoon 2 v05.07.2023\mad games tycoon 2.exe] => (Block) D:\games\mad games tycoon 2 v05.07.2023\mad games tycoon 2.exe => Нет файла
FirewallRules: [TCP Query User{81BF8083-E21F-4379-B8C2-DD2E64DFAB2E}D:\games\mad games tycoon 2 v05.07.2023\mad games tycoon 2.exe] => (Block) D:\games\mad games tycoon 2 v05.07.2023\mad games tycoon 2.exe => Нет файла
FirewallRules: [{4464649E-0DA9-4DBE-AF1B-31257F1F6448}] => (Allow) D:\Games\Streaming Assistant\PicoVR Streaming Assistant.exe => Нет файла
FirewallRules: [{1bd02c6f-c8f7-46ee-a63e-3e710bace810}] => (Allow) D:\Games\VirtualDesktop.Streamer.exe => Нет файла
FirewallRules: [{6B1A802B-8CF3-4BB7-8ED1-0398B1A6A8B2}] => (Allow) C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe => Нет файла
FirewallRules: [{FB9C8431-883E-4BEC-BD57-775C9EE88FDE}] => (Allow) C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe => Нет файла
FirewallRules: [{DEBB8DA9-7411-468A-AC7A-B070E49885E6}] => (Allow) C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe => Нет файла
FirewallRules: [{C262938C-F4EC-4CDC-8F0A-9502B4DA0C14}] => (Allow) C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe => Нет файла
FirewallRules: [{8C696F35-CFAA-4049-BB16-67C7B77D7D9F}] => (Allow) D:\Games\Dont Starve Together\bin64\dontstarve_steam_x64.exe => Нет файла
FirewallRules: [{0AB4D8CC-06AB-4B7F-81A0-83BC85069A76}] => (Allow) D:\Games\Dont Starve Together\bin64\dontstarve_steam_x64.exe => Нет файла
FirewallRules: [{02E2D9C5-1708-4CA0-BC9F-99796AFDF0EE}] => (Allow) C:\Program Files (x86)\IObit\Advanced SystemCare\Surfing Protection\FFNativeMessage.exe => Нет файла
FirewallRules: [{DA5EAF17-8F06-4E76-A1FC-6900D4D8729E}] => (Allow) C:\Program Files (x86)\IObit\Advanced SystemCare\Surfing Protection\FFNativeMessage.exe => Нет файла
FirewallRules: [{AB875AF0-32E0-4409-A793-372FE36801C8}] => (Allow) D:\Games\Red Dead Redemption 2\RDR2.exe => Нет файла
FirewallRules: [{411C0600-F740-4EAA-A903-0E3E5BA38EFD}] => (Allow) D:\Games\Red Dead Redemption 2\RDR2.exe => Нет файла
FirewallRules: [{90EDC831-5757-4674-ADB7-7203F0010F5E}] => (Allow) D:\steam\steamapps\common\Serious Sam Fusion 2017\Bin\x64\Sam2017_Unrestricted.exe => Нет файла
FirewallRules: [{EC8A5BA4-E410-42F1-9A5B-9A8661BB8E8B}] => (Allow) D:\steam\steamapps\common\Serious Sam Fusion 2017\Bin\x64\Sam2017_Unrestricted.exe => Нет файла
FirewallRules: [{7461B433-BFA7-4ADF-A474-5E8FD0DA2E2F}] => (Allow) D:\steam\steamapps\common\Serious Sam Fusion 2017\Bin\x64\Sam2017.exe => Нет файла
FirewallRules: [{0C905B45-111B-4726-ACA6-C1DC22F07A78}] => (Allow) D:\steam\steamapps\common\Serious Sam Fusion 2017\Bin\x64\Sam2017.exe => Нет файла
FirewallRules: [{46115975-912E-495D-8FAC-16251D1FBE73}] => (Allow) D:\steam\steamapps\common\Prison Simulator Prologue\Prison Simulator.exe => Нет файла
FirewallRules: [{9E57A1C2-2D9A-4D55-9A8E-F6D64CF1745F}] => (Allow) D:\steam\steamapps\common\Prison Simulator Prologue\Prison Simulator.exe => Нет файла
FirewallRules: [{CE9E45FE-BA97-4D16-8A4E-DF88D4F920CF}] => (Allow) D:\Program Files (x86)\Epic Games\ANNO1800\Bin\Win64\Anno1800.exe => Нет файла
FirewallRules: [UDP Query User{BAD10B87-4FC6-49B2-B741-52020130D238}D:\games\hearts of iron 4\hoi4.exe] => (Block) D:\games\hearts of iron 4\hoi4.exe => Нет файла
FirewallRules: [TCP Query User{A3F41AD8-5E59-498D-8C00-75F1B67C8895}D:\games\hearts of iron 4\hoi4.exe] => (Block) D:\games\hearts of iron 4\hoi4.exe => Нет файла
FirewallRules: [UDP Query User{AD749205-B02F-49B0-9149-F3D742E5E856}D:\games\new folder\runtime\jre-x64\bin\javaw.exe] => (Allow) D:\games\new folder\runtime\jre-x64\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{49DEC5E6-A59E-42D0-9AEC-3979E92A7DFC}D:\games\new folder\runtime\jre-x64\bin\javaw.exe] => (Allow) D:\games\new folder\runtime\jre-x64\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{987C7A16-85A5-49AF-8EF8-6642EFB1FDB4}D:\program files (x86)\unity\unity hub\unity hub.exe] => (Allow) D:\program files (x86)\unity\unity hub\unity hub.exe => Нет файла
FirewallRules: [TCP Query User{6EC8A607-CB63-403A-B4C2-5D1090BCB749}D:\program files (x86)\unity\unity hub\unity hub.exe] => (Allow) D:\program files (x86)\unity\unity hub\unity hub.exe => Нет файла
FirewallRules: [{9C66EA0A-4D42-4023-A579-75637CA1CE10}] => (Allow) D:\Program Files (x86)\unity\Unity Hub\Unity Hub.exe => Нет файла
FirewallRules: [UDP Query User{9B3215EC-8381-4E47-B073-0D2E0FE7004D}D:\games\city car driving\bin\win32\starter.exe] => (Block) D:\games\city car driving\bin\win32\starter.exe => Нет файла
FirewallRules: [TCP Query User{B6836664-9542-439F-948B-9F60514F261B}D:\games\city car driving\bin\win32\starter.exe] => (Block) D:\games\city car driving\bin\win32\starter.exe => Нет файла
FirewallRules: [UDP Query User{86E3C628-5F85-43B8-87CF-3554E7B74BD9}D:\games\need for speed heat\needforspeedheat.exe] => (Block) D:\games\need for speed heat\needforspeedheat.exe => Нет файла
FirewallRules: [TCP Query User{A48AB1CD-07E2-40E0-8441-0C0EB5563102}D:\games\need for speed heat\needforspeedheat.exe] => (Block) D:\games\need for speed heat\needforspeedheat.exe => Нет файла
FirewallRules: [{D7490487-5F42-42EA-86FF-0C197D5BA458}] => (Allow) D:\Program Files (x86)\Epic Games\TheDivision2\TheDivision2.exe => Нет файла
FirewallRules: [UDP Query User{E31C1DBA-B28C-4D50-BED5-E80385952920}D:\steam\steamapps\common\dead by daylight\deadbydaylight\binaries\win64\deadbydaylight-win64-shipping.exe] => (Allow) D:\steam\steamapps\common\dead by daylight\deadbydaylight\binaries\win64\deadbydaylight-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{1678A8B8-6248-47D7-895F-CCEE3D1A515C}D:\steam\steamapps\common\dead by daylight\deadbydaylight\binaries\win64\deadbydaylight-win64-shipping.exe] => (Allow) D:\steam\steamapps\common\dead by daylight\deadbydaylight\binaries\win64\deadbydaylight-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{6EED9417-A4CC-4925-B6FD-644C4E3FAD2D}D:\steam\steamapps\common\grand theft auto v\gta5.exe] => (Allow) D:\steam\steamapps\common\grand theft auto v\gta5.exe => Нет файла
FirewallRules: [TCP Query User{6200AA60-D4ED-4C21-B1CD-6EF320747062}D:\steam\steamapps\common\grand theft auto v\gta5.exe] => (Allow) D:\steam\steamapps\common\grand theft auto v\gta5.exe => Нет файла
FirewallRules: [UDP Query User{01FD8091-E644-4757-A72A-A5C7F7007C3E}D:\games\heavy rain\heavyrain.exe] => (Block) D:\games\heavy rain\heavyrain.exe => Нет файла
FirewallRules: [TCP Query User{E0584BC9-03E0-43B8-A0A9-FF5E1DC821F2}D:\games\heavy rain\heavyrain.exe] => (Block) D:\games\heavy rain\heavyrain.exe => Нет файла
FirewallRules: [{001C7AF5-A85E-4974-AC6B-D7AF67D1F63C}] => (Allow) D:\steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{1BBF89DC-1996-4BE8-8543-23EB53CEE1FD}] => (Allow) D:\steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
Reboot:
End::3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание: будет выполнена перезагрузка компьютера.
Последнее редактирование:
Да, процессор перестал греться в простое. Правда службы обновления до сих пор не работают, а sfc /scannow выдаёт ошибку, думаю, что регистру окончательно пришёл конец. Но это ничего страшного так как все равно сегодня буду устанавливать новый ssd и ставить туда нормальную виндовс, а очистка от майнера мне нужна была для того, чтобы скопировать основные файлы старой винды на новую (Папку документы, appdata, рабочий стол и т.д) и теперь могу это сделать не боясь, что майнер перекочует на свежую винду. Так, что огромное спасибо, да, проблема решена.
- Сообщения
- 25,063
- Решения
- 5
- Реакции
- 13,706
Тогда завершаем
Подготовьте лог лог SecurityCheck by glax24
Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
Подготовьте лог лог SecurityCheck by glax24
Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
- Статус
Похожие темы
