Решена Возможен майнер или РМС

[yashamalikov9]

Недавно я столкнулся с тем что играя в игры с мониторингом у меня на один конкретный поток был всегда упор в 100 процентов при любых условиях. Диспетчер задач закрывался спустя время а с открытым диспетчером задач нагрузка на этот поток пропадала
Так же я не мог скачать процесс хакер "Браузер закрывается"

Ниже будут файлы FRST и так же RKILL который мне помог найти хотя бы местоположение вредоносного по

Так же путей которые указаны в RKILL не видно ни с какими галочками но зайти по пути с проводника возможно

 

[yashamalikov9]

Апдейт: Я нашел все эти папки и папку похоже со всеми вирусами через 7-Zip и удалил. Вроде все странности прекратились но всё же помощь специалиста не будет лишней

 

[akok]

Дочищайте

Тема 'Как провести сканирование Miner Search'

6 Мар 2025

Miner Search — это специализированная утилита, разработанная для поиска и уничтожения скрытых майнеров на компьютерах. Программа помогает обнаруживать подозрительные файлы, каталоги, процессы и другие элементы, связанные с несанкционированным майнингом, и устранять их, выступая в качестве вспомогательного инструмента для повышения безопасности системы, хотя и не заменяет полноценный антивирус.

Как провести сканирование и лечение​

1. Скачайте (зеркало) и распакуйте утилиту в удобное место (не забываем, архив защищен паролем)
2. Запустите исполняемый файл и примите...

• akok
• miner search
• Ответы: 0
• Форум: Инструкции по утилитам лечения

• 

после нужны будут свежие логи frst

 

[yashamalikov9]

Дочищайте

Тема 'Как провести сканирование Miner Search'

6 Мар 2025

Miner Search — это специализированная утилита, разработанная для поиска и уничтожения скрытых майнеров на компьютерах. Программа помогает обнаруживать подозрительные файлы, каталоги, процессы и другие элементы, связанные с несанкционированным майнингом, и устранять их, выступая в качестве вспомогательного инструмента для повышения безопасности системы, хотя и не заменяет полноценный антивирус.

Как провести сканирование и лечение​

1. Скачайте (зеркало) и распакуйте утилиту в удобное место (не забываем, архив защищен паролем)
2. Запустите исполняемый файл и примите...

• akok
• miner search
• Ответы: 0
• Форум: Инструкции по утилитам лечения

• 

после нужны будут свежие логи frst

Есть на github?

 

[akok]

да, первая ссылка в теме, вторая наше зеркало

 

[yashamalikov9]

да, первая ссылка в теме, вторая наше зеркало

 

[akok]

Если что-то настраивали сами из политик, то уберите строку из срипта

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
  HKU\S-1-5-19\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-20\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-18\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
  HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Task: {12789C6C-10C4-4D0B-8D69-DCEC781E49DB} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ
  Task: {A20307B0-ABED-451B-8F80-7B85EEB18F13} - \Microsoft\Windows\Wininet\winser -> Нет файла <==== ВНИМАНИЕ
  Task: {BF523EF1-B92C-4E79-9CC2-CABCB377DD5A} - \Microsoft\Windows\WindowsBackup\ManagerService -> Нет файла <==== ВНИМАНИЕ
  Task: {E85E2910-E391-47C4-BC13-C188F8647517} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ
  Task: {EF47DB1E-884F-436D-9DCE-28D11EB7C05D} - \Microsoft\Windows\WindowsBackup\ExpressCheckUP -> Нет файла <==== ВНИМАНИЕ
  Task: {FB88090F-F9FF-45D5-ADA6-498F384520A6} - \Microsoft\Windows\Wininet\winsers -> Нет файла <==== ВНИМАНИЕ
  Task: {E6FE324B-C9D8-4773-9314-F703EEF8A614} - System32\Tasks\Microsoft\Windows\GlobalDataJ\RecoveryHosts => C:\ProgramData\Microsoft\DRM\h30wCaoBCk\GlobalDataJ.bat  (Нет файла) <==== ВНИМАНИЕ
  Task: {A1D6FFDA-AE1C-4C95-94F9-F9D72711C476} - System32\Tasks\Microsoft\Windows\WindowsBackup\DataBase => C:\Windows\SysWOW64\unsecapp.exe  (Нет файла) <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[yashamalikov9]

Если что-то настраивали сами из политик, то уберите строку из срипта

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
  HKU\S-1-5-19\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-20\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-18\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
  HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Task: {12789C6C-10C4-4D0B-8D69-DCEC781E49DB} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ
  Task: {A20307B0-ABED-451B-8F80-7B85EEB18F13} - \Microsoft\Windows\Wininet\winser -> Нет файла <==== ВНИМАНИЕ
  Task: {BF523EF1-B92C-4E79-9CC2-CABCB377DD5A} - \Microsoft\Windows\WindowsBackup\ManagerService -> Нет файла <==== ВНИМАНИЕ
  Task: {E85E2910-E391-47C4-BC13-C188F8647517} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ
  Task: {EF47DB1E-884F-436D-9DCE-28D11EB7C05D} - \Microsoft\Windows\WindowsBackup\ExpressCheckUP -> Нет файла <==== ВНИМАНИЕ
  Task: {FB88090F-F9FF-45D5-ADA6-498F384520A6} - \Microsoft\Windows\Wininet\winsers -> Нет файла <==== ВНИМАНИЕ
  Task: {E6FE324B-C9D8-4773-9314-F703EEF8A614} - System32\Tasks\Microsoft\Windows\GlobalDataJ\RecoveryHosts => C:\ProgramData\Microsoft\DRM\h30wCaoBCk\GlobalDataJ.bat  (Нет файла) <==== ВНИМАНИЕ
  Task: {A1D6FFDA-AE1C-4C95-94F9-F9D72711C476} - System32\Tasks\Microsoft\Windows\WindowsBackup\DataBase => C:\Windows\SysWOW64\unsecapp.exe  (Нет файла) <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

У меня виндовс 10 лтсц от флибустера так что sfc /scannow скорее всего приведет к краху системы в целом так что уберу

 

[akok]

Тогда понятно, уберите и
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ

 

[yashamalikov9]

Тогда понятно, уберите и
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ

Пишет то что kaspersky lab папке и прочим нет доступа и есть доступ ток у группы администраторы. Щас пороюсь и дам себе доступ к этим папкам

Пишет то что kaspersky lab папке и прочим нет доступа и есть доступ ток у группы администраторы. Щас пороюсь и дам себе доступ к этим папкам

Похоже он пытается удалить то что я уже удалил, этих папок не существует. По крайней мере everything их не находит

 

[akok]

Этот майнер создает заблокированные папки, чтоб антивирус сломать, нужен Fixlog.txt и свежие логи frst, посмотрю, есть ли папки. Они скрыты и не весь софт из способен увидеть

 

[yashamalikov9]

Этот майнер создает заблокированные папки, чтоб антивирус сломать, нужен Fixlog.txt и свежие логи frst, посмотрю, есть ли папки. Они скрыты и не весь софт из способен увидеть

была папка _Minersearch скрытая которую я удалил. И она вроде как и удалилась майнер серч нашёл и все логи записал туда создав заново

Этот майнер создает заблокированные папки, чтоб антивирус сломать, нужен Fixlog.txt и свежие логи frst, посмотрю, есть ли папки. Они скрыты и не весь софт из способен увидеть

 

[akok]

Посмотрел лог, папок не видно, а значит майнер зачистили. Проверяйте как система себя ведет, если все хорошо, то финализируем.

 

[yashamalikov9]

Посмотрел лог, папок не видно, а значит майнер зачистили. Проверяйте как система себя ведет, если все хорошо, то финализируем.

Всё гуд, в простое нагрузка на проц до 5 процентов и это для моего ноута норма. Игры меньше фризят, пуск, браузер теперь без задержек и никакие сайты и утилиты не закрываются сами по себе

 

[akok]

Тогда финализируем
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки системы.

Ознакомьтесь: Рекомендации после лечения

 

[yashamalikov9]

SecurityCheck by glax24 & Severnyj v.1.4.0.58 [15.08.24]
WebSite: www.safezone.cc
DateLog: 24.08.2025 15:17:36
Path starting: C:\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: vlad
VersionXML: 14.60is-21.08.2025
___________________________________________________________________________

Windows 10 Professional (x64) Версия: 22H2 (10.0.19045.3803) Язык: Russian(0419)
Дата установки ОС: 18.08.2025 12:05:11
Статус лицензии: Windows(R), Professional edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: 0
Системный диск: C: ФС: [NTFS] Емкость: [223.5 Гб] Занято: [83 Гб] Свободно: [140.5 Гб]
------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
Фоновая интеллектуальная служба передачи (BITS) (BITS) - Служба остановлена
Оптимизация доставки (DoSvc) - Служба остановлена
Служба оркестратора обновлений (UsoSvc) - Служба остановлена
Служба Medic центра обновления Windows (WaaSMedicSvc) - Служба остановлена
Центр обновления Windows (wuauserv) - Служба остановлена
------------------------------- [ HotFix ] --------------------------------
HotFix KB5063709 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
-------------------------- [ SecurityUtilities ] --------------------------
Unlocker v.1.9.2
--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.8.6.9 Внимание! Скачать обновления
AIDA64 Extreme v7.35 v.7.35 Внимание! Скачать обновления
AnyDesk v.ad 9.5.11
Steam v.2.10.91.91
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35211 v.14.44.35211.0
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35211 v.14.44.35211.0
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 23.01 (x64) v.23.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
7-Zip 24.07 (x64 edition) v.24.07.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9153 Внимание! Скачать обновления
Telegram Desktop v.6.0.2
---------------------------- [ ProxyAndVPNs ] -----------------------------
Radmin VPN 1.4.1 v.1.4.4642.1
--------------------------------- [ P2P ] ---------------------------------
qBittorrent v.4.6.4 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.21
AIMP v.5.30.2560 Внимание! Скачать обновления
^Внимание! Данный установщик устанавливает сторонние программы. Снимайте галочки или нажимайте Отмена в соответствующих окнах установщика.^
K-Lite Codec Pack 18.4.5 Full v.18.4.5 Внимание! Скачать обновления
OBS Studio v.30.1.1
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 ru) v.142.0
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.39 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
CCleaner Performance Optimizer Service (CCleanerPerformanceOptimizerService) - Служба остановлена
----------------------------- [ End of Log ] ------------------------------

 

[akok]

По возможности исправьте найденное. И на этом все.