Скрытый майнер?

@aliska24 · Регистрация: 31.10.2016

Студворк — интернет-сервис помощи студентам

Добрый день!

Грелся проц в отсутствие нагрузки, сегодня поняла, что при запуске диспетчера задач греться перестает, а сам диспетчер задач закрывается без меня.
не получилось запустить avz никаким образом из мне доступных, пробовала отключать защитник и брэндмауэр, переименовывать помогает для запуска, но скрипт не выполняется после запуска хрома и интернет эксплорера.
логи, которые удалось собрать, прилагаю.

Помогите пожалуйста.

@severnyj · 10.09.2019, 20:11

Пролечитесь с помощью KVRT: https://support.kaspersky.ru/viruses/kvrt2015

Затем попробуйте собрать логи Autologger

@aliska24 · 10.09.2019, 21:08 **[ТС]**

Скачала, запустить удается только запустив диспетчер задач, но сканировать он не сканирует, все вырубается, как ни вертись. Нашла дату, когда вся эта красота в системе прописалась, нашла миллиард файлов очевидно вредоносного назначения и неудаляемое невидимое расширение-майнер в хроме. По-простому не удаляется.

@severnyj · 10.09.2019, 21:16

Попробуйте запустить из безопасного режима Windows

Как запустить безопасный режим (Safe Mode)

@aliska24 · 10.09.2019, 22:45 **[ТС]**

в безопасном режиме не вылетает, но проверка не запускается. я еще раз попробую

Добавлено через 26 минут
не запускается никак.

Добавлено через 38 секунд
и при попытке скачать др веб с оф сайта просто закрывает окна всех браузеров

@aliska24 · 10.09.2019, 22:59 **[ТС]**

Единственное, что смогла запустить, почитав похожие темы: FRST, он ничего не нашел.

@aliska24 · 10.09.2019, 23:14 **[ТС]**

Zemana работает и что-то нашла

@aliska24 · 10.09.2019, 23:37 **[ТС]**

итак, вожделенные логи, после работы Zemana
пока что диспетчер задач перестал вылетать. и антивирусы скачиваются. KVRT все равно не работает.

@severnyj · 12.09.2019, 20:30

Извиняюсь за задержку, болею, вчера не в состоянии был ответить.

Отключите до перезагрузки антивирус.
Выделите следующий код:

Code
Start::
CreateRestorePoint:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
(Realtek Semiconductor) [File not signed] C:\ProgramData\RealtekHD\taskhostw.exe
C:\ProgramData\RealtekHD\
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\RunOnce: [{16DE13A1-95A5-48A1-85FA-2B310169B322}] => cmd.exe /C start /D "C:\Users\Admin\AppData\Local\Temp" /B {16DE13A1-95A5-48A1-85FA-2B310169B322}.cmd
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-787769579-3362747239-2652701825-1000\...\MountPoints2: {4486a6d5-8d82-11e8-93bb-d850e6543ecb} - E:\setup.exe
HKU\S-1-5-21-787769579-3362747239-2652701825-1000\...\MountPoints2: {4486a6db-8d82-11e8-93bb-d850e6543ecb} - F:\javaViewer-win32.exe
HKU\S-1-5-21-787769579-3362747239-2652701825-1000\...\MountPoints2: {7bc4b9b2-3a60-11e9-ab22-d850e6543ecb} - E:\HiSuiteDownLoader.exe
HKU\S-1-5-21-787769579-3362747239-2652701825-1000\...\MountPoints2: {9946a7db-ca16-11e9-bd16-d850e6543ecb} - H:\javaViewer-win32.exe
HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [11] Cube.exe
GroupPolicy: Restriction ? <==== ATTENTION
Task: {3B734C66-467D-4E27-87B3-D4334FB7EF58} - System32\Tasks\Microsoft\Windows\Wininet\Cleaner => C:\Programdata\WindowsTask\winlogon.exe [390144 2019-04-19] () [File not signed] <==== ATTENTION
C:\Programdata\WindowsTask\
Task: {E4080FB6-7CC1-47E6-867F-7E0B21876CE7} - System32\Tasks\Microsoft\Windows\Wininet\SystemC => C:\Programdata\RealtekHD\taskhostw.exe [2084864 2019-08-26] (Realtek Semiconductor) [File not signed] <==== ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] - hxxps://clients2.google.com/service/update2/crx
S2 RManService; C:\ProgramData\Windows\rutserv.exe [X]
S1 jeobvrai; \??\C:\Windows\system32\drivers\jeobvrai.sys [X]
2019-09-01 18:28 - 2019-09-10 00:51 - 011025408 _____ C:\Users\Все пользователи\temp5.exe
2019-09-01 18:28 - 2019-09-10 00:51 - 011025408 _____ C:\ProgramData\temp5.exe
2019-08-21 11:50 - 2019-08-27 11:23 - 001949696 _____ C:\Users\Все пользователи\Super64_v42.exe
2019-08-21 11:50 - 2019-08-27 11:23 - 001949696 _____ C:\ProgramData\Super64_v42.exe
2019-08-20 11:00 - 2019-08-20 11:03 - 000002020 ____H C:\Users\Admin\Documents\Default.rdp
2019-09-11 00:29 - 2019-08-11 16:20 - 000000400 __RSH C:\Users\Все пользователи\ntuser.pol
2019-09-11 00:29 - 2019-08-11 16:20 - 000000400 __RSH C:\ProgramData\ntuser.pol
2019-09-11 00:29 - 2019-08-09 21:40 - 000000000 __SHD C:\Users\Все пользователи\WindowsTask
2019-09-11 00:29 - 2019-08-09 21:40 - 000000000 __SHD C:\ProgramData\WindowsTask
2019-09-10 22:56 - 2019-08-09 21:40 - 000000000 __SHD C:\Users\Все пользователи\Windows
2019-09-10 22:56 - 2019-08-09 21:40 - 000000000 __SHD C:\ProgramData\Windows
2019-08-21 11:50 - 2019-08-27 11:23 - 001949696 _____ () C:\ProgramData\Super64_v42.exe
2019-09-01 18:28 - 2019-09-10 00:51 - 011025408 _____ () C:\ProgramData\temp5.exe
2019-08-11 12:07 - 2019-08-19 00:07 - 001912832 _____ () C:\ProgramData\temp8.exe
2019-08-09 21:40 - 2019-08-19 00:07 - 007181824 _____ () C:\ProgramData\temp9.exe
2019-08-21 11:50 - 2019-08-27 11:23 - 001949696 _____ () C:\Users\Все пользователи\Super64_v42.exe
2019-09-01 18:28 - 2019-09-10 00:51 - 011025408 _____ () C:\Users\Все пользователи\temp5.exe
2019-08-11 12:07 - 2019-08-19 00:07 - 001912832 _____ () C:\Users\Все пользователи\temp8.exe
2019-08-09 21:40 - 2019-08-19 00:07 - 007181824 _____ () C:\Users\Все пользователи\temp9.exe
2019-08-09 21:41 C:\Program Files\AVAST Software
2019-08-09 21:41 C:\Program Files\AVG
2019-08-09 21:41 C:\Program Files\ByteFence
2019-08-09 21:41 C:\Program Files\Cezurity
2019-08-09 21:41 C:\Program Files\COMODO
2019-08-09 21:41 C:\Program Files\Enigma Software Group
2019-08-09 21:41 C:\Program Files\ESET
2019-08-09 21:41 C:\Program Files\Kaspersky Lab
2019-08-09 21:41 C:\Program Files\Malwarebytes
2019-08-09 21:41 C:\Program Files\SpyHunter
2019-08-09 21:41 C:\Program Files (x86)\360
2019-08-09 21:41 C:\Program Files (x86)\AVAST Software
2019-08-09 21:41 C:\Program Files (x86)\AVG
2019-08-09 21:41 C:\Program Files (x86)\Cezurity
2019-08-09 21:41 C:\Program Files (x86)\GRIZZLY Antivirus
2019-08-09 21:41 C:\Program Files (x86)\Kaspersky Lab
2019-08-09 21:41 C:\Program Files (x86)\Microsoft JDX
2019-08-09 21:41 C:\Program Files (x86)\Panda Security
2019-08-09 21:41 C:\Program Files (x86)\SpyHunter
2019-08-09 21:41 C:\Program Files (x86)\Zaxar
2019-08-20 17:25 - 2019-08-09 21:41 - 000000000 __SHD C:\Users\Все пользователи\AVAST Software
2019-08-20 17:25 - 2019-08-09 21:41 - 000000000 __SHD C:\ProgramData\AVAST Software
2019-08-09 21:41 C:\Program Files\Common Files\McAfee
2019-08-09 21:41 C:\ProgramData\360safe
2019-08-20 17:25 C:\ProgramData\AVAST Software
2019-08-09 21:41 C:\ProgramData\Avira
2019-08-09 21:41 C:\ProgramData\Doctor Web
2019-08-09 21:41 C:\ProgramData\Driver Foundation Visions VHG
2019-08-09 21:41 C:\ProgramData\ESET
2019-08-09 21:41 C:\ProgramData\grizzly
2019-08-09 21:41 C:\ProgramData\Indus
2019-08-09 21:41 C:\ProgramData\Kaspersky Lab
2019-08-09 21:41 C:\ProgramData\Kaspersky Lab Setup Files
2019-08-09 21:41 C:\ProgramData\Malwarebytes
2019-08-09 21:41 C:\ProgramData\MB3Install
2019-08-09 21:41 C:\ProgramData\McAfee
2019-08-09 21:41 C:\ProgramData\Norton
2019-08-09 21:41 C:\Users\Все пользователи\360safe
2019-08-20 17:25 C:\Users\Все пользователи\AVAST Software
2019-08-09 21:41 C:\Users\Все пользователи\Avira
2019-08-09 21:41 C:\Users\Все пользователи\Doctor Web
2019-08-09 21:41 C:\Users\Все пользователи\Driver Foundation Visions VHG
2019-08-09 21:41 C:\Users\Все пользователи\ESET
2019-08-09 21:41 C:\Users\Все пользователи\grizzly
2019-08-09 21:41 C:\Users\Все пользователи\Indus
2019-08-09 21:41 C:\Users\Все пользователи\Kaspersky Lab
2019-08-09 21:41 C:\Users\Все пользователи\Kaspersky Lab Setup Files
2019-08-09 21:41 C:\Users\Все пользователи\Malwarebytes
2019-08-09 21:41 C:\Users\Все пользователи\MB3Install
2019-08-09 21:41 C:\Users\Все пользователи\McAfee
2019-08-09 21:41 C:\Users\Все пользователи\Norton
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name="BVTConsumer"",Filter="__EventFilter.Name="BVTFilter"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

@aliska24 · 13.09.2019, 15:17 **[ТС]**

Спасибо, сделала.

@severnyj · 13.09.2019, 19:45

Попробуйте снова запустить KVRT

Новые блоги и статьи Все статьи Все блоги /
Новый CodeBlocs. Версия 25.03 palva 04.01.2026 Оказывается, недавно вышла новая версия CodeBlocks за номером 25. 03. Когда-то давно я возился с только что вышедшей тогда версией 20. 03. С тех пор я давно снёс всё с компьютера и забыл. Теперь. . .	Модель микоризы: классовый агентный подход anaschu 02.01.2026 Раньше это было два гриба и бактерия. Теперь три гриба, растение. И на уровне агентов добавится между грибами или бактериями взаимодействий. До того я пробовал подход через многомерные массивы,. . .	Учёным и волонтёрам проекта «Einstein@home» удалось обнаружить четыре гамма-лучевых пульсара в джете Млечного Пути Programma_Boinc 01.01.2026 Учёным и волонтёрам проекта «Einstein@home» удалось обнаружить четыре гамма-лучевых пульсара в джете Млечного Пути Сочетание глобально распределённой вычислительной мощности и инновационных. . .	Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .
Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .	PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .

@severnyj 6256 / 2777 / 546 Регистрация: 04.04.2012 Сообщений: 10,127
	10.09.2019, 20:11
	Пролечитесь с помощью KVRT: https://support.kaspersky.ru/viruses/kvrt2015 Затем попробуйте собрать логи Autologger 0

@aliska24 0 / 0 / 0 Регистрация: 31.10.2016 Сообщений: 20
	10.09.2019, 21:08 [ТС]
	Скачала, запустить удается только запустив диспетчер задач, но сканировать он не сканирует, все вырубается, как ни вертись. Нашла дату, когда вся эта красота в системе прописалась, нашла миллиард файлов очевидно вредоносного назначения и неудаляемое невидимое расширение-майнер в хроме. По-простому не удаляется. 0

@severnyj 6256 / 2777 / 546 Регистрация: 04.04.2012 Сообщений: 10,127
	10.09.2019, 21:16
	Попробуйте запустить из безопасного режима Windows Как запустить безопасный режим (Safe Mode) 0

@aliska24 0 / 0 / 0 Регистрация: 31.10.2016 Сообщений: 20
	10.09.2019, 22:45 [ТС]
	в безопасном режиме не вылетает, но проверка не запускается. я еще раз попробую Добавлено через 26 минут не запускается никак. Добавлено через 38 секунд и при попытке скачать др веб с оф сайта просто закрывает окна всех браузеров 0

@aliska24 0 / 0 / 0 Регистрация: 31.10.2016 Сообщений: 20
	10.09.2019, 23:14 [ТС]
	Zemana работает и что-то нашла 0

@severnyj 6256 / 2777 / 546 Регистрация: 04.04.2012 Сообщений: 10,127
	13.09.2019, 19:45
	Попробуйте снова запустить KVRT 0