Поймал вирус майнер. Не помогает Malwarebytes

@cybersamuray · Регистрация: 30.07.2021

Студворк — интернет-сервис помощи студентам

Здравствуйте. По собственной глупости скачал файл с не проверенного сайта и подхватил вирус - майнер как оказалось позже.
Обратил внимание когда компьютер сам по себе начал очень шумно работать и греться. В диспетчере задач никаких процессов загружающих систему не оказалось однако после 1-2 ух минут работы диспетчера он автоматически закрывается.
Начал поиск решений в интернете, скачал Malwarebytes и провел сканирование которое обнаружило файлы с пометкой miner соответственно я их поместил в карантин и перезагрузил компьютер. После чего снова запустил программу и провел сканирование которое ничего не обнаружило. Но проблема никуда не исчезла и ноутбук по прежнему при отсутствии запущенных программ работает очень шумно и греется. Хотя буквально вчера такой проблемы не было. Еще при запуске OSD панели в Аиде
загрузка ГП каждые 5-7 секунд прыгает от 0% до 90% с разными значениями хотя открыт только Гугл Хром .

@Sandor · 30.07.2021, 08:11

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя cybersamuray. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
1
2
3
4
5
6
7
8
9
10
11
12
begin
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Web Companion', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Web Companion', 'x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'WindowsDefender', 'x64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 ExecuteRepair(9);
RebootWindows(false);
end.

Компьютер перезагрузится.

"Пофиксите" в HijackThis:

Code
1
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

Подготовьте новый CollectionLog.

@cybersamuray · 30.07.2021, 08:42 **[ТС]**

Выполнил оба пункта. Прилагаю новый лог

@Sandor · 30.07.2021, 09:07

Подготовьте и прикрепите лог сканирования AdwCleaner.

@cybersamuray · 30.07.2021, 09:19 **[ТС]**

Прикрепил

@Sandor · 30.07.2021, 09:20

1.

Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
- Сбросить политики IE
- Сбросить политики Chrome
В меню Информационная панель нажмите Запустить проверку.
По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.
(Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@cybersamuray · 30.07.2021, 09:33 **[ТС]**

Выполнил

@Sandor · 30.07.2021, 09:42

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2399328186-3490709183-942983688-1002\...\Run: [utweb] => "C:\Users\Хозяин\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2399328186-3490709183-942983688-1002\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
C:\Users\Хозяин\AppData\Local\Google\Chrome\User Data\Default\Extensions\emikbbbebcdfohonlaifafnoanocnebl
2021-07-30 09:30 - 2021-07-30 09:32 - 000000000 ____D C:\ProgramData\HitmanPro
2021-07-29 19:43 - 2021-07-30 08:54 - 000000000 __SHD C:\ProgramData\Win32
2021-07-29 19:36 - 2021-07-30 08:54 - 000000000 __SHD C:\ProgramData\RealtekHD
2021-07-29 19:36 - 2021-07-29 19:36 - 000000000 __SHD C:\ProgramData\RunDLL
FirewallRules: [{4638FEEE-C851-42C2-94B4-031A5BCF76CF}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{2F8CD6D6-78DE-497B-94CC-9D7C0AF84DF2}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{5D649923-5355-4647-B397-104D44F7E98A}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{A70B2FD1-ECBE-4141-B32E-76DCD7A8381E}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{6B1BCC25-5C10-48D2-A506-54509629E1CE}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
FirewallRules: [{B465C82D-3DD8-41FA-9EA2-1681E6A8622C}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
FirewallRules: [{116383F8-60EB-4213-832F-6D52ED522514}] => (Allow) LPort=9393
FirewallRules: [{0280C2B3-690D-40E7-8C0F-C1A94E770064}] => (Allow) LPort=9494
FirewallRules: [{6E1F4343-A735-4F80-B326-9046CAAF6508}] => (Allow) LPort=9494
FirewallRules: [{5547C4B5-EAB2-4512-B76E-B4EAD3D7DEBD}] => (Allow) LPort=9393
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@cybersamuray · 30.07.2021, 10:10 **[ТС]**

Сделал

@Sandor · 30.07.2021, 10:14

Что сейчас из проблем осталось?

@cybersamuray · 30.07.2021, 10:19 **[ТС]**

Вроде никаких проблем не осталось, кулера не шумят, компьютер не греется. Спасибо!!!!

@Sandor · 30.07.2021, 10:32

Хорошо, завершаем:

1.

Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@cybersamuray · 30.07.2021, 10:59 **[ТС]**

сделал

@Sandor · 30.07.2021, 11:02

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46016 Внимание! Клиент сети P2P с рекламным модулем!.

Читайте Рекомендации после удаления вредоносного ПО

Новые блоги и статьи Все статьи Все блоги /
Новый CodeBlocs. Версия 25.03 palva 04.01.2026 Оказывается, недавно вышла новая версия CodeBlocks за номером 25. 03. Когда-то давно я возился с только что вышедшей тогда версией 20. 03. С тех пор я давно снёс всё с компьютера и забыл. Теперь. . .	Модель микоризы: классовый агентный подход anaschu 02.01.2026 Раньше это было два гриба и бактерия. Теперь три гриба, растение. И на уровне агентов добавится между грибами или бактериями взаимодействий. До того я пробовал подход через многомерные массивы,. . .	Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .	Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .

@Sandor 22433 / 15890 / 3076 Регистрация: 08.10.2012 Сообщений: 64,745
	30.07.2021, 09:07
	Подготовьте и прикрепите лог сканирования AdwCleaner. 0

@Sandor 22433 / 15890 / 3076 Регистрация: 08.10.2012 Сообщений: 64,745
	30.07.2021, 09:20
	1. Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению: Сбросить политики IE Сбросить политики Chrome В меню Информационная панель нажмите Запустить проверку. По окончании нажмите кнопку Карантин и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. (Обратите внимание - C и S - это разные буквы). Внимание: Для успешного удаления нужна перезагрузка компьютера!!! 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 22433 / 15890 / 3076 Регистрация: 08.10.2012 Сообщений: 64,745
	30.07.2021, 10:14
	Что сейчас из проблем осталось? 1

@cybersamuray 0 / 0 / 0 Регистрация: 30.07.2021 Сообщений: 9
	30.07.2021, 10:19 [ТС]
	Вроде никаких проблем не осталось, кулера не шумят, компьютер не греется. Спасибо!!!! 0

@Sandor 22433 / 15890 / 3076 Регистрация: 08.10.2012 Сообщений: 64,745
	30.07.2021, 10:32
	Хорошо, завершаем: 1. Пожалуйста, запустите adwcleaner.exe В меню Параметры прокрутите вниз и выберите Удалить. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 22433 / 15890 / 3076 Регистрация: 08.10.2012 Сообщений: 64,745
	30.07.2021, 11:02
	------------------------------- [ Windows ] ------------------------------- Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.5.46016 Внимание! Клиент сети P2P с рекламным модулем!. Читайте Рекомендации после удаления вредоносного ПО 0