Показано с 1 по 16 из 16.

Процессор видеокарты грузится на 100% в простое [not-a-virus:RiskTool.Win64.BitCoinMiner.ayo ] (заявка № 204976)

  1. #1
    Junior Member Репутация
    Регистрация
    19.10.2016
    Сообщений
    8
    Вес репутации
    28

    Thumbs up Процессор видеокарты грузится на 100% в простое [not-a-virus:RiskTool.Win64.BitCoinMiner.ayo ]

    Добрый день!

    Пару дней назад обратил внимание, что в простое ноутбука Dell XPS L702x сильно шумят вентиляторы. Диспетчер задач (W10 x64) не показал процесс, так сильно нагружающий CPU. Стал разбираться, что грузит систему и утилита GPU-Z показала значение GPU load в 99-100%.
    В аналогичных запросах на вашей сайте нашел, что дело может быть в майнере, использующем ресурсы GPU, поэтому проверил ПК установленным ESET SS v.9.0.402.1 со свежими базами, но он ничего не нашел. Далее, скачал и в безопасном режиме запустил Cure It!, он нашел несколько adware и unwanted, после перезагрузки в обычный режим проблема сохранилась. Собственно, если сразу после старта ОС физически отключить сеть, то нагрузки на GPU не происходит; как только подключаю Инет, через 8-12 минут нагрузка на GPU 98-100%.
    Логи в прицепе.

    Заранее спасибо!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,286
    Вес репутации
    378
    Уважаемый(ая) vsemin, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,459
    Вес репутации
    1058
    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('C:\Users\Calisto\AppData\Local\aotl\WECUTIL\wecutil.exe');
     QuarantineFile('C:\Users\Calisto\AppData\Local\aotl\WECUTIL\wecutil.exe', '');
     QuarantineFile('C:\Program Files (x86)\IObit\IObit', '');
     QuarantineFile('C:\Program Files (x86)\IObit\Driver', '');
     DeleteFile('C:\WINDOWS\Tasks\Uninstaller_SkipUac_Calisto.job', '64');
     DeleteFile('C:\Users\Calisto\AppData\Local\aotl\WECUTIL\wecutil.exe', '32');
     DeleteFile('C:\Program Files (x86)\IObit\IObit', '32');
     DeleteFile('C:\Program Files (x86)\IObit\Driver', '32');
     DeleteFileMask('c:\users\calisto\appdata\local\mail.ru', '*', true);
     DeleteFileMask('c:\users\calisto\appdata\local\aotl\wecutil', '*', true);
     DeleteFileMask('c:\program files (x86)\iobit', '*', true);
     DeleteDirectory('c:\users\calisto\appdata\local\aotl\wecutil');
     DeleteDirectory('c:\program files (x86)\iobit');
     ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster Scheduler" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster SkipUAC (Calisto)" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Event Collector Command Line Utility" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Uninstaller_SkipUac_Calisto" /F', 0, 15000, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

    Сделайте лог AdwCleaner (by Xplode).
    WBR,
    Vadim

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    19.10.2016
    Сообщений
    8
    Вес репутации
    28
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('C:\Users\Calisto\AppData\Local\aotl\WECUTIL\wecutil.exe');
     QuarantineFile('C:\Users\Calisto\AppData\Local\aotl\WECUTIL\wecutil.exe', '');
     QuarantineFile('C:\Program Files (x86)\IObit\IObit', '');
     QuarantineFile('C:\Program Files (x86)\IObit\Driver', '');
     DeleteFile('C:\WINDOWS\Tasks\Uninstaller_SkipUac_Calisto.job', '64');
     DeleteFile('C:\Users\Calisto\AppData\Local\aotl\WECUTIL\wecutil.exe', '32');
     DeleteFile('C:\Program Files (x86)\IObit\IObit', '32');
     DeleteFile('C:\Program Files (x86)\IObit\Driver', '32');
     DeleteFileMask('c:\users\calisto\appdata\local\mail.ru', '*', true);
     DeleteFileMask('c:\users\calisto\appdata\local\aotl\wecutil', '*', true);
     DeleteFileMask('c:\program files (x86)\iobit', '*', true);
     DeleteDirectory('c:\users\calisto\appdata\local\aotl\wecutil');
     DeleteDirectory('c:\program files (x86)\iobit');
     ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster Scheduler" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster SkipUAC (Calisto)" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Event Collector Command Line Utility" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Uninstaller_SkipUac_Calisto" /F', 0, 15000, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

    Сделайте лог AdwCleaner (by Xplode).
    Эти действия необходимо выполнить в момент когда GPU уже нагружен до 100% или с отключенным Инетом?

  7. #5
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Цитата Сообщение от vsemin Посмотреть сообщение
    Эти действия необходимо выполнить в момент когда GPU уже нагружен до 100% или с отключенным Инетом?
    Дожидаться загрузки и отключать инет не надо.
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    19.10.2016
    Сообщений
    8
    Вес репутации
    28
    Сделал все по пунктам.
    Вложения Вложения

  10. #7
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  11. #8
    Junior Member Репутация
    Регистрация
    19.10.2016
    Сообщений
    8
    Вес репутации
    28
    Удалил все папки, кроме mail.ru (у меня стоит парочка игр от них), лог прицепил.

    update. Уже почти час нагрузка на GPU в простое не превышает минимального значения, похоже проблема решена?
    Вложения Вложения
    Последний раз редактировалось vsemin; 20.10.2016 в 21:41.

  12. #9
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
    • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
    5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
    6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  13. #10
    Junior Member Репутация
    Регистрация
    19.10.2016
    Сообщений
    8
    Вес репутации
    28
    Сделал, отчеты в прицепе.
    Вложения Вложения
    • Тип файла: rar FRST.rar (60.6 Кб, 2 просмотров)

  14. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,459
    Вес репутации
    1058
    Удалите GeekBuddy, точно никогда не будете пользоваться.

    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    CreateRestorePoint:
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Start GeekBuddy.lnk [2016-10-20]
    GroupPolicy: Restriction - Windows Defender <======= ATTENTION
    GroupPolicy\User: Restriction <======= ATTENTION
    FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811005
    FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B5B486FA5-8B1F-4386-AAE8-E84354AAABB7%7D&gp=811006
    CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811005"
    CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/search?q={searchTerms}&fr=chxtn7.0.25__PARAM__
    CHR DefaultSearchKeyword: Default -> mail.ru
    CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
    CHR HKU\S-1-5-21-428093973-3867818420-1296497975-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-428093973-3867818420-1296497975-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-428093973-3867818420-1296497975-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] - hxxp://clients2.google.com/service/update2/crx
    R2 GeekBuddyRSP; C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe [2485904 2016-08-05] (Comodo Security Solutions, Inc.)
    S2 gamexpsvc; "C:\Program Files (x86)\GameXPService\gamexpsvc.exe" [X]
    2015-12-10 21:37 - 2015-12-10 21:37 - 6420480 _____ () C:\Program Files (x86)\GUT62CE.tmp
    2015-08-19 20:02 - 2014-09-24 16:48 - 0256288 ____H (NVIDIA Corporation) C:\Users\Calisto\AppData\Roaming\cudart32_60.dll
    2015-08-19 20:02 - 2014-09-24 16:48 - 1171456 ____H (The OpenSSL Project, http://www.openssl.org/) C:\Users\Calisto\AppData\Roaming\libeay32.dll
    2015-08-19 20:02 - 2014-09-24 16:48 - 0535008 ____H (Microsoft Corporation) C:\Users\Calisto\AppData\Roaming\msvcp110.dll
    2015-08-19 20:02 - 2014-09-24 16:48 - 0875472 ____H (Microsoft Corporation) C:\Users\Calisto\AppData\Roaming\msvcr110.dll
    2015-08-19 20:02 - 2014-09-24 16:48 - 4600320 ____H (Digia Plc and/or its subsidiary(-ies)) C:\Users\Calisto\AppData\Roaming\Qt5Core.dll
    2015-08-19 20:02 - 2014-09-24 16:48 - 0846336 ____H (Digia Plc and/or its subsidiary(-ies)) C:\Users\Calisto\AppData\Roaming\Qt5Network.dll
    2015-08-19 20:02 - 2014-09-24 16:48 - 0102400 ____H (Digia Plc and/or its subsidiary(-ies)) C:\Users\Calisto\AppData\Roaming\Qt5WebSockets.dll
    2015-08-19 20:02 - 2014-09-24 16:48 - 0270336 ____H (The OpenSSL Project, http://www.openssl.org/) C:\Users\Calisto\AppData\Roaming\ssleay32.dll
    2015-08-19 20:02 - 2014-09-24 16:48 - 0252400 ____H (Microsoft Corporation) C:\Users\Calisto\AppData\Roaming\vccorlib110.dll
    Task: {0A121204-094B-42C7-B340-6E2952628A37} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
    Task: {15014C61-901F-450F-802F-8B780EA9D5B8} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
    Task: {29FE9E40-F05A-45D3-A86C-F4B682BD9D14} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
    Task: {2F77D1CC-3B98-4C17-B829-C7B69C121BF1} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
    Task: {430CC8E5-9963-477B-917F-7B20579D526F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
    Task: {5FE55B10-76C6-4FAD-9512-5B8F20C3A2C0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
    Task: {61005119-1693-4548-BB9D-C878CD11D8C5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
    Task: {61F67771-8A32-4CCF-99DC-EA7B74F3E7CF} - System32\Tasks\GameXPService Autoupdate => C:\Program Files (x86)\GameXPService\gamexpsvc.exe
    Task: {646BE7B1-1A79-4D66-9EB5-F64AA1F50D1C} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
    Task: {65BE6FCE-8717-4B6A-B234-09F70274E230} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
    Task: {9C965A07-8FFD-4552-BA61-BC291861482D} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
    Task: {A6EC3DF9-024C-432C-88FE-9B33574EFB98} - System32\Tasks\GPU Temp\Startup => C:\Program Files (x86)\GPU Temp\GPUTemp.exe
    Task: {E71A0D8C-641F-4CF6-8CD5-E006FF7F5378} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
    FirewallRules: [{F21651E9-1024-4D09-92BB-0226D58A7F49}] => (Allow) C:\GameXP\AccessPoint\accesspoint-bin.exe
    FirewallRules: [{0EF574D4-AC34-4C39-BB96-D0E717DF1883}] => (Allow) C:\GameXP\AccessPoint\accesspoint-bin.exe
    FirewallRules: [{C088FA23-A631-4C07-BBF8-F7AFB98515A6}] => (Allow) C:\GameXP\AccessPoint\accesspoint.exe
    FirewallRules: [{A368CD61-224C-4702-84A0-8BCFB9605F9A}] => (Allow) C:\GameXP\AccessPoint\accesspoint.exe
    FirewallRules: [{187E0507-C553-4E5D-9971-F65B67E254DB}] => (Allow) C:\Program Files\UBar\ubar.exe
    EmptyTemp:
    Reboot:
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
    Отключите до перезагрузки антивирус, HIPS и AutoSandbox в Comodo, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    В Яндекс Браузер отключите расширения, которые сами не устанавливали, проверьте стартовые страницы и настройки поиска - утилит для этого не существует.

    Сообщите, что с проблемой.
    WBR,
    Vadim

  15. #12
    Junior Member Репутация
    Регистрация
    19.10.2016
    Сообщений
    8
    Вес репутации
    28
    Все сделал по инструкции, но fixlog.txt не создался, специально по всем дискам поиском прошел...

  16. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,459
    Вес репутации
    1058
    Значит, не всё по инструкции сделали.
    Утилита у Вас запускалась из D:\Distrib - туда же и fixlist.txt надо было класть, там же и Fixlog.txt должен появиться. В Comodo всё, как я написал, отключали?
    Система перезагрузилась?
    WBR,
    Vadim

  17. #14
    Junior Member Репутация
    Регистрация
    19.10.2016
    Сообщений
    8
    Вес репутации
    28
    Комодо я вообще вырубил, не стоило? Остальное по инструкции...

    update. Прошло более 2 часов работы в сети - нагрузки на GPU нет, только в играх.
    Последний раз редактировалось vsemin; 21.10.2016 в 00:49.

  18. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,459
    Вес репутации
    1058
    Вообще вырубать - не надо, я просил на время фикса.

    Рекомендую почитать: Блог о Comodo: Особенности работы, советы по настройке и решению проблем.

    Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).

    Удалите папку C:\FRST со всем содержимым.

    Выполните рекомендации после лечения.

  19. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\users\calisto\appdata\local\aotl\wecutil\wecuti l.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.ayo


  • Уважаемый(ая) vsemin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 11
      Последнее сообщение: 05.02.2016, 23:18
    2. Ответов: 5
      Последнее сообщение: 07.01.2016, 19:19
    3. Ответов: 13
      Последнее сообщение: 18.11.2015, 20:37
    4. Ответов: 7
      Последнее сообщение: 18.11.2015, 01:35
    5. Ответов: 7
      Последнее сообщение: 13.11.2015, 22:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01114 seconds with 20 queries