Здравствуйте.Помогите вычислить,вероятно,вредоносное ПО.При установке различных программ на новый ноутбук (мю торрент,архиватор,КМС активатор) внезапно стал постоянно шуметь ноутбук.Шумит обычно только при подключённом интернете.Диспетчер задач показывает 100 % загрузку ЦП и тут же загрузка снижается,шум прекращается.Редактор реестра открывается и тут же закрывается.При попытке установить ту же NetFrameWork 3.5 (нужна для одного,старого приложения) центр обновлений виндовс начинает загрузку и прекращает её с ошибкой.

Уважаемый(ая) Aleksey1993, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи (https://virusinfo.info/pravila.html).

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+ (https://virusinfo.info/content.php?r=613-sub_pomogite).

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект (https://virusinfo.info/content.php?r=113-virusinfo.info-donate).

Здравствуйте!



КМС активатор
Это и есть вероятнее всего источник. Т.е. майнер шёл с ним в комплекте.

Временно отключите защитное ПО (https://virusinfo.info/showthread.php?t=130828).
Выполните скрипт в AVZ (https://virusinfo.info/showthread.php?t=7239):


begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\ProgramData\Google\Chrome\updat er.exe', '');
QuarantineFile('C:\ProgramData\xxubhctopuuh\uqpllc tchben.exe', '');
DeleteFile('C:\ProgramData\Google\Chrome\updater.e xe', '64');
DeleteFile('C:\ProgramData\xxubhctopuuh\uqpllctchb en.exe', '64');
DeleteService('GoogleUpdateTaskMachineQC');
DeleteService('XPMMCKSP');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Interne t Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Interne t Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Interne t Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Interne t Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Interne t Settings\Zones\3\', '2201', 3);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


Компьютер перезагрузится.


Дополнительно:
Скачайте Farbar Recovery Scan Tool (https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Утилита Farbar установилась,запускается и тут же закрывается.Сам ноутбук очень медленно заходит на данный сайт.Что интересно,с персонального компьютера в гуглхроме,войдя в свою учётную запись,я тоже не смог зайти на данный сайт.Только через �ридиум браузер.

- - - - -Добавлено - - - - -

Утилита Farbar запускается и тут же закрывается.Не знаю как отправилось предыдущее сообщение.Писал примерно о том же.Писал с персонального ПК.

Антивирус отключаете перед запуском?
Переименуйте её FRST64.exe -> FRSTEnglish.exe и пробуйте запустить.

Переназвание помогло запустить программу.Выкладываю txt файлы

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.
Выделите следующий код:


Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2023-06-09] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1519616 2023-06-09] (Microsoft Windows -> Microsoft Corporation)
S2 GoogleUpdateTaskMachineQC; C:\ProgramData\Google\Chrome\updater.exe [2727704 2025-03-27] (Google LLC -> Google Inc.) [File not signed] <==== ATTENTION
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [570368 2023-06-09] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2023-06-09] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3447296 2023-06-09] (Microsoft Windows -> Microsoft Corporation)
C:\ProgramData\Google\Chrome\updater.exe
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::


Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.


Скачайте этот архив (https://disk.yandex.ru/d/ioc5fijaNhA4GA), извлеките из него reg-файлы и запустите последовательно каждый, соглашаясь с внесением изменений в реестр.
Перезагрузите компьютер.

Сделайте дополнительно:
Скачайте Farbar Service Scanner ('https://www.bleepingcomputer.com/download/farbar-service-scanner/dl/62/')

Запустите.
Убедитесь, что отмечены пункты:

Internet Services
Windows Firewall
System Restore
Security Center/Action Center
Windows Update
Windows Defender

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

Удалите старые и соберите новые логи FRST.txt и Addition.txt

Скопировал текст.Запустил FRST,нажал FIX .Компьютер автоматически перезагрузился.Пока шум продолжается.Прикрепляю FixLog

- - - - -Добавлено - - - - -

Файлы реестра запускаются и тут же закрываются.

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

Удалите старые и соберите новые логи FRST.txt и Addition.txt
Это тоже сделайте, пожалуйста.

Новые логи собрал.Вот,пожалуйста.

Следующий скрипт выполните в безопасном режиме.

Отключите до перезагрузки антивирус.
Выделите следующий код:


Start::
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Restriction <==== ATTENTION
U3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3447296 2023-06-09] (Microsoft Windows -> Microsoft Corporation)
S2 XPMMCKSP; C:\ProgramData\xxubhctopuuh\uqpllctchben.exe [786432000 2025-03-27] (Microsoft Corporation) [File not signed] <==== ATTENTION <==== ATTENTION
C:\ProgramData\xxubhctopuuh\uqpllctchben.exe
Folder: C:\ProgramData\xxubhctopuuh\
2025-03-27 01:33 - 2025-03-27 01:33 - 000000000 ____D C:\ProgramData\Avast Software
Reboot:
End::


Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора (если уже его закрыли).
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

После перезагрузки в нормальном режиме:


Сделайте дополнительно:
Скачайте Farbar Service Scanner (https://www.bleepingcomputer.com/download/farbar-service-scanner/dl/62/)

Запустите.
Убедитесь, что отмечены пункты:
Internet Services
Windows Firewall
System Restore
Security Center/Action Center
Windows Update
Windows Defender

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.