Загрузка видеокарты в простое. Вирус, майнер

[BaltazaR_ua]

Здравствуйте.
MSI Afterburner показывает загрузку ГП на 100% в простое.
Какой процесс жрет ресурс не нашел.

[Info_bot]

Уважаемый(ая) BaltazaR_ua, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[BaltazaR_ua]

CollectionLog-2018.05.15-22.02.zip

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O22 - Task: InstallShield Update Service - C:\Users\User\AppData\Roaming\Identities\ISSCH\issch.exe e0A6b8377FA783163E099C31ccDD33B91AFE4B02 (file missing)
O22 - Task: Soft installer - C:\Users\User\AppData\Local\Hostinstaller\476126651_monster.exe reg=sng;scheduler=1 (file missing)
O22 - Task: Uninstaller_SkipUac_User - C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe /UninstallExplorer (file missing)

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[BaltazaR_ua]

Addition.txt
FRST.txt
HiJackThis_debug.rar

[Vvvyg]

У ваз запускается кодированный скрипт в PowerShell, но в автозапуске его нет. Видимо, удалённо запускают, взломали.
Остановите и отключите службу терминалов (Terminal Services) - Пуск -> Панель управления -> Администрирование -> Службы.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[BaltazaR_ua]

У ваз запускается кодированный скрипт в PowerShell, но в автозапуске его нет. Видимо, удалённо запускают, взломали.
Остановите и отключите службу терминалов (Terminal Services) - Пуск -> Панель управления -> Администрирование -> Службы.

тут не разобрался, в службах не нашел Terminal Services
Может вы имеете ввиду удаленный доступ которым я раньше пользовался. Подключаясь к серверу по работе.

[Vvvyg]

Автоматическое обновление отключено
Дата установки обновлений: 2016-11-04 19:49:17

------------------------------- [ HotFix ] --------------------------------
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
HotFix KB4056894 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления
HotFix KB4074587 Внимание! Скачать обновления
HotFix KB4103712 Внимание! Скачать обновления

Те кто отключает автоматическое обновление, получает рано или поздно, майнер или шифровальщик. Это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в прошлом году шифровальщики WannaCry и Petya/NotPetya, неужели не слышали? В прошлом году они побушевали, особенно, как раз у вас на Украине.

Установите хотя бы KB4012212, лучше - все, может помочь.

Выполните скрипт в AVZ:

Код:

begin
 SetServiceStart('TermService', 4);
 StopService('TermService');
end.

Он отключит службы терминалов.

Если проблема останется - скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
Именно с Яндекс.Диск, надеюсь, сможете.

[BaltazaR_ua]

обновил пока вручную KB4012212
потом установлю все обновления. как то не относился серьезно к обновлениям. тем более когда выходят обновления проверки подлинности и появляется черный экран.
Скрипт выполнен без ошибок.
Проблема, если честно, пропала еще когда только начали делать первые шаги, либо я программой Malwarebytes частично ее убил.
Вопрос, обновления всегда устанавливать на комп?
Либо порекомендуйте хороший Firewall

[Vvvyg]

Обновления лучше устанавливать в автоматическом режиме, чтобы не дожидаться, пока систему вскроют через очередную уязвимость.

"Хорошие файрволы" всё равно требуют тщательной настройки. Не посоветую, т. к. не пользуюсь. Большинству пользователей хватает за глаза системного брандмауэра.

[BaltazaR_ua]

Большое спасибо за помощь!