При подключении интернета видео карта в простое греется как при максимальной нагрузке.

**TheKyzyaRus** · 03.12.2023, 21:31

Добрый день.
Поймал майнер из за которого в простое видеокарта нагружена на максимально допустимые значения.
Майнер как мне кажется нашел, однако удалить его( даже в безопасном режиме) не могу.
Сторонние утилиты по типу HitmanPro, dr.web cureit и тд майнер не видят.
Помогите пожалуйста!!!!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 03.12.2023, 21:32

Уважаемый(ая) TheKyzyaRus, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 03.12.2023, 21:45

Перечитайте правила, нужен архив CollectionLog-дата-время.zip

**TheKyzyaRus** · 03.12.2023, 22:01

Vvvyg, Извините за невнимательность.
Все исправил

**Vvvyg** · 04.12.2023, 07:57

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files\wproxy\winproxy\winproxy.exe');
 QuarantineFile('C:\Users\Nikita\AppData\Local\Programs\2dafec08\af4bfb2c57.msi', '');
 QuarantineFile('c:\windows\System32\evntagnt.dll', '');
 QuarantineFile('C:\Windows\SysWOW64\evntagnt.dll', '');
 QuarantineFileF('C:\ProgramData\PulsarUploader-b9397f54-605f-4fb3-b484-8652211be12f', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
 QuarantineFileF('c:\users\nikita\appdata\local\programs\2dafec08', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', false, '', 0 , 0);
 DeleteFile('c:\program files\wproxy\winproxy\winproxy.exe', '');
 DeleteFile('C:\Program Files\WProxy\WinProxy\WinProxy.exe', '64');
 DeleteFile('C:\Users\Nikita\AppData\Local\Programs\2dafec08\af4bfb2c57.msi', '64');
 DeleteFile('c:\windows\System32\evntagnt.dll', '');
 DeleteFile('C:\Windows\SysWOW64\evntagnt.dll', '64');
 DeleteFileMask('c:\program files\wproxy', '*', true);
 DeleteFileMask('C:\ProgramData\PulsarUploader-b9397f54-605f-4fb3-b484-8652211be12f', '*', true);
 DeleteFileMask('c:\users\nikita\appdata\local\programs\2dafec08', '*', true);
 DeleteDirectory('c:\program files\wproxy');
 DeleteDirectory('C:\ProgramData\PulsarUploader-b9397f54-605f-4fb3-b484-8652211be12f');
 DeleteDirectory('c:\users\nikita\appdata\local\programs\2dafec08');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\EvntAgntSvc_4b7dae\Parameters', 'ServiceDll', '64');
 DeleteSchedulerTask('WProxy\WinProxy');
 DeleteSchedulerTask('youflix-S-1-5-21-2277026290-2271235288-1116621073-1001');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, упакуйте его в архив с паролем, выложите на файлообменник или в облако и дайте ссылку с паролем в личном сообщении.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**TheKyzyaRus** · 04.12.2023, 11:53

Результаты проверки после выполнения скрипта

**Vvvyg** · 04.12.2023, 13:12

Удалите в Chrome и MS Edge расшмрение X-finder.pro.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
Task: {98efe32d-1bd1-47f5-8ade-59350e48d9dd} - отсутствует путь к файлу. <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Edge DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
Edge DefaultSearchKeyword: Default -> cdn
Edge Extension: (X-finder.pro) - C:\Users\Nikita\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem [2023-11-11]
CHR HKU\S-1-5-21-2277026290-2271235288-1116621073-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
S3 cpuz154; \??\C:\Windows\temp\cpuz154\cpuz154_x64.sys [X]
S3 IUFileFilter; \??\F:\Zona Downloads\IObit Uninstaller Pro 13.1.0.3 Portable by FC Portables\App\Uninstaller\drivers\win10_amd64\IUFileFilter.sys [X]
2023-11-28 13:18 - 2023-11-28 13:18 - 000000000 _RSHD C:\ProgramData\WindowsTask
2023-11-28 13:18 - 2023-11-28 13:18 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
2023-11-28 13:18 - 2023-11-28 13:18 - 000000000 _RSHD C:\ProgramData\Setup
2023-11-28 13:18 - 2023-11-28 13:18 - 000000000 _RSHD C:\ProgramData\ReaItekHD
2023-11-28 13:18 - 2023-11-28 13:18 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
2023-11-28 13:18 - 2023-11-28 13:18 - 000000000 _RSHD C:\Program Files\RDP Wrapper
2023-11-28 13:18 - 2023-11-28 13:18 - 000000000 _RSHD C:\Program Files (x86)\360
2023-11-29 01:21 - 2023-11-29 01:21 - 001194738 _____ C:\Windows\SysWOW64\echo799.dat
FirewallRules: [TCP Query User{AF751D9C-8536-4FE4-B0DF-D6CA2D3D5F94}C:\games\god of war\gow.exe] => (Allow) C:\games\god of war\gow.exe => Нет файла
FirewallRules: [UDP Query User{A474ED33-8AA2-423A-882A-C8E09FB38BBD}C:\games\god of war\gow.exe] => (Allow) C:\games\god of war\gow.exe => Нет файла
FirewallRules: [TCP Query User{A4EC1A43-B492-412C-B044-3A822602D1DE}C:\games\resident evil village\re8.exe] => (Allow) C:\games\resident evil village\re8.exe => Нет файла
FirewallRules: [UDP Query User{C6B5C87A-6433-4B10-9768-10CC4DB243B6}C:\games\resident evil village\re8.exe] => (Allow) C:\games\resident evil village\re8.exe => Нет файла
FirewallRules: [TCP Query User{ADE480B2-69BA-4BD7-89E9-1286B0C2111C}C:\games\star wars jedi fallen order\swgame\binaries\win64\starwarsjedifallenorder.exe] => (Allow) C:\games\star wars jedi fallen order\swgame\binaries\win64\starwarsjedifallenorder.exe => Нет файла
FirewallRules: [UDP Query User{F1865E57-5F4E-417D-84EB-06905732E58E}C:\games\star wars jedi fallen order\swgame\binaries\win64\starwarsjedifallenorder.exe] => (Allow) C:\games\star wars jedi fallen order\swgame\binaries\win64\starwarsjedifallenorder.exe => Нет файла
FirewallRules: [TCP Query User{21CF4AB1-B550-4FA9-879D-0CDE1ABFE966}C:\it takes two\nuts\binaries\win64\ittakestwo.exe] => (Allow) C:\it takes two\nuts\binaries\win64\ittakestwo.exe => Нет файла
FirewallRules: [UDP Query User{66BDF7FC-B292-4468-B1A6-3635D787ABEB}C:\it takes two\nuts\binaries\win64\ittakestwo.exe] => (Allow) C:\it takes two\nuts\binaries\win64\ittakestwo.exe => Нет файла
FirewallRules: [TCP Query User{0B65250F-3842-4F63-95A1-D60E289D90A7}C:\games\the forest\theforest32.exe] => (Block) C:\games\the forest\theforest32.exe => Нет файла
FirewallRules: [UDP Query User{06FBF358-3576-4FF9-ACC6-E42E8C9375A6}C:\games\the forest\theforest32.exe] => (Block) C:\games\the forest\theforest32.exe => Нет файла
FirewallRules: [TCP Query User{ED8ABE8F-DEA7-4ED8-98FA-05624B72F53B}C:\games\hogwarts legacy (2023)\hogwarts legacy\phoenix\binaries\win64\hogwartslegacy.exe] => (Allow) C:\games\hogwarts legacy (2023)\hogwarts legacy\phoenix\binaries\win64\hogwartslegacy.exe => Нет файла
FirewallRules: [UDP Query User{7C1F0386-1A49-4239-B006-366D96A5D1FB}C:\games\hogwarts legacy (2023)\hogwarts legacy\phoenix\binaries\win64\hogwartslegacy.exe] => (Allow) C:\games\hogwarts legacy (2023)\hogwarts legacy\phoenix\binaries\win64\hogwartslegacy.exe => Нет файла
FirewallRules: [TCP Query User{E797F8FD-E3F3-44A5-AABB-E070A7FD0861}C:\games\indies lies v1.0.0\indies.exe] => (Allow) C:\games\indies lies v1.0.0\indies.exe => Нет файла
FirewallRules: [UDP Query User{DF99FD18-CA74-4AF8-B465-BBAAC7B88A81}C:\games\indies lies v1.0.0\indies.exe] => (Allow) C:\games\indies lies v1.0.0\indies.exe => Нет файла
FirewallRules: [TCP Query User{84AC42E7-8A25-46B2-B254-CA7B985F857B}C:\games\indies.lies\indies.lies\indies.exe] => (Allow) C:\games\indies.lies\indies.lies\indies.exe => Нет файла
FirewallRules: [UDP Query User{2D9E84CC-DB3C-4A9C-A1C9-1E1856BC82F0}C:\games\indies.lies\indies.lies\indies.exe] => (Allow) C:\games\indies.lies\indies.lies\indies.exe => Нет файла
FirewallRules: [TCP Query User{D5D28E54-9B16-458B-835F-DFC9B67EDB94}C:\games\indies.lies\indies.lies\indies.exe] => (Allow) C:\games\indies.lies\indies.lies\indies.exe => Нет файла
FirewallRules: [UDP Query User{3AF71B43-F3BC-4852-B1BC-984EEC02FE38}C:\games\indies.lies\indies.lies\indies.exe] => (Allow) C:\games\indies.lies\indies.lies\indies.exe => Нет файла
FirewallRules: [TCP Query User{6CDC871A-4A45-47AA-849B-FBDABF396FC8}F:\games\ravenbound\ravenbound.exe] => (Allow) F:\games\ravenbound\ravenbound.exe => Нет файла
FirewallRules: [UDP Query User{9AC33C02-C5BE-4BF8-AA15-407A2289AB56}F:\games\ravenbound\ravenbound.exe] => (Allow) F:\games\ravenbound\ravenbound.exe => Нет файла
FirewallRules: [TCP Query User{C6AA36F9-066B-40F4-8EC1-C5EBC8FFC6C2}C:\games\doom eternal\doometernalx64vk.exe] => (Allow) C:\games\doom eternal\doometernalx64vk.exe => Нет файла
FirewallRules: [UDP Query User{82224CFE-F52F-4B46-97D0-A24F541FA176}C:\games\doom eternal\doometernalx64vk.exe] => (Allow) C:\games\doom eternal\doometernalx64vk.exe => Нет файла
FirewallRules: [TCP Query User{CB2B10F7-51E6-44C5-93B7-1C1EC1A423F1}C:\steamlibrary\steamapps\common\baldurs gate 3\bin\bg3_dx11.exe] => (Allow) C:\steamlibrary\steamapps\common\baldurs gate 3\bin\bg3_dx11.exe => Нет файла
FirewallRules: [UDP Query User{A6CA1E45-DE08-49AB-B435-7AFC8D080D97}C:\steamlibrary\steamapps\common\baldurs gate 3\bin\bg3_dx11.exe] => (Allow) C:\steamlibrary\steamapps\common\baldurs gate 3\bin\bg3_dx11.exe => Нет файла
FirewallRules: [TCP Query User{F62ED170-1EEC-4C7B-8523-8FF674A2B062}C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Block) C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [UDP Query User{33002D5F-E97A-411A-8D54-1AA291D1DF1F}C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Block) C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{33F21BAD-362D-47E3-B01F-CE3396C8A3DD}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{CE8E7C5E-A984-405A-8153-832FF473084A}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{F10EF277-EEEB-4133-935F-5E32B3A56DCE}] => (Allow) 㩃啜敳獲乜歩瑩屡灁䑰瑡屡潒浡湩屧潴屣偏晎⸶硥e => Нет файла
FirewallRules: [{5BF035A4-271A-43CB-B500-92FC896EA368}] => (Allow) 㩃啜敳獲乜歩瑩屡灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{10DA9862-069A-4EC6-8006-A16C09ED781C}] => (Allow) 㩃啜敳獲乜歩瑩屡灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{AF37ED6A-F3D8-4D9C-8B71-4F2314C473EB}] => (Allow) 㩃啜敳獲乜歩瑩屡灁䑰瑡屡潒浡湩屧潴屣挶䘳攮數 => Нет файла
FirewallRules: [{7D06F7FB-10AE-4C4E-BDA6-ADE3F3EBBE5E}] => (Allow) C:\Program Files (x86)\Overwolf\0.236.0.11\OverwolfBrowser.exe => Нет файла
FirewallRules: [{0008F0A8-8E3C-41A1-956F-FE7C9D93D0D9}] => (Allow) C:\Program Files (x86)\Overwolf\0.236.0.11\OverwolfBrowser.exe => Нет файла
FirewallRules: [{F43A0BB4-73EF-4973-95B8-0016846A8F53}] => (Block) C:\Program Files (x86)\Overwolf\0.236.0.11\OverwolfBrowser.exe => Нет файла
FirewallRules: [{FE8CFBF0-E58A-4175-A6EB-8D225E6B91E0}] => (Block) C:\Program Files (x86)\Overwolf\0.236.0.11\OverwolfBrowser.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

И попробуйте вспомнить, что именно скачивали и запускали 29.11.2023 после часа ночи.

**TheKyzyaRus** · 04.12.2023, 14:05

2023-11-28 23 34 вк месенджер в браузере опера
2023-11-29 01:21 C:\Windows\SysWOW64\echo799.dat
2023-11-29 10:54 почта маил в браузере опера.
Другие программы не запускались
Просто была проблема, во время которой компьютер выходил из спящего режима сам, и при запуске открывались посторонние сайты.
Эту проблему мне вроде удалось устранить

**Vvvyg** · 04.12.2023, 15:18

Обновите WinRar: Российские хакеры используют недавнюю уязвимость в WinRAR.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

**TheKyzyaRus** · 04.12.2023, 15:27

И правда, жена скачивала архив с pdf файлами.

**Vvvyg** · 04.12.2023, 16:19

Если сохранился, через облако/файлообменник в архиве с паролем и ссылку в личку. Или откуда, по какой ссылке скачивали, также в личку.

При подключении интернета видео карта в простое греется как при максимальной нагрузке. (заявка № 228397)

Опции темы