Часто шумит видеокарта на максималках

[Liovka90]

Здравствуйте. Подозреваю словили вирус, видюха шумит так как будто играем в игры, а по факту просто открыли папку/браузер.
В диспетчере задач видела процесс AlibabaProtect, читала что это майнинг через чужой компьютер.
В общем помогите навести порядок пожалуйста.
Autologger запустить не дает, пишет отказано в доступе. Лог делала через AVZ

[Info_bot]

Уважаемый(ая) Liovka90, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Liovka90]

выполнила скрипт

[Vvvyg]

Текстовые логи, да ещё и собранные устаревшей версией AVZ не дают информации, полезной для анализа.
Отключите на время Norton Security, не поможет - запустите Autologger из любой рапки, кроме загрузок и рабочего стола. И так не выйдет - тогда из безопасного режима.

[Liovka90]

прикрепляю

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O22 - Tasks: \Remediation\AntimalwareMigrationTask - C:\Program Files\Common Files\AV\Norton 360 for Gamers\Upgrade.exe /upgrade /user_logon (file missing)
O22 - Tasks: AliUpdater - C:\Program Files (x86)\AliWangWang\AliTask.exe /update (file missing)
O22 - Tasks: Driver Booster SkipUAC (123) - C:\Program Files (x86)\IObit\Driver Booster\10.2.0\DriverBooster.exe /skipuac (file missing)
O22 - Tasks: Driver Booster Update - C:\Program Files (x86)\IObit\Driver Booster\10.2.0\AutoUpdate.exe /auto (file missing)

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл. Не поможет - запустите из безопасного режима с поддержкой сети.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

[Liovka90]

готово

теперь во вкладке Службы (cлужба Alibaba Protect написано остановлено). Это майнинг? Как её вообще удалить?

[Vvvyg]

Это не майнер. Остатки от майнера вычищены AV_block_remove, но активного не было. Если бы был, видеокарта шумела бы постоянно.

Посмотрим ещё одной утилитой.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Liovka90]

готово

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
AV: Kaspersky (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;windowsdefender
Task: {B8EB6DD0-3983-4542-BD96-6C96BCBB2A24} - System32\Tasks\Driver Booster Scheduler => "C:\Program Files (x86)\IObit\Driver Booster\10.2.0\Scheduler.exe"  /scheduler (Нет файла)
CHR HKU\S-1-5-21-297678376-1786296774-1292644982-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
S2 AlibabaProtect; "C:\Program Files (x86)\AlibabaProtect\1.0.70.988\AlibabaProtect.exe" [X]
S3 938c6d25; C:\Windows\System32\Drivers\938c6d25.sys [89392 2023-06-27] (AO Kaspersky Lab -> AO Kaspersky Lab)
S2 AliPaladin; C:\Windows\system32\drivers\AliPaladin64.sys [287192 2023-04-22] (ALIBABA (CHINA) NETWORK TECHNOLOGY CO.,LTD. -> AliBaba Group)
C:\Windows\system32\drivers\AliPaladin64.sys
C:\Windows\System32\Drivers\938c6d25.sys
AlternateDataStreams: C:\Windows\system32\msln.exe:4647658adb069af050f3dd4fcb48ae79 [454]
AlternateDataStreams: C:\Users\123\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\123\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [9254]
FirewallRules: [TCP Query User{274C0636-32D3-4709-B5A6-49C42C08D1CE}C:\gog games\trüberbrook - a nerd saves the world\truberbrook.exe] => (Allow) C:\gog games\trüberbrook - a nerd saves the world\truberbrook.exe => Нет файла
FirewallRules: [UDP Query User{30825FD1-EDC0-4817-9597-0C146262495B}C:\gog games\trüberbrook - a nerd saves the world\truberbrook.exe] => (Allow) C:\gog games\trüberbrook - a nerd saves the world\truberbrook.exe => Нет файла
FirewallRules: [{D6538656-9A50-4C50-A642-DE13379CE4E4}] => (Allow) C:\Users\123\AppData\Local\GameCenter\GameCenter.exe => Нет файла
FirewallRules: [{76FAFD27-3865-45DE-80EB-B3621F04E2B4}] => (Allow) C:\Users\123\AppData\Local\GameCenter\GameCenter.exe => Нет файла
FirewallRules: [TCP Query User{B27D978E-FBE1-465C-B627-99E00657AC23}D:\games\warface\warface\bin64release\game.exe] => (Allow) D:\games\warface\warface\bin64release\game.exe => Нет файла
FirewallRules: [UDP Query User{B9F241DD-67AB-4B24-AA1F-635B09C0F9E7}D:\games\warface\warface\bin64release\game.exe] => (Allow) D:\games\warface\warface\bin64release\game.exe => Нет файла
FirewallRules: [TCP Query User{732BD3D0-7E63-48F4-85AB-37E352329782}D:\games\slime rancher 2\slimerancher2.exe] => (Allow) D:\games\slime rancher 2\slimerancher2.exe => Нет файла
FirewallRules: [UDP Query User{C56FA39B-520D-449D-BE58-F7C97D6ACB74}D:\games\slime rancher 2\slimerancher2.exe] => (Allow) D:\games\slime rancher 2\slimerancher2.exe => Нет файла
FirewallRules: [TCP Query User{9E7B655E-01E3-45E5-9FBB-A95A5C49EF47}D:\games\retro machina\retromachina.exe] => (Allow) D:\games\retro machina\retromachina.exe => Нет файла
FirewallRules: [UDP Query User{C507E252-444D-4B0F-8266-D42E6602617E}D:\games\retro machina\retromachina.exe] => (Allow) D:\games\retro machina\retromachina.exe => Нет файла
FirewallRules: [{0714F795-7AA0-4D9A-9819-A1B393A8ADC9}] => (Allow) D:\Games\The Desperation Launcher\The Desperation Launcher.exe => Нет файла
FirewallRules: [{65E5E83D-701D-41A9-8E2C-03D8B8DE60E7}] => (Allow) D:\Games\The Desperation Launcher\The Desperation Launcher.exe => Нет файла
FirewallRules: [TCP Query User{AB5484F0-216E-4F45-BD6C-2AE3641B61EA}D:\games\thedesperationclient\dayz_x64.exe] => (Allow) D:\games\thedesperationclient\dayz_x64.exe => Нет файла
FirewallRules: [UDP Query User{BB3C5416-6980-419E-A75B-E3B9133053D7}D:\games\thedesperationclient\dayz_x64.exe] => (Allow) D:\games\thedesperationclient\dayz_x64.exe => Нет файла
FirewallRules: [TCP Query User{37C581A1-E7F1-4E9F-B5D5-1EC101E39E6F}C:\users\123\appdata\roaming\twitch studio\bin\twitchstudioagent.exe] => (Allow) C:\users\123\appdata\roaming\twitch studio\bin\twitchstudioagent.exe => Нет файла
FirewallRules: [UDP Query User{9667EC13-C559-4B3B-8A92-7F0EA886E4CE}C:\users\123\appdata\roaming\twitch studio\bin\twitchstudioagent.exe] => (Allow) C:\users\123\appdata\roaming\twitch studio\bin\twitchstudioagent.exe => Нет файла
FirewallRules: [{BB7EA076-D215-4BE1-A775-AB0EC3C6D4F1}] => (Allow) C:\Program Files\Streaming Assistant\Streaming Assistant.exe => Нет файла
FirewallRules: [{088F25BF-C658-448C-83DF-1CF525BB20A2}] => (Allow) C:\Program Files\Streaming Assistant\driver\bin\win64\pico_et_ft_bt_bridge.exe => Нет файла
FirewallRules: [{3F2DEEC7-8E3C-4828-98AE-2046A114DD89}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Нет файла
FirewallRules: [{640F194B-EB5E-40BB-BE70-13B49D26AD20}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла
FirewallRules: [{DB05AB68-72DC-489C-A3D2-10E9FAE87613}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Нет файла
FirewallRules: [{DF40E52A-9E84-4EF4-875C-BB46A3449196}] => (Allow) C:\Program Files\BlueStacks_nxt\BlueStacksAppplayerWeb.exe => Нет файла
HKU\S-1-5-21-297678376-1786296774-1292644982-1001\...\Run: [AlcoholAutomount] => "C:\Program Files (x86)\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe" -automount (Нет файла)
S2 AxAutoMntSrv; C:\Program Files (x86)\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe [X]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
18:55 11.12.2023sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив .RAR или .7z с максимальным сжатием (если нет этих приложений, в Windows 11 по правой кнопке мыши - "Сжать в ZIP файл") и прикрепите к своему следующему сообщению.
Компьютер будет перезагружен.

Сообщите, что с проблемой.

[Liovka90]

готово

[Vvvyg]

Сообщите, что с проблемой.

Не ответили.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[Liovka90]

вроде бы перестал шуметь без причины

- - - - -Добавлено - - - - -

готово

- - - - -Добавлено - - - - -

необходимо скачать обновления на программы которые он ругается в файле?)

[Vvvyg]

Не обязательно, это лишь рекомендации, приложений с серьёзными уязвимостями в списке нет.

Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Эту программу стоит удалить. И хвосты от Driver Booster 10 v.10.2.0, придётся, скорее всего, принудительно, с помощью Geek Uninstaller Free.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

На этом всё.