Подозрение на майнер на ssd

**Katarios** · 16.12.2023, 20:47

Здравствуйте, помогите пожалуйста. Основной ssd, на котором установлена винда почти всё время загружен на 100%. Процессор и видеокарта не загружены. CureIt обнаружил 2 майнера, вылечил их, но это не помогло. Утилита касперского после CureIt ничего не обнаружила.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 16.12.2023, 20:48

Уважаемый(ая) Katarios, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 16.12.2023, 21:25

Майнеры нагружают процессор и видеокарту, Отсортируйте в диспетчере задачь по потреблению диска - какой процесс в топе?

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O22 - Tasks: iTop BF Task (One-Time) - C:\Program Files (x86)\iTop VPN\Pub\itopbfp23.exe /bf (file missing)
O22 - Tasks: iTop XMS Task (One-Time) - C:\Program Files (x86)\iTop VPN\Pub\itopxmsp23.exe /xms (file missing)
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Katarios** · 16.12.2023, 21:55

В топе по потреблению диска быстро чередуются разные процессы в момент 100% загрузки ssd: Журнал событий windows, Служба политики диагностики, antimalware service executable, system, registry. Процесс в топе потребляет 1,5 мб/с висит пару секунд, затем сменяется на другой процесс и так по кругу. При этом я никаких задач не создаю, а просто сижу в браузере mozilla. Комп в эти моменты сильно тормозит, затем отпускает на несколько минут и снова загружает на 100%.
Логи прикрепил.

**Vvvyg** · 16.12.2023, 23:08

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
S3 MpKslf364fa27; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{1DC50D62-CDDA-4BF7-9D31-99842AD7099A}\MpKslDrv.sys [X]
S3 WinRing0_1_2_0; \??\C:\ProgramData\WindowsTask\WinRing0x64.sys [X]
AlternateDataStreams: C:\Users\katar\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\katar\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [{BA2F549B-9A27-474F-AE5F-3BA45AC6D7CD}] => (Allow) C:\Program Files\MiniTool ShadowMaker\AgentService.exe => Нет файла
FirewallRules: [{916A4167-78B5-417D-953A-D0DB8611CD52}] => (Allow) C:\Program Files\MiniTool ShadowMaker\AgentService.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\*.*"
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив .RAR или .7z с максимальным сжатием и прикрепите к своему следующему сообщению.
Компьютер будет перезагружен.

**Katarios** · 16.12.2023, 23:46

Прикрепил новый лог

**Vvvyg** · 17.12.2023, 10:11

Error: (12/16/2023 09:51:01 PM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk3\DR3.

Error: (12/16/2023 09:51:01 PM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk3\DR3.

Error: (12/16/2023 09:51:01 PM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk3\DR3.

Error: (12/16/2023 09:51:01 PM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk3\DR3.

Error: (12/16/2023 09:51:01 PM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk3\DR3.

Error: (12/16/2023 09:51:01 PM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk3\DR3.

Error: (12/16/2023 09:51:01 PM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk3\DR3.

Error: (12/16/2023 09:51:01 PM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk3\DR3.

Проблемы с одним из 3-х дисков, SSD или HDD - проверяйте с помощью Victoria, или CrystalDiskInfo. Покажите скриншоты для каждого диска.

**Katarios** · 17.12.2023, 10:31

Благодарю за помощь. Сегодня утром ССД с виндой сдох (проработал пол года, в отзывах на это многие жаловаться стали), видимо я обратился за помощью, когда он пытался попрощаться.

Подозрение на майнер на ssd (заявка № 228408)

Опции темы