Предположительно майнер
Здравствуйте, примерно неделю назад при включении ПК услышал шум работающих кулеров, в MSI Afterburner обнаружил загрузку ГП на 79%, в диспетчере задач активно трудился процесс Realtek HD Audio (32 бита). Сам файл находился в папке AppData Roaming в какой-то папке. При отключении интернета загрузка ГП и процессора сразу падала. Значит вирус, прибил процесс в диспетчере задач и удалил эту папку целиком. Вроде проблема решилась. Каждый день при запуске ПК сразу мониторил загрузку ЦП и ГП, все было штатно. Сегодня при запуске ПК опять обнаружил тот же процесс, но исполняемый файл "rthdcpl" находился уже в другой временной папке, каким-то образом вирус опять попал в ПК. Просканировал эту папку антивирусом NOD32 Antivirus 9.0.408.1, ничего криминального он не обнаружил. Прибил процесс в диспетчере задач, папку с файлом удалил и на всякий случай создал тему. Проверьте пожалуйста систему, где-то в системе есть лазейка для этого вируса.
|
1) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:- Запустите AVZ.
- Выполните обновление баз (Меню Файл - Обновление баз)
- Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
- В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
- Закачайте полученный архив, как описано на этой странице.
- Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
2)
Код:
AusLogics BoostSpeed [2017/02/18 20:10:13]-->C:\Program Files (x86)\Auslogics\AusLogics BoostSpeed\Uninstall.exe
- потенциально нежелательная программа, советую деинсталировать.
Код:
Кнопка "Яндекс" на панели задач [2016/08/06 00:06:28]-->C:\Users\Andrey\AppData\Local\Yandex\yapin\YandexWorking.exe --uninstall --nopinned
Менеджер браузеров [2016/08/06 00:06:28]-->"C:\Users\Andrey\AppData\Local\Package Cache\{a4e708c3-efaf-49b0-aa5a-394305338e7b}\BrowserManagerInstaller.exe" /uninstall
Менеджер браузеров [20160428]-->MsiExec.exe /X{691BB354-E7AF-4447-ADE2-549A86613965}
Если не используете, также деинсталировать.
3) Профиксите в HijackThis
Код:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O22 - ScheduledTask: (Ready) MSIOSDx64_Host - {root} - C:\Program Files (x86)\MSI\Gaming APP\OSD\x64\MsiGamingOSD_x64.exe (file missing)
O22 - ScheduledTask: (Ready) MSIOSDx86_Host - {root} - C:\Program Files (x86)\MSI\Gaming APP\OSD\x86\MsiGamingOSD_x86.exe (file missing)
O22 - ScheduledTask: (Ready) Realtek HD Audio - {root} - "C:\Users\Andrey\AppData\Roaming\Auslogics\Realtek HD\rthdcpl.exe" b5Cd98b3bF7d121e14130049cDF86b58EAE49c9B (file missing)
4) Сделайте свежие логи.
5) Отпишитесь, что с проблемой. |
Спасибо, что откликнулись! Данные архива: Размер файла, байт: 77281951 MD5: AC463AA5802FCF467CBA63B37E8B080A
AusLogics и кнопку Яндекса удалил.
Цитата:
Цитата regist
3) Профиксите в HijackThis »
|
К сожалению, я не знаю как это сделать... Подскажите.
4. Свежий лог прикрепляю. 5. Пока никаких проблем нет, каждый день при включении ПК мониторю загрузку ЦП и ГП, все в пределах нормы. |
Цитата:
Цитата 2503
как это сделать... Подскажите »
|
Как "пофиксить"
Программу используйте из набора Автологера:
Цитата:
C:\Users\Andrey\Downloads\AutoLogger\AutoLogger\HiJackThis\HiJackThis.exe
|
|
Свежие логи после фикса в HijackThis. Размер файла, байт: 78253316 MD5: 48B2E767C98E7EB963DFAEF0F388FD20
|
1) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ClearQuarantine;
QuarantineFile('C:\Users\Andrey\AppData\Roaming\Auslogics\BoostSpeed\Disabled Startup\Вырезка экрана и программа запуска для OneNote 2010.lnk', '');
QuarantineFile('C:\Users\Andrey\Favorites\Вкладки Опера\как создать загрузочную флешку acronis - 176 тыс. результатов. Поиск@Mail.Ru.url', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл test.zip из папки с распакованной утилитой AVZ закачайте архив на любой файлообменник, не требующий ввода капчи (например: Zippyshare, My-Files.RU) ссылку на скачивание пришлите мне в ЛС.
2) Профиксите в HijackThis
Код:
O22 - ScheduledTask: (Ready) MSIOSDx64_Host - {root} - C:\Program Files (x86)\MSI\Gaming APP\OSD\x64\MsiGamingOSD_x64.exe (file missing)
O22 - ScheduledTask: (Ready) MSIOSDx86_Host - {root} - C:\Program Files (x86)\MSI\Gaming APP\OSD\x86\MsiGamingOSD_x86.exe (file missing)
O22 - ScheduledTask: (Ready) Realtek HD Audio - {root} - "C:\Users\Andrey\AppData\Roaming\Auslogics\Realtek HD\rthdcpl.exe" b5Cd98b3bF7d121e14130049cDF86b58EAE49c9B (file missing)
O22 - ScheduledTask: (Ready) Start On Andrey Logon - \Auslogics\BoostSpeed\Integrator - C:\Program Files (x86)\Auslogics\AusLogics BoostSpeed\BoostSpeed.exe -UseTray (file missing)
3) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
4) Сделайте свежий лог этой версией Автологера. |
+ Забыл приписать, что не используйте репаки от Кролика. Очень часто именно они являются причиной заражения.
|
Время: 11:58.
© OSzone.net 2001-
