Miner wup.exe на ПК

@Papiros08 · Регистрация: 24.07.2021

Студворк — интернет-сервис помощи студентам

Здравствуйте, с недавнего времени начал замечать, что сильно тормозит процессор, особенно при работе с аудио секвенсором. Начал выяснять причину, оптимизировал немного Windows, прочитал, что нужно проверить ПК на вирусы (пользовался ПК с отключенным защитником). Dr. Web обнаружил троян в папке wup.exe.Я приостановил автозагрузку приложения csrss (не системного происхождения), после чего удалось удалить зараженную папку, после повторной проверки антивирусом угроз обнаружено не было, но проблемы с производительностью процессора не ушли. При запуске диспетчера задач показывает загруженность на 100 процентов секунды 2 - 3, потом нормализуется, пока открыт диспетчер, при повторном запуске диспетчера все повторяется. Почитал форум, начал сбор логов, нажав на скрипт на форуме, у меня выдало ошибку, фото ошибки прикрепляю. Какие мои дальнейшие действия?

@severnyj · 24.07.2021, 17:59

Подготовьте логи FRST: https://www.cyberforum.ru/post7151340.html

@Papiros08 · 24.07.2021, 18:17 **[ТС]**

Прикрепляю логи

@severnyj · 24.07.2021, 18:48

1. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
Выполните скрипт в AVZ C:\Users\Papiros\Downloads\AutoLogger\AV \av_z.exe (Файл - Выполнить скрипт):

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
begin
 TerminateProcessByName('c:\users\papiros\appdata\roaming\microsoft\defragmentation\optimization.exe');
 TerminateProcessByName('c:\users\papiros\appdata\roaming\microsoft\defragmentation\chkdsk\ntfs.exe');
 QuarantineFile('C:\ProgramData\EsnAHBLBMOGFYIVB\UUWZvFL.wsf', '');
 QuarantineFile('C:\Program Files (x86)\fSyJFcrtzSruXXdjXdR\tpqOvjH.dll', '');
 QuarantineFile('C:\Users\Papiros\AppData\Local\Programs\Netreklami\updater.exe', '');
 QuarantineFile('C:\Program Files (x86)\dQowkZuWU\wyNdka.dll', '');
 QuarantineFile('C:\Program Files (x86)\zBlRBklInkjU2\FwUydNodRksah.dll', '');
 QuarantineFile('C:\ProgramData\dirForDJ\V_K_D_J.exe', '');
 QuarantineFile('C:\Program Files (x86)\BoKHLQCvtCltC\tvCVHuG.dll', '');
 QuarantineFile('C:\WINDOWS\rss\csrss.exe', '');
 QuarantineFile('c:\users\papiros\appdata\roaming\microsoft\defragmentation\optimization.exe', '');
 QuarantineFile('c:\users\papiros\appdata\roaming\microsoft\defragmentation\chkdsk\ntfs.exe', '');
 DeleteFile('c:\users\papiros\appdata\roaming\microsoft\defragmentation\optimization.exe', '32');
 DeleteFile('c:\users\papiros\appdata\roaming\microsoft\defragmentation\chkdsk\ntfs.exe', '32');
 DeleteFile('C:\ProgramData\dirForDJ\V_K_D_J.exe', '64');
 DeleteFile('C:\WINDOWS\rss\csrss.exe', '64');
 DeleteFile('C:\Program Files (x86)\BoKHLQCvtCltC\tvCVHuG.dll', '64');
 DeleteFile('C:\Program Files (x86)\zBlRBklInkjU2\FwUydNodRksah.dll', '64');
 DeleteFile('C:\Program Files (x86)\dQowkZuWU\wyNdka.dll', '64');
 DeleteFile('C:\Users\Papiros\AppData\Local\Programs\Netreklami\updater.exe', '64');
 DeleteFile('C:\Users\Papiros\AppData\Roaming\Microsoft\Defragmentation\Optimization.exe', '64');
 DeleteFile('C:\Program Files (x86)\fSyJFcrtzSruXXdjXdR\tpqOvjH.dll', '64');
 DeleteFile('C:\ProgramData\EsnAHBLBMOGFYIVB\UUWZvFL.wsf', '64');
 DeleteFile('c:\users\papiros\appdata\roaming\microsoft\defragmentation\chkdsk\ntfs.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SparklingDream', 'x64');
 DeleteFileMask('C:\Users\Papiros\AppData\Local\Programs\Netreklami\', '*', true);
 DeleteDirectory('C:\Users\Papiros\AppData\Local\Programs\Netreklami\');
 DeleteFileMask('C:\Program Files (x86)\zBlRBklInkjU2\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\zBlRBklInkjU2\');
 DeleteFileMask('C:\Program Files (x86)\BoKHLQCvtCltC\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\BoKHLQCvtCltC\');
 DeleteFileMask('C:\Program Files (x86)\dQowkZuWU\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\dQowkZuWU\');
 DeleteFileMask('C:\ProgramData\dirForDJ\', '*', true);
 DeleteDirectory('C:\ProgramData\dirForDJ\');
 DeleteFileMask('c:\users\papiros\appdata\roaming\microsoft\defragmentation\', '*', true);
 DeleteDirectory('c:\users\papiros\appdata\roaming\microsoft\defragmentation\');
 DeleteSchedulerTask('eLmdoneBDkVnNMUMMGA2');
 DeleteSchedulerTask('jdsltod');
 DeleteSchedulerTask('jTCFciAMJTFiCI');
 DeleteSchedulerTask('LhVInomDFaKvgmi2');
 DeleteSchedulerTask('NetReklamiLogonUpdate');
 DeleteSchedulerTask('ProactiveScan');
 DeleteSchedulerTask('sRRihYzekXjxjkwjn2');
 DeleteSchedulerTask('VgEOxzRROSEul2');
ExecuteSysClean;
 Executerepair(1);
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

2. После перезагрузки, выполните такой скрипт:

Code
1
2
3
4
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению прикреплять файл quarantine.7z не нужно!

3. Скачайте прикрепленный архив wuauserv.zip распакуйте на рабочий стол, запустите двойным щелчком файл wuauserv.reg согласитесь на внесение изменений в реестр, нажав кнопку Да. Перезагрузите компьютер.

4.Подготовьте новый CollectionLog. по правилам.

@Papiros08 · 24.07.2021, 19:50 **[ТС]**

Может быть вам это будет полезной информацией:
Когда ПК перезагрузился после работы первого скрипта, ПК выдал ошибку и снова перезагрузился, после выполнения второго скрипта и самостоятельного запуска перезагрузки ПК перезагрузился дважды и предложил сделать восстановление системы ( фото прикрепляю), также прикрепляю новые логи

@severnyj · 24.07.2021, 20:00

Из-за массовости заражения рекомендую сделать скан MBAM: https://www.cyberforum.ru/post14229136.html

Прикрепите к следующему сообщению.

@Papiros08 · 24.07.2021, 20:53 **[ТС]**

Прикрепляю скан проверки

@severnyj · 24.07.2021, 21:08

Повторите сканирование и удалите все найденное.

+

Деинсталлируйте нежелательное ПО:

VideoAdsBlocker [2021/07/05 15:27:37]-->rundll32 "C:\Program Files (x86)\zAyphbEEoEUn\GbgNCPn.dll",#1
Архиватор Rar 1.0 [20210318]-->"C:\Program Files (x86)\ArchRar\unins000.exe"

, если не получится стандартно, используйте GeekUninstaller или BCUninstaller.

+

Удалите старые логи FRST в корзину и подготовьте новые.

@Papiros08 · 24.07.2021, 21:49 **[ТС]**

Прикрепляю новые логи. Вроде бы получилось удалить нежелательное ПО и все,что нашел скан

@severnyj · 24.07.2021, 21:54

Понимаю, Вы немного устали, но я просил удалить в корзину и подготовить логи FRST: https://www.cyberforum.ru/post7151340.html

@Papiros08 · 24.07.2021, 22:05 **[ТС]**

Да я уже понял, когда отправил вам) Вот готово,что нужно

@severnyj · 24.07.2021, 22:39

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2615889275-921536827-1412634802-1001\...\Policies\Explorer: [] 
HKU\S-1-5-21-2615889275-921536827-1412634802-1001\...\MountPoints2: {68a22686-de32-11eb-9be3-00270e0dc608} - "D:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-2615889275-921536827-1412634802-1001\...\MountPoints2: {b753bae6-896d-11eb-9bb5-00270e0dc608} - "D:\Setup.exe" 
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR HKLM-x32\...\Chrome\Extension: [fpfmmadpecocfkeapbffclpmjpbgidaf]
OPR Extension: (Adblocker for Youtube™) - C:\Users\Papiros\AppData\Roaming\Opera Software\Opera Stable\Extensions\kofpgjgokfidcohjcdfcndkbindgmcmc [2021-07-13]
Edge Extension: (T-Сashback — кэшбэк-сервис) - C:\Users\Papiros\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\odbmjgikedenicicookngdckhkjbebpd [2021-07-13]
Edge HKLM-x32\...\Edge\Extension: [odbmjgikedenicicookngdckhkjbebpd]
YAN Extension: (Find-it.Pro Поиск) - C:\Users\Papiros\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne [2021-07-05]
YAN Extension: (T-Сashback — кэшбэк-сервис) - C:\Users\Papiros\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\odbmjgikedenicicookngdckhkjbebpd [2021-07-05]
2021-07-13 17:27 - 2021-07-13 17:27 - 000000000 ____D C:\ProgramData\HFltlfldbJPjBpr
2021-07-05 15:27 - 2021-07-24 18:55 - 000000000 ____D C:\Program Files (x86)\fSyJFcrtzSruXXdjXdR
AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [376]
HKU\S-1-5-21-2615889275-921536827-1412634802-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

@Papiros08 · 24.07.2021, 22:42 **[ТС]**

Простите, я не очень понял, просто скопировать скрипт или его еще куда-то вставить нужно? Вы просто не уточнили этот момент

@severnyj · 24.07.2021, 22:48

Просто скопировать. FRST выполнит скрипт из буфера обмена

@Papiros08 · 24.07.2021, 23:02 **[ТС]**

Готово. ПК как-то сильно тормозить прям стал

@severnyj · 24.07.2021, 23:05

Еще раз перезагрузитесь и сообщите, что с проблемами

@Papiros08 · 24.07.2021, 23:13 **[ТС]**

Не могу объективно оценить продуктивность процессора, но я попробовал запустить несколько раз диспетчер задач- и пока что то же самое: первые 2-3 секунды загрузка процессора 100 процентов, далее резко падает

@severnyj · 24.07.2021, 23:31

Это нормальное поведение диспетчера задач.

@Papiros08 · 24.07.2021, 23:41 **[ТС]**

Ну вот я сейчас попробовал запустить аудио секвенсор с проектом, все те же процессы происходят, к сожалению, пользуюсь FL Studio, начинаю воспроизведение проекта, и он проигрывает проект, и ПК начинает тормозить каждые секунд 5-10, там есть отображение загруженности процессора в секвенсоре, она скачет от 12 процентов до 50, в целом это адекватные цифры +-, а лагает так, как будто процессор полностью загружен, а когда я пытаюсь добавить еще один плагин для обработки, начинается вообще слайд шоу. Можно как-то определить, это из-за вирусов или ПК уже просто не вывозит?

@severnyj · 24.07.2021, 23:49

Можно запустить диспетчер задач и посмотреть, какие процессы грузят систему кроме FL.

Новые блоги и статьи Все статьи Все блоги /
Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .
Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025

@Papiros08 0 / 0 / 0 Регистрация: 24.07.2021 Сообщений: 18

	Miner wup.exe на ПК 24.07.2021, 17:52. Показов 4388. Ответов 23 Метки нет (Все метки) Здравствуйте, с недавнего времени начал замечать, что сильно тормозит процессор, особенно при работе с аудио секвенсором. Начал выяснять причину, оптимизировал немного Windows, прочитал, что нужно проверить ПК на вирусы (пользовался ПК с отключенным защитником). Dr. Web обнаружил троян в папке wup.exe.Я приостановил автозагрузку приложения csrss (не системного происхождения), после чего удалось удалить зараженную папку, после повторной проверки антивирусом угроз обнаружено не было, но проблемы с производительностью процессора не ушли. При запуске диспетчера задач показывает загруженность на 100 процентов секунды 2 - 3, потом нормализуется, пока открыт диспетчер, при повторном запуске диспетчера все повторяется. Почитал форум, начал сбор логов, нажав на скрипт на форуме, у меня выдало ошибку, фото ошибки прикрепляю. Какие мои дальнейшие действия? Миниатюры 0

@severnyj 6223 / 2751 / 538 Регистрация: 04.04.2012 Сообщений: 10,054
	24.07.2021, 17:59
	Подготовьте логи FRST: https://www.cyberforum.ru/post7151340.html 1

@severnyj 6223 / 2751 / 538 Регистрация: 04.04.2012 Сообщений: 10,054
	24.07.2021, 20:00
	Из-за массовости заражения рекомендую сделать скан MBAM: https://www.cyberforum.ru/post14229136.html Прикрепите к следующему сообщению. 1

@severnyj 6223 / 2751 / 538 Регистрация: 04.04.2012 Сообщений: 10,054
	24.07.2021, 21:54
	Понимаю, Вы немного устали, но я просил удалить в корзину и подготовить логи FRST: https://www.cyberforum.ru/post7151340.html 0

@Papiros08 0 / 0 / 0 Регистрация: 24.07.2021 Сообщений: 18
	24.07.2021, 22:42 [ТС]
	Простите, я не очень понял, просто скопировать скрипт или его еще куда-то вставить нужно? Вы просто не уточнили этот момент 0

@severnyj 6223 / 2751 / 538 Регистрация: 04.04.2012 Сообщений: 10,054
	24.07.2021, 22:48
	Просто скопировать. FRST выполнит скрипт из буфера обмена 0

@severnyj 6223 / 2751 / 538 Регистрация: 04.04.2012 Сообщений: 10,054
	24.07.2021, 23:05
	Еще раз перезагрузитесь и сообщите, что с проблемами 0

@Papiros08 0 / 0 / 0 Регистрация: 24.07.2021 Сообщений: 18
	24.07.2021, 23:13 [ТС]
	Не могу объективно оценить продуктивность процессора, но я попробовал запустить несколько раз диспетчер задач- и пока что то же самое: первые 2-3 секунды загрузка процессора 100 процентов, далее резко падает 0

@severnyj 6223 / 2751 / 538 Регистрация: 04.04.2012 Сообщений: 10,054
	24.07.2021, 23:31
	Это нормальное поведение диспетчера задач. 0

@Papiros08 0 / 0 / 0 Регистрация: 24.07.2021 Сообщений: 18
	24.07.2021, 23:41 [ТС]
	Ну вот я сейчас попробовал запустить аудио секвенсор с проектом, все те же процессы происходят, к сожалению, пользуюсь FL Studio, начинаю воспроизведение проекта, и он проигрывает проект, и ПК начинает тормозить каждые секунд 5-10, там есть отображение загруженности процессора в секвенсоре, она скачет от 12 процентов до 50, в целом это адекватные цифры +-, а лагает так, как будто процессор полностью загружен, а когда я пытаюсь добавить еще один плагин для обработки, начинается вообще слайд шоу. Можно как-то определить, это из-за вирусов или ПК уже просто не вывозит? 0

@severnyj 6223 / 2751 / 538 Регистрация: 04.04.2012 Сообщений: 10,054
	24.07.2021, 23:49
	Можно запустить диспетчер задач и посмотреть, какие процессы грузят систему кроме FL. 0