[Rozwiązano] Jak usunąć XMRig Miner i zmniejszyć obciążenie procesora?

XMRig Miner - obciążenie procesora. Proszę o pomoc w usunięciu. Próbowałem samemu, ale oporny gnojek
Załączam logi

Udało mi się częściowo usunąć wirusa, ale i tak proszę o sprawdzenie logów w celu usunięcia pozostałości. A jeśli chodzi o systemowego antywirusa z W11, to poległ na całego - takiego śmiecia nie wykrył - sam to zauważyłem w menedżerze zadań.

Zrob skan przy pomocy Mbam, moze byc po wykonaniu i usun to co wykryje.

Wykonaj Fixlist.txt dla FRST:
CloseProcesses:
HKLM\...\Run: [sd] => wscript.exe //B "C:\Users\Marcin\AppData\Local\Temp\sd.vbs" [189824 0] () [Brak podpisu cyfrowego] [Plik w użyciu] <==== UWAGA
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-375213348-790298299-2551872871-1001\...\Run: [GalaxyClient] => [X]
HKU\S-1-5-21-375213348-790298299-2551872871-1001\...\Run: [Opera Browser Assistant] => C:\Users\Marcin\AppData\Local\Programs\Opera\assistant\browser_assistant.exe [4146080 2024-09-25] (Opera Norway AS -> Opera Software)
HKU\S-1-5-21-375213348-790298299-2551872871-1001\...\Run: [CCleaner Smart Cleaning] => C:\Program Files\CCleaner\CCleaner64.exe [45381424 2024-12-04] (Gen Digital Inc. -> Piriform Software Ltd)
HKU\S-1-5-21-375213348-790298299-2551872871-1001\...\Run: [sd] => wscript.exe //B "C:\Users\Marcin\AppData\Local\Temp\sd.vbs" [189824 0] () [Brak podpisu cyfrowego] [Plik w użyciu] <==== UWAGA
HKU\S-1-5-21-375213348-790298299-2551872871-1001\...\Run: [New] => C:\Program Files\New.exe [3457151 2024-12-29] () [Brak podpisu cyfrowego]
Startup: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\h.vbs.lnk [2024-12-30] <==== UWAGA
ShortcutTarget: h.vbs.lnk -> C:\Program Files\h.vbs (Brak pliku) <==== UWAGA
Startup: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sd.vbs [2024-12-29] () [Brak podpisu cyfrowego] <==== UWAGA
Task: {40DC2070-C681-4760-9974-B65CB1F277B7} - System32\Tasks\cFos\Registration Tasks\Open Browser => c:\Users\Marcin\AppData\Local\Programs\Opera\opera.exe [1573272 2024-12-30] (Opera Norway AS -> Opera Software) -> "hxxp://atlas-cfosspeed.com/status/?reg-13.01.3001" <==== UWAGA
Task: {5355ED1A-97F5-4C3E-BFE1-68F4E031D9EE} - System32\Tasks\EOSv3 Scheduler onLogOn => C:\Users\Marcin\AppData\Local\ESET\ESETOnlineScanner\ESETOnlineScanner.exe [15204208 2024-12-30] (ESET, spol. s r.o. -> ESET)
Task: {3079B667-754B-4DF1-A466-B194EBEF66E7} - System32\Tasks\EOSv3 Scheduler onTime => C:\Users\Marcin\AppData\Local\ESET\ESETOnlineScanner\ESETOnlineScanner.exe [15204208 2024-12-30] (ESET, spol. s r.o. -> ESET)
Task: {F6B9F1FC-9406-4678-90BC-85DB967FC130} - System32\Tasks\Microsoft\Windows\Maintenance\SystemSoundsService1Marcin => C:\Windows\System32\InteL\Microsoft\spool.vbs [160 2024-12-29] () [Brak podpisu cyfrowego] <==== UWAGA
Task: {9A3A8986-7654-4BBD-8D87-1201359DAE9B} - System32\Tasks\Microsoft\Windows\Maintenance\SystemSoundsService2Marcin => C:\Windows\System32\InteL\Microsoft\sd.vbs [189824 2024-12-29] () [Brak podpisu cyfrowego] <==== UWAGA
Task: {D07CE24D-AF6A-48DB-A8B4-647EA298C8A9} - System32\Tasks\Microsoft\Windows\Maintenance\SystemSoundsService3Marcin => C:\Windows\System32\InteL\Microsoft\spoof.vbs [160 2024-12-29] () [Brak podpisu cyfrowego]
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Brak pliku)
Task: {5F424286-C933-41E2-B64A-69867CA4C857} - System32\Tasks\New => C:\Program -> Files\New.exe
Task: {6E650AD8-BB71-43E7-A59B-3521C17A1538} - System32\Tasks\Opera scheduled Autoupdate 1734457895 => C:\Users\Marcin\AppData\Local\Programs\Opera\autoupdate\opera_autoupdate.exe [5596568 2024-12-23] (Opera Norway AS -> Opera Software)
CHR HKU\S-1-5-21-375213348-790298299-2551872871-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
S3 GalaxyCommunication; "C:\ProgramData\GOG.com\Galaxy\redists\GalaxyCommunication.exe" [X]
S3 EAAntiCheat; system32\drivers\eaanticheat.sys [X]
S3 EuGdiDrv; \SystemRoot\system32\EuGdiDrv.sys [X]
S3 NEProtect; \??\D:\gry\Steam\steamapps\common\Once Human\NEProtect.sys [X]
2024-12-30 23:42 - 2024-12-30 23:42 - 000003862 _____ C:\Windows\system32\Tasks\EOSv3 Scheduler onLogOn
2024-12-30 23:42 - 2024-12-30 23:42 - 000003420 _____ C:\Windows\system32\Tasks\EOSv3 Scheduler onTime
2024-12-30 23:19 - 2024-12-30 23:21 - 000000000 ____D C:\AdwCleaner
2024-12-30 23:16 - 2024-04-23 10:30 - 000014544 _____ (OpenLibSys.org) C:\Program Files\WinRing0x64.sys
2024-12-29 23:19 - 2024-12-30 19:48 - 000003330 _____ C:\Windows\system32\Tasks\New
2024-12-29 23:19 - 2024-12-29 23:19 - 003457151 ___SH C:\Program Files\New.exe
2024-12-29 23:19 - 2024-04-23 10:31 - 000000748 _____ C:\Program Files\SHA256SUMS
2024-12-29 22:48 - 2024-12-29 22:50 - 000000000 ____D C:\Users\Marcin\AppData\Roaming\RenPy
2024-12-29 22:43 - 2024-12-29 22:43 - 000000000 ____D C:\Windows\system32\InteL
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\Users\Public\Crack
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\Users\Marcin\AppData\Roaming\Godot
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\Test9
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\Test8
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\Test7
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\Test6
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\Test5
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\Test4
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\Test3
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\Test2
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\Test17
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\Test16
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\Test15
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\Test14
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\Test13
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\Test12
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\Test11
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\Test10
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\Test1
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\player9
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\player8
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\player7
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\player6
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\player5
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\player4
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\player3
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\player2
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\player17
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\player16
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\player15
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\player14
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\player13
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\player12
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\player11
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\player10
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\player1
2024-12-29 22:42 - 2024-12-29 22:42 - 000000000 ____D C:\ProgramData\player
2024-12-29 23:19 - 2024-12-29 23:19 - 003457151 ___SH () C:\Program Files\New.exe
2024-12-29 23:19 - 2024-04-23 10:31 - 000000748 _____ () C:\Program Files\SHA256SUMS
2024-12-30 23:16 - 2024-04-23 10:30 - 000014544 _____ (OpenLibSys.org) C:\Program Files\WinRing0x64.sys
2024-12-14 16:24 - 2024-12-14 16:24 - 000000048 ____R () C:\Users\Marcin\AppData\Local\5A11EE97E88182547863ED56BBFD5398
2024-12-07 14:14 - 2024-12-07 14:14 - 000000048 ____R () C:\Users\Marcin\AppData\Local\90FABC9B21C38207CEDCE4776A3100AE

Po wykonaniu zamiesc nowe logi, ze skanowania.

>>21370362 Mbam nic nie znalazł
Załączam logi
Przejrzyj, jak możesz, dziękuję za pomoc.
CFosspeed i ESET Scanner sam instalowałem, ale poszło wszystko, jak podałeś.

To zbedne:
Avast AntiTrack Premium (HKLM-x32\...\AvastAntiTrackPremium) (Version: 3.5.1570.2222 - Avast Software)
Avast Cleanup Premium (HKLM\...\Avast Cleanup) (Version: 24.3.17165.19178 - Avast Software) <- to szczegolnie.
Avast SecureLine VPN (HKLM\...\Avast SecureLine) (Version: 24.12.10985.14274 - Avast Software)
CCleaner (HKLM\...\CCleaner) (Version: 6.31 - Piriform)
Combo Cleaner (HKLM-x32\...\InstallShield_{8C9F8853-52F7-46F3-BC78-98001D3FF40C}) (Version: 1.0.67.0 - RCS LT)

Fixlist.txt:
HKLM\...\Run: [TuneupUI.exe] => C:\Program Files\Avast Software\Cleanup\TuneupUI.exe [6676264 2024-12-31] (Avast Software s.r.o. -> Gen Digital Inc.)
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
Task: {7A14C6E1-A141-4A9A-B8A5-999171C86079} - System32\Tasks\CCleanerCrashReporting => C:\Program Files\CCleaner\CCleanerBugReport.exe [5983536 2024-12-04] (Gen Digital Inc. -> Gen Digital Inc.) -> --product 90 --send dumps|report --path "C:\Program Files\CCleaner\LOG" --programpath "C:\Program Files\CCleaner" --guid "c9c459c2-02e7-4cf4-bf19-da713fc5bd3b" --version "6.31.11415" --silent
Task: {9B28EF10-9F50-48BD-85AA-ABF637880D33} - System32\Tasks\CCleanerSkipUAC - Marcin => C:\Program Files\CCleaner\CCleaner.exe [39151920 2024-12-04] (Gen Digital Inc. -> Piriform Software Ltd)
Task: C:\Windows\Tasks\CCleanerCrashReporting.job => C:\Program Files\CCleaner\CCleanerBugReport.exe
Task: C:\Windows\Tasks\CreateExplorerShellUnelevatedTask.job => C:\Windows\explorer.exe
Edge HKLM\...\Edge\Extension: [bojobppfploabceghnmlahpoonbcbacn]
Edge HKLM-x32\...\Edge\Extension: [bojobppfploabceghnmlahpoonbcbacn]
CHR HKLM\...\Chrome\Extension: [ihcjicgdanjaechkgeegckofjjedodee]
CHR HKLM-x32\...\Chrome\Extension: [ihcjicgdanjaechkgeegckofjjedodee]
Hosts:
I:\sd.vbs

>>21371139
Ok, dzięki.
Tylko pytanie. Mam Avasta w wersji premium, zalecasz usunięcie?
Z wypisanych aktywny mam tylko Avast Cleanup i Premium Security.
I co w takim razie używać w zastępstwie, skoro systemowy antywirus nie daje rady, jak widać?
Zauważyłem, że jak jest Avast, to strony wolniej się ładują, ale może to też wina Mbam Premium?

Mozesz zostawic Avasta, koparki nie wykrywa dlatego, ze jakbys sam chcial kopac to by usuwal, moglby chociaz informowac.

ok, dzieki za pomoc i info, pozdrawiam

problem rozwiązany z pomocą kol. Kolobos