Здравствуйте. Тут уже была подобная тема.

При работе ноутбука начинает сильно шуметь кулер. Загружается ЦП не сразу после запуска каких-либо программ, а в течении какого-то времени.Но, как только запускаю диспетчер задач , загрузка ЦП падает с 70-100% до 2-10% . Проверял разными антивирусами , также делал проверку при безопасном режиме , ничего не находят. Прикрепил диагностику и лог.

Помогите пожалуйста найти где сидит этот вирус... или майнер...

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).


1. Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Program Files (x86)\Google\Chrome\chrome.bat', '');
QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.bat', '');
QuarantineFile('C:\Program Files (x86)\Mozilla Firefox\firefox.bat', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mоzillа Firеfох.lnk', '');
QuarantineFile('C:\Users\Александр\AppData\Local\Yandex\YandexBrowser\Application\browser.bat', '');
QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mоzillа Firеfох.lnk', '');
QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk', '');
QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk', '');
QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndех.lnk', '');
DeleteFile('C:\Program Files (x86)\Google\Chrome\chrome.bat', '');
DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.bat', '');
DeleteFile('C:\Program Files (x86)\Mozilla Firefox\firefox.bat', '');
DeleteFile('C:\Users\Александр\AppData\Local\Yandex\YandexBrowser\Application\browser.bat', '');
ExecuteSysClean;
ExecuteRepair(9);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина (http://dragokas.com/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.


2. Файл CheckBrowserLnk.log
из папки
...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK (http://dragokas.com/tools/ClearLNK.zip).

http://dragokas.com/tools/move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


3. Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

Выполнил все по пунктам.
приложил файлы
.. но только файл quarantine.7z я не смог отправить. Просто у меня на компе есть другой экземпляр AVZ в другой папке, я оттуда запускал AVZ и файл quarantine.7z не появился. оба скрипта запускал на AVZ из своей папки,
к сожалению недопонял сначала что AVZ есть в папке AutoLogger ((
утилита AVZ у меня скачана отсюда https://support.kaspersky.ru/14612#block2

что-то мне переделать?

на компе есть другой экземпляр AVZ в другой папке, я оттуда запускал AVZ »
Конечно не верно. Мы ведь даём инструкции и их желательно выполнять в точности.

"Пофиксите" в HijackThis (http://forum.oszone.net/post-1430293-2.html):

O26 - Debugger: HKLM\..\dismHost.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\EOSNOTIFY.EXE: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\InstallAgent.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\MusNotification.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\MUSNOTIFICATIONUX.EXE: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\remsh.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\SIHClient.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\UpdateAssistant.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\UPFC.EXE: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\UsoClient.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\WaaSMedic.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\WaasMedicAgent.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\Windows10Upgrade.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\WINDOWS10UPGRADERAPP.EXE: [Debugger] = * (file missing)


Затем:
Скачайте Farbar Recovery Scan Tool (https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (или с зеркала (https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/)) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('https://safezone.cc/threads/17759/').

Доброе утро!
Все сделал. В этот раз без ошибок, четко по плану.
файл FRST.txt прикрепил, но файла Addition.txt нет в папке, то есть он не создался как я понимаю.

Возможно до начала сканирования в разделе "Дополнительное Сканирование" была снята галочка с пункта Addition.txt
Удалите файл FRST.txt, запустите программу, убедитесь, что галочка стоит и нажмите "Сканировать".

Удалил файл FRST.txt , запустил программу, убедился, что галочка стоит и нажал "Сканировать".
теперь оба файла есть.
..для сведения - мне показалось программа FRST отработала по другому. В первый раз в начале она создавала точку восстановления, потом появилась надпись типа "программа готова к работе" и я нажал сканирование и сканирование прошло довольно быстро. А в этот раз точка восстановления не создавалась, сразу появилось "программа готова к работе" и само сканирование, как мне показалось, шло дольше. - может это ничего не значит, просто написал.
...да, и проблема пока не ушла - Загружен ЦП. Открыв диспетчер задач, загрузка резко падает., Какое-то время все кажется нормально, но потом диспетчер задач самопроизвольно закрывается, после этого процессор снова загружается.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.
Выделите следующий код:
Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1652166641-4265355984-1551046396-1002\...\MountPoints2: {836c6bae-dbe4-11e6-bf4b-2016d88e0a8e} - "I:\Autoplay.exe" -auto
HKU\S-1-5-21-1652166641-4265355984-1551046396-1002\...\MountPoints2: {de5a2f05-24a9-11e4-be8c-2016d88e4256} - "F:\AutoRun.exe" {D2D77DC2-8299-11D1-8949-444553540000} 5.2066.1.A14B04 PID_0083 {01D42BF0-ED08-463f-8A28-99EB6FEE962B}
GroupPolicy-x32: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy-x32\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {E0A4FE5C-FA0F-412C-A5AD-71DA78F4C38C} - System32\Tasks\Driver Booster SkipUAC (Александр) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Default\Extensions\bejnpnkhfgfkcpgikiinojlmdcjimobi
CHR HKU\S-1-5-21-1652166641-4265355984-1551046396-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gojnmemgacliifihcagijaadgpeioooa]
CHR HKU\S-1-5-21-1652166641-4265355984-1551046396-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd]
CHR HKU\S-1-5-21-1652166641-4265355984-1551046396-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme]
CHR HKU\S-1-5-21-1652166641-4265355984-1551046396-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf]
CHR HKU\S-1-5-21-1652166641-4265355984-1551046396-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk]
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi]
CHR HKLM-x32\...\Chrome\Extension: [daanglpcpkjjlkhcbladppjphglbigam]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck]
CHR HKLM-x32\...\Chrome\Extension: [fcoadmpfijfcmokecmkgolhbaeclfage]
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
CHR HKLM-x32\...\Chrome\Extension: [hdpgllbnilfcbckbdchjcfgopijgllcm]
BRA HomePage: Default -> inline.go.mail.ru
C:\Users\Александр\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Extensions\hdpgllbnilfcbckbdchjcfgopijgllcm
C:\Users\Александр\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Extensions\odijcgafkhpobjlnfdgiacpdenpmbgme
R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2909472 2015-07-30] (IObit Information Technology -> IObit)
AlternateDataStreams: C:\Users\Александр\Documents\f83.mq4:CursorPos [890]
AlternateDataStreams: C:\Users\Александр\Documents\f83.mq4:LineFlags [898]
AlternateDataStreams: C:\Users\Александр\Documents\f83_copy.mq4:CursorPos [890]
AlternateDataStreams: C:\Users\Александр\Documents\f83_copy.mq4:LineFlags [898]
AlternateDataStreams: C:\Users\Александр\Documents\k74.mq4:CursorPos [890]
AlternateDataStreams: C:\Users\Александр\Documents\k74.mq4:LineFlags [1010]
AlternateDataStreams: C:\Users\Александр\Documents\k87.mq4:CursorPos [890]
AlternateDataStreams: C:\Users\Александр\Documents\k87.mq4:LineFlags [914]
AlternateDataStreams: C:\Users\Александр\Documents\m60.mq4:CursorPos [890]
AlternateDataStreams: C:\Users\Александр\Documents\m60.mq4:LineFlags [930]
AlternateDataStreams: C:\Users\Александр\Documents\myOrderLines_deldel.mq4:CursorPos [890]
AlternateDataStreams: C:\Users\Александр\Documents\myOrderLines_deldel.mq4:LineFlags [898]
AlternateDataStreams: C:\Users\Александр\Documents\OsMA_MarGo-09_maket.mq4:CursorPos [890]
AlternateDataStreams: C:\Users\Александр\Documents\OsMA_MarGo-09_maket.mq4:LineFlags [866]
FirewallRules: [{76634E1B-49E6-421F-9A17-8FA4E4495170}] => (Allow) C:\Program Files\Common Files\mcafee\mcsvchost\McSvHost.exe (McAfee, Inc. -> McAfee, Inc.)
FirewallRules: [{B06D54B0-7025-49AD-ACED-E7AE871CB824}] => (Allow) C:\Program Files\Common Files\mcafee\mcsvchost\McSvHost.exe (McAfee, Inc. -> McAfee, Inc.)
FirewallRules: [{F8712FA7-D507-4CFF-9D1A-86C75AC1FB18}] => (Allow) LPort=2869
FirewallRules: [{87E4ABC1-25D0-467D-A4E6-AB67CE60098F}] => (Allow) LPort=1900
FirewallRules: [{40903277-AFE7-4660-868F-AA938949FFC1}] => (Allow) LPort=8317
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве ('https://safezone.cc/threads/17760/').

Доброе утро!
инструкции выполнил, файл прикрепил!

.. проблема пока не ушла ((( снова сейчас закрылся диспетчер и загрузился проц..

Что сейчас с проблемой?
Если по-прежнему, проверьте наблюдается ли подобное в безопасном режиме (https://safezone.cc/threads/kak-zagruzit-windows-v-bezopasnom-rezhime-safe-mode.19645/). Сообщите результат.

В обычном режиме проблема осталась. Перезанрузидся сейчас в безопасный.
Минут около 10 , пока проблема не проявляется.
Пишу с телефона.

Если в безопасном режиме проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь ('http://support.microsoft.com/kb/929135').

Добрый день!
Отвечаю не сразу по времени была напряженка.
По сути - Отключил все службы. Перезагрузился.
Эффект "Загружен ЦП. Открыв диспетчер задач, загрузка резко падает" - остался.
проверил снова службы - запустилась две службы связанные с авастом. Остальные отключены.
Еще хочу добавить что в прошлый раз когда мы с Вами делали все процедуры, я все это делал когда у меня был открыт диспетчер задач, а в это время вирус как раз не проявляется.
Может имеет смысл повторить поиск?? - я буду делать все только в момент когда вирус выключит диспетчер задач.

Добавлю - сейчас ставил запись экрана с момента когда запущен диспетчер и до момента когда он выключится, чтоб записать появление тех процессов которые появляются и затем вырубают диспетчер.
процессы появляются - сначала TG_1.4.16.95 (32 бита) затем TiWorker
Запись есть.

Хорошо, проделайте следующее:

Скачайте AutorunsVTchecker (https://safezone.cc/resources/211/). Распакуйте и запустите. Не дожидаясь окончания сканирования,
Скачайте Universal Virus Sniffer (https://safezone.cc/resources/7/) (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.
Подробнее читайте в руководстве Как подготовить лог UVS. (https://safezone.cc/threads/14508/#post-79351)

Добрый день!
Все инструкции выполнил.
Лог после работы Universal Virus Sniffer прикрепляю к сообщению

Думал что файл вложился, а оказалось закончилось место выделенное на сайте.
прикрепляю здесь.

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

MediaGet
uBar
Unity Web Player
Обнови Софт


Далее:
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (https://safezone.cc/threads/18577/).
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c

;---------command-block---------
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\DRIVERBOOSTER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
delref HTTP://RUSEARCHER.COM/SEARCH.PHP?US=SEARCHER&PCID=E3137062-4CC7-49C2-AD4C-C52A02DD821A&PID=9&QUERY={SEARCHTERMS}
delref HTTP://GO.MAIL.RU/SEARCH?FR=NTG&Q=
zoo %SystemDrive%\USERS\À€À»ÀµÀªÑÀ°À½À¥Ñ€\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\AB WXCI53.DEFAULT\SEARCHPLUGINS\RUSEARCHER.XML
delall %SystemDrive%\USERS\À€À»ÀµÀªÑÀ°À½À¥Ñ€\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\AB WXCI53.DEFAULT\SEARCHPLUGINS\RUSEARCHER.XML
apply

deltmp
czoo
restart
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

Подробнее читайте в этом руководстве (https://safezone.cc/threads/14509/#post-79352).


Затем:

Скачайте AdwCleaner (by Malwarebytes) (https://toolslib.net/downloads/viewdownload/1-adwcleaner/) и сохраните его на Рабочем столе.
Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250).

Доброе утро!
Сейчас начинаю выполнять инструкции... вопрос возник - а это правильно что в скрипте, который надо выполнить, в 10 и 11 строках присутствуют символы вида "À€À»ÀµÀªÑÀ°À½À¥Ñ€"

Да, правильно.