Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Загружается ЦП в простое после заражения.

Ответить
Настройки темы
Загружается ЦП в простое после заражения.

Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: zip CollectionLog-2018.10.11-20.09.zip
(73.8 Kb, 2 просмотров)
Здравствуйте !
У меня такая проблема! Несколько дней назад при установке программы из интернета подхватил вирус, случайно проигнорировав предупреждение Защитника Windows. В итоге было обнаружено почти десяток троянов. Пользовался утилитой Kaspersky Virus Removal Tool. Вроде бы все угрозы обезвредил. Потом прошуршал утилитой AVZ, она ничего подозрительного не нашла. Но проблема не исчезла. Заметил что процессор в простое стал нагружаться от 35 до 60 %. А когда открываю диспетчер задач, то сразу спад до 8-10%. Ещё один момент.... когда отключаю интернет, то загрузка ЦП падает до нормального состояния (5-10%)
Компуктер новый, винты не засорены. Система Windows 10 х64.
Помогите пожалуйста !!! Ну уж очень не хочется сносить ось.
Лог прикрепил.

Отправлено: 20:17, 11-10-2018

 

Аватара для akok

Ветеран


Консультант


Сообщения: 619
Благодарности: 152

Профиль | Сайт | Отправить PM | Цитировать


Freemake Improver - деинсталлируйте

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код: Выделить весь код
 begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('dssec', 4);
 SetServiceStart('fmwmbpmb', 4);
 SetServiceStart('jgoppokq', 4);
 SetServiceStart('jywujyll', 4);
 SetServiceStart('kuwgbije', 4);
 SetServiceStart('lvoutnef', 4);
 SetServiceStart('Versions Watcher', 4);
 QuarantineFile('c:\users\Михалыч - Пурпурович\appdata\roaming\dssec\dssec.exe', '');
 QuarantineFile('c:\users\Михалыч - Пурпурович\appdata\roaming\versions watcher\versions watcher.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\fmwmbpmb.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\jgoppokq.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\jywujyll.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\kuwgbije.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\lvoutnef.sys', '');
 DeleteFile('c:\users\Михалыч - Пурпурович\appdata\roaming\dssec\dssec.exe', '32');
 DeleteFile('C:\Users\Михалыч - Пурпурович\AppData\Roaming\Versions Watcher\Versions Watcher.exe', '32');
 DeleteFile('C:\Windows\system32\drivers\fmwmbpmb.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\jgoppokq.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\jywujyll.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\kuwgbije.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\lvoutnef.sys', '64');
 DeleteService('dssec');
 DeleteService('fmwmbpmb');
 DeleteService('jgoppokq');
 DeleteService('jywujyll');
 DeleteService('kuwgbije');
 DeleteService('lvoutnef');
 DeleteService('Versions Watcher');
 DeleteSchedulerTask('Online Application V2G1.job');
 DeleteSchedulerTask('Online Application V2G2.job');
 DeleteSchedulerTask('Online Application V2G3.job');
 DeleteSchedulerTask('Online Application V2G4.job');
 DeleteSchedulerTask('Online Application V2G5.job');
 DeleteSchedulerTask('Online Application V2G6.job');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код: Выделить весь код
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма..

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код: Выделить весь код
O4 - HKCU\..\Run: [YoutubeDownloader_upd] = C:\Users\Михалыч - Пурпурович\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe "start.pyc" ml3
O22 - Task (.job): (Not scheduled) Online Application V2G1.job - C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe (file missing) 1 69
O22 - Task (.job): (Not scheduled) Online Application V2G2.job - C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe (file missing) 1 70
O22 - Task (.job): (Not scheduled) Online Application V2G3.job - C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe (file missing) 1 71
O22 - Task (.job): (Not scheduled) Online Application V2G4.job - C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe (file missing) 1 60
O22 - Task (.job): (Not scheduled) Online Application V2G5.job - C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe (file missing) 1 61
O22 - Task (.job): (Not scheduled) Online Application V2G6.job - C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe (file missing) 1 62
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

-------
https://safezone.cc


Отправлено: 22:56, 11-10-2018 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: txt AdwCleaner[S00].txt
(5.3 Kb, 3 просмотров)

Всё сделал как указано.
Пофиксил. Правда один код только нашёл.
файл с карантином отправил.
Отчёт прикрепил.

Отправлено: 00:21, 12-10-2018 | #3


Аватара для Sandor

Ветеран


Консультант


Сообщения: 4042
Благодарности: 1005

Профиль | Отправить PM | Цитировать


Цитата On9Tb_25:
Правда один код только нашёл »
Утилиту нужно запускать эту:
Цитата:
C:\Users\Михалыч - Пурпурович\Desktop\ДЛЯ ДИАГНОСТИКИ\AutoLogger\HiJackThis\HiJackThis.exe
Повторите.

Далее:
1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Это сообщение посчитали полезным следующие участники:

Отправлено: 08:34, 12-10-2018 | #4


Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: txt AdwCleaner[S01].txt
(1.3 Kb, 0 просмотров)
Тип файла: txt Addition.txt
(53.1 Kb, 3 просмотров)
Тип файла: txt FRST.txt
(97.6 Kb, 1 просмотров)

Вот отчёты.

Отправлено: 15:53, 14-10-2018 | #5


Аватара для Sandor

Ветеран


Консультант


Сообщения: 4042
Благодарности: 1005

Профиль | Отправить PM | Цитировать


Отчет об очистке содержит в имени файла символ [Cxx], а не [Sxx]. Покажите его.

Далее:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: Выделить весь код
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    Task: {0182C475-4E49-4ECA-920F-D5806B2F2830} - System32\Tasks\YoutubeDownloader_upd => C:\Users\Михалыч - Пурпурович\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Отправлено: 18:45, 14-10-2018 | #6


Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: txt AdwCleaner[S00].txt
(5.3 Kb, 0 просмотров)
Тип файла: txt AdwCleaner[C00].txt
(4.8 Kb, 1 просмотров)
Тип файла: txt Fixlog.txt
(2.2 Kb, 1 просмотров)

Вот

Отправлено: 20:20, 14-10-2018 | #7


Аватара для Sandor

Ветеран


Консультант


Сообщения: 4042
Благодарности: 1005

Профиль | Отправить PM | Цитировать


Что сейчас с проблемой?

Отправлено: 08:19, 15-10-2018 | #8


Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать


Проблема исчезла ! Большое спасибо за помощь !!!

Отправлено: 17:29, 15-10-2018 | #9


Аватара для akok

Ветеран


Консультант


Сообщения: 619
Благодарности: 152

Профиль | Сайт | Отправить PM | Цитировать


Подготовьте лог лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

-------
https://safezone.cc


Отправлено: 19:25, 15-10-2018 | #10



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Загружается ЦП в простое после заражения.

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
ЦП грузится в простое DimeBeer Лечение систем от вредоносных программ 3 03-04-2018 09:26
Службы - ntoskrnl.exe грузит цп при простое alexey11178 Microsoft Windows 8 и 8.1 1 02-04-2015 08:39
Разное - Чрезмерная загрузка ЦП при простое Стасон86 Microsoft Windows 8 и 8.1 7 10-07-2014 01:10
Загрузка ЦП При простое от 50%!! Samonchik Непонятные проблемы с Железом 2 12-09-2011 09:38
[решено] Ошибка, после которой ЦП загружается на 100% Himic Microsoft Windows 2000/XP 7 05-07-2006 09:51




 
Переход