Непонятный процесс, который грузит ЦП.
 

Здравствуйте пользователи форума! У меня случилась следующая проблема, появился какой-то не понятный процесс, который очень сильно грузит ЦП. Обнаружил я его в диспетчере задач, после того как мой вентилятор при первом запуске крутится что сумасшедший. При попытке снятия, данный процесс появляется снова, помогает только приостановление данного процесса. после того как его приостанавливаю, вентилятор перестает работать в бешеном темпе, и нагрузка на процессор падает. Пожалуйста, помогите мне разобраться с данной проблемой.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Hosts сами патчили?

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников http://rghost.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ и дайте на него ссылку в Вашей теме.

+ сделайте лог этой утилитой.

Данный файл отправил как Вы и просили, файл Hosts был отредактирован вручную, используя информацию о рекламных сайтах на других ресурсах.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

И для Вас сделал, то, что Вы просили, ссылка на архив: http://rgho.st/6MyFnrs7q а также ссылка на лог: http://rgho.st/7FTMd2w8q

Пожалуйста.

Он отредактирован не совсем верно, нужно заворачивать на localhost т.е. на 127.0.0.1 Да и подход защиты через host очень спорный и не эффективный, да и может приводить к замедлению работы компьютера.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  ---

  Start::
CreateRestorePoint:
VirusTotal: C:\Users\Destroying\AppData\Roaming\NotifyStorage1\NotifySystem.exe
() C:\Users\Destroying\AppData\Roaming\NotifyStorage1\NotifySystem.exe
() C:\Users\Destroying\AppData\Roaming\t6O8K\Cizb.exe
() C:\Users\Destroying\AppData\Roaming\t6O8K\QNx\svchost.exe
() C:\Users\Destroying\AppData\Roaming\t6O8K\uRz\xm_3\sse42.exe
HKU\S-1-5-21-1237128432-1125515052-1262307622-1000\...\Run: [CzO] => C:\Users\Destroying\AppData\Roaming\t6O8K\Cizb.exe [4948480 2017-08-16] ()
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445","hxxp://www.yoursearching.com/?type=hp&ts=1452908515&z=64f70be1efae94581ad04b3g5zdwdodt3edb1w9c6e&from=face&uid=HitachiXHTS545032B9A300_100428PBP30016EA191LX","hxxp://mypoisk.su/"
S1 vdi1njiw; C:\Windows\SysWOW64\Drivers\vdi1njiw.sys [13312 2017-08-21] () [File not signed]
C:\Windows\SysWOW64\Drivers\vdi1njiw.sys
2017-08-16 21:18 - 2017-08-16 21:19 - 000325120 _____ () C:\Users\Destroying\AppData\Roaming\m.exe
2017-08-16 21:19 - 2017-08-21 22:30 - 000000000 _____ () C:\Users\Destroying\AppData\Roaming\s.s
Task: {C4880520-681A-4C8A-AFF8-E983997008BB} - \GoogleUpdateTaskMachineUI  -> No File <==== ATTENTION
2017-08-16 21:19 - 2017-08-16 21:19 - 004948480 _____ () C:\Users\Destroying\AppData\Roaming\t6O8K\Cizb.exe
2016-12-16 11:09 - 2016-12-16 11:09 - 002967040 _____ () C:\Users\Destroying\AppData\Roaming\t6O8K\QNx\svchost.exe
2017-03-04 19:45 - 2017-03-04 19:45 - 002409984 _____ () C:\Users\Destroying\AppData\Roaming\t6O8K\uRz\xm_3\sse42.exe
2015-03-09 02:02 - 2015-03-09 02:02 - 000361654 _____ () C:\Users\Destroying\AppData\Roaming\t6O8K\uRz\xm_3\libcurl-4.dll
2015-03-09 01:52 - 2015-03-09 01:52 - 000108544 _____ () C:\Users\Destroying\AppData\Roaming\t6O8K\uRz\xm_3\libz-1.dll
2015-03-09 02:35 - 2015-03-09 02:35 - 000077475 _____ () C:\Users\Destroying\AppData\Roaming\t6O8K\uRz\xm_3\libgcc_s_seh-1.dll
2015-03-09 01:58 - 2015-03-09 01:58 - 000444399 _____ () C:\Users\Destroying\AppData\Roaming\t6O8K\uRz\xm_3\libgmp-10.dll
2015-03-09 02:59 - 2015-03-09 02:59 - 000071103 _____ () C:\Users\Destroying\AppData\Roaming\t6O8K\uRz\xm_3\libjansson-4.dll
2015-03-09 02:35 - 2015-03-09 02:35 - 000930660 _____ () C:\Users\Destroying\AppData\Roaming\t6O8K\uRz\xm_3\libstdc++-6.dll
C:\Users\Destroying\AppData\Roaming\t6O8K\
C:\Users\Destroying\AppData\Roaming\NotifyStorage1\NotifySystem.exe
EmptyTemp:
Reboot:
End::

  ---

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

nointegritychecks: ==> "IntegrityChecks" is disabled. <==== ATTENTION - функцию проверки подписей файлов при загрузке сами отключали?

Нет, я ничего такого не делал.

Также я хотел бы уточнить, что после данного фикса, у меня вышло из всех аккаунтов, а также электронных ящиков. после попытки входа мне написали что возможно мой аккаунт был заблокирован и перекидывает для восстановление на не понятный ресурс. https://e.mail.ru/cgi-bin/passremind?type=mrim это на примере mail.ru в одну почту мне удалось зайти каким то образом. Хотелось бы уточнить, данный фикс не подразумевает каких либо краж паролей или серфа?

Нет.

данный фикс подразумевает - удаление указанных записей реестра или файлов.

В таком случае, пожалуйста, порекомендуйте мне чем можно проверить систему на наличие фишингово По и прочей гадости, так как с системой происходит что то не понятное, особенно с данными авторизации и сайтами.

Скажите пожалуйста, это нормально? http://radikal.ru/lfp/s019.radikal.r...355fa0.jpg/htm

Destroying, нет, мы же только приступили к лечению, ибо заразы в системе очень много. Как долечите систему cureit, сделайте свежий лог FRST. И лог Cureit тоже прикрепите, мне нужно знать, чего нашла утилита.

Из всего скрипта только одна команда подразумевала связь с вне, это отправка файла на проверку в VT

https://www.virustotal.com/ru/file/1...is/1503398953/

И да, скрипт чистил кеши, возможно в этом причина разлогина.

Как и просили, свежие логи, и лог от cureit http://rgho.st/7Fc2XJCCy

Нет.

Не паникуйте , дождитесь окончания лечения и выполняйте рекомендации.

Посмотрел лог cureit и могу сказать следующее, есть риск, что у вас украли пароли, в том числе те что могли быть записаны в текстовых документах (утилиты для чтения сохраненных в браузере паролях + софт для несанкционированного подключения к компьютеру).

Перед выполнением скрипта проверьте состояние системы https://safezone.cc/resources/prover...ilitoj-sfc.55/

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  ---

  Start::
CreateRestorePoint:
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445","hxxp://www.yoursearching.com/?type=hp&ts=1452908515&z=64f70be1efae94581ad04b3g5zdwdodt3edb1w9c6e&from=face&uid=HitachiXHTS545032B9A300_100428PBP30016EA191LX","hxxp://mypoisk.su/"
nointegritychecks: ==> "IntegrityChecks" is disabled. <==== ATTENTION

EmptyTemp:
Reboot:
End::

  ---

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

Господа! Значит после выполнения данных действий: https://prnt.sc/gc3qp0 и перезагрузки компьютера, моя система больше не запустилась. Значит было какое то не понятное обновление, после чего windows не смог запуститься, и было запущено автоматическое восстановление запуска системы, минут 20-30 оно что то восстанавливало, но так и не восстановило, выдав ошибку "Средство восстановления запуска не может автоматически восстановить этот компьютер". После перезагрузки появляется строка загрузка файлов, затем окно восстановления файлов, заходит в среду восстановления. Я пробовал откатить систему, пробовал запуск с последней удачной конфигурацией, пробовал запустить исправление ошибок жесткого диска, пробовал восстановить разделы реестра из резервной копии, а именно из папки RegBack переместить файлы с последующем переименованием в расширение .bad SYSSTEM и SOFRWARE в папку config. Короче ничего не помогло, опять запихивает в данную среду, и после проверки и поступления очередной аналогичной ошибки, остается только нажать клавишу "Готово", и ноутбук выключается. Весь этот процесс можно повторять до бесконечности, и он ни к чему не приведет. На данный момент сижу с другого ноута, и устанавливаю винду по новой, так как даже с загрузочной флешки не получилось ничего сделать. Собственно что я хочу спросить. Так как я чайник, я реально уже устал от тщетных попыток пролечить, а потом запустить систему, мой вопрос заключается в следующем, может быть Вы мне посоветуете нормальную копию windows, с нормальными драйверами для моего ноутбука, я бы сделал полное форматирование жесткого диска, после чего бы установил систему и драйвера, затем отписался бы в данной теме и предоставил необходимые логи. Если данное действие не требуется, отпишите пожалуйста что мне нужно сделать.

Понятно. Когда загружаетесь по F8 есть пункт загрузиться без проверки подписи драйверов, система должна загрузиться, тогда этот скрипт в FRST вернет все как было. Смысла трогать реестр нет, изменение было в загрузчике.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  ---

  Start::
CreateRestorePoint:
nointegritychecks on:
Reboot:
End::

  ---

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.


Ну мы как-бы были на финишной прямой. Но если уж решились на переустановку, обязательно смените пароли от критических сервисов (почта, банковские данные и т.д.)

Вот аналогичное описание и решение проблемы http://forum.oszone.net/thread-270305.html

Я сейчас этим занимаюсь, сейчас переустановлю windows и драйвера, затем сделаю на чистой винде Вам логи, возможно проблема кроется в моей сборке или же в драйверах, хотя сейчас скачаю с официального сайта MSI, также полностью отформатирую оба раздела жесткого диска. Хотелось бы заранее получить от Вас совет для установки антивирусника, а именно какой бы Вы порекомендовали для домашнего пользования? Не хотелось бы повторения данной картины...

Проблема была изначально в кривой сборке, можно было использовать любой неподписанный драйвер. По повода антивируса, попробуйте выбрать между бесплатным Avast или KFA. И прочтите для ознакомления Рекомендации после лечения

Не могли бы Вы, в таком случае, порекомендовать более лучший вариант сборки или же предоставить ссылку, где можно скачать безопасный Windows7.

Увы не могу, ибо это нарушений правил форума и моего соглашения с MS

Очень жаль, а в каком случае можно получить от Вас данный совет корректно, не нарушая правил форума и данного соглашения?

Сомневаюсь, уже несколько лет использую лицензионное ПО, теперешние тенденции вареза просто не отслеживаю.

а где можно скачать образ лицензионной версии windows 7, это вообще возможно?

win7 похоже уже нет https://www.microsoft.com/ru-ru/Soft...windows10.aspx

Господа, спасибо Вам больше, всем кто пытался мне помочь устранить данную проблему. Поскольку я переустановил Windows с полным форматированием, я думаю что данную тему можно закрывать. Но если у Вас остались подозрения, что что то могло остаться, я выполню действия которые Вы порекомендуете, и предоставлю логи.

Разве, что проверить на уязвимости систему можно.
Подготовьте лог лог SecurityCheck by glax24

SecurityCheck by glax24 & Severnyj v.1.4.0.52 [25.07.17]
WebSite: www.safezone.cc
DateLog: 29.08.2017 22:32:53
Path starting: C:\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Destroying
VersionXML: 4.59is-27.08.2017
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 23.08.2017 18:25:05
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [68.4 Гб] Занято: [21 Гб] Свободно: [47.4 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17728 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
Учетная запись гостя включена. Пароль не установлен.
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138910 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3156019 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3170455 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Avast Free Antivirus v.17.5.2303
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
7-Zip 16.04 (x64 edition) v.16.04.00.0
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.0.0 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 144 (64-bit) v.8.0.1440.1
Java 8 Update 11 (64-bit) v.8.0.110 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u144-windows-x64.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 26 ActiveX v.26.0.0.151
Adobe Flash Player 26 NPAPI v.26.0.0.151
Adobe Shockwave Player 12 ActiveX [Full] v.12.1.8.158 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.60.0.3112.113
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.60.0.3112.113
------------------ [ AntivirusFirewallProcessServices ] -------------------
Avast Antivirus (avast! Antivirus) - Служба работает
C:\Program Files\AVAST Software\Avast\AvastSvc.exe v.17.5.3585.0
aswbIDSAgent (aswbIDSAgent) - Служба работает
C:\Program Files\AVAST Software\Avast\avastui.exe v.17.5.3585.203
Защитник Windows (WinDefend) - Служба остановлена
----------------------------- [ End of Log ] ------------------------------

Нужно пройтись по замечаниям, и по возможности, исправить их.