Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Powershell.exe грузит процессор (http://forum.oszone.net/showthread.php?t=339834)

Vilgon 25-03-2019 15:43 2865040
Powershell.exe грузит процессор
 
Вложений: 1
Подскажите как решить проблему. Процесс Powershell.exe загружает процессор на 70%. В диспетчере задач его нет. Но в мониторе ресурсов присутствует. Включается не сразу с запуском системы а через некоторое время (1-2 часа).
Система Windows 7х64.
Прикрепил логи.

Sandor 25-03-2019 16:01 2865046
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\temp\cohernece.exe');
 QuarantineFile('c:\windows\temp\cohernece.exe', '');
 QuarantineFile('C:\Windows\winstart.bat', '');
 DeleteFile('c:\windows\temp\cohernece.exe', '');
 DeleteFile('c:\windows\temp\cohernece.exe', '64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis:
Код:
O25 - WMI Event: Windows Events Consumer - Windows Events Filter - Event="__InstanceModificationEvent WITHIN 5600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  powershell.exe -NoP -NonI -W Hidden -E JABwAGkAbgAgAD0AIABuAGUAdwAtAG8AYgBqAGUAYwB0ACAAcwB5AHMAdABlAG0ALgBuAGUAdAAuAG4AZQB0AHcAbwByAGsAaQBuAGYAbwByAG0AYQB0AGkAbwBuAC4AcABpAG4AZwANAAoAJABzAGUAPQBA
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

Vilgon 25-03-2019 16:14 2865054
Вложений: 1
Все сделал вот новый лог

Sandor 25-03-2019 16:31 2865056
Проблема решена?

Vilgon 25-03-2019 16:34 2865057
Пока процесс не появился но посмотрю через пару часов (он не сразу объявляется)

Sandor 25-03-2019 16:38 2865060
Хорошо.

В завершение (одно другому не помешает):
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Vilgon 26-03-2019 12:18 2865182
Спасибо за помощь проблема решилась.

Sandor 26-03-2019 12:20 2865183
Предыдущую рекомендацию всё же выполните.


Время: 14:46.

Время: 14:46.
© OSzone.net 2001-