Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Powershall.exe 50% explorer.exe 50% (http://forum.oszone.net/showthread.php?t=341610)

Vitaliker 29-07-2019 20:39 2881908

Powershall.exe 50% explorer.exe 50%
 
Вложений: 1
Здравствуйте, друзья. Не смог написать в соответствующую тему, поэтому пришлось создать отдельную.
У меня виндовс 7 64. С постоянной периодичностью запускается процесс Powershell.exe, который грузит систему на 50 процентов, иногда появляется рядом ещё один powershell, который либо на нуле, либо тоже подгружает. Но это ещё не всё - бывает, что процесс explorer.exe начинает загружаться на 50 процентов - особенно когда я открываю определённую папку на одном из дисков, где лежат медиафайлы. Как это связать - не знаю. Прошу вас помочь в решении проблемы. Логи прикрепил к сообщению.

Sandor 30-07-2019 10:20 2881967

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:
Цитата:

MediaGet
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\temp\cohernece.exe');
 QuarantineFile('C:\autorun.inf', '');
 QuarantineFile('c:\windows\temp\cohernece.exe', '');
 QuarantineFile('D:\autorun.inf', '');
 QuarantineFile('E:\autorun.inf', '');
 DeleteSchedulerTask('Microsoft Assist Job');
 DeleteSchedulerTask('SystemFlushDns');
 DeleteFile('C:\autorun.inf', '');
 DeleteFile('c:\windows\temp\cohernece.exe', '');
 DeleteFile('c:\windows\temp\cohernece.exe', '64');
 DeleteFile('D:\autorun.inf', '');
 DeleteFile('E:\autorun.inf', '');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis:
Код:

O25 - WMI Event: Systems Manage Consumer - Systems Manage Filter - Event="__InstanceModificationEvent WITHIN 5601 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'"
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

Vitaliker 30-07-2019 10:49 2881972

Спасибо большое! Неужели медиагет тому причиной? На XP всё было с ним в порядке. Моя любимая программа по скачиванию торрентов... Жаль...

Sandor 30-07-2019 11:02 2881975

Относится к потенциально нежелательному ПО.

Контрольный CollectionLog покажите.

Vitaliker 01-08-2019 03:05 2882191

Вложений: 1
Всё сделал. Файл quarantine.7z отправил с помощью формы отправки карантина. Свежий лог прикрепил.

Sandor 01-08-2019 08:07 2882204

Файлы autorun.inf в корне жестких дисков удалите вручную.

Цитата:

Цитата Vitaliker
Powershell.exe, который грузит систему на 50 процентов »

Этого уже нет?

Vitaliker 01-08-2019 15:32 2882279

Спасибо большое!
Autorun.inf поудалял через поиск везде.
Powershell.exe больше не выскакивает.
Осталась проблема с explorer.exe. При открытии одной папки на диске G он начинает грузиться на 50-70 %. Ещё какой-то dllhost.exe вместе с ним выскакивает (в описании COM Surrogate), который подгружает на 10-20%. В той папке у меня находятся медиафайлы. Что это может быть?

Sandor 01-08-2019 15:36 2882282

Цитата:

Цитата Vitaliker
открытии одной папки на диске G он начинает грузиться на 50-70 % »

Какой-то из файлов в этой папке испорчен и при попытке создать эскиз возникает проблема. Переместите файлы в другую папку и возвращайте по одному.

Если папку открывать через Total Commander такого не происходит?

Vitaliker 09-09-2019 13:14 2887210

Цитата:

Цитата Sandor
Какой-то из файлов в этой папке испорчен и при попытке создать эскиз возникает проблема. Переместите файлы в другую папку и возвращайте по одному. »

Папка называется "Моя музыка". Там есть и подпапки. Не могу оттуда переместить ни один файл в другую папку вне её!!! Нельзя удалить файл, а также удалить саму папку ПОСЛЕ её открытия. Понял я это, когда создал на этом же диске G папку с названием "Моя музыка 2", чтоб поместить туда другой медиафайл, - при её открытии было тоже самое - эксплорер экзе и та же фигня. Вот что это такое???

Цитата:

Цитата Sandor
Если папку открывать через Total Commander такого не происходит? »

У меня Тотал коммандер нет.

Sandor 09-09-2019 13:17 2887211

Цитата:

Цитата Vitaliker
У меня Тотал коммандер нет »

Для проверки можно и установить.

Цитата:

Цитата Vitaliker
Не могу оттуда переместить ни один файл в другую папку вне её »

В свойствах папки посмотрите кто владелец. Дайте себе права и пробуйте.


Время: 21:06.

Время: 21:06.
© OSzone.net 2001-