Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] При выключенном диспетчере задач появляется неясная нагрузка на процессор (http://forum.oszone.net/showthread.php?t=354290)

Iviris 28-09-2023 03:05 3017037
При выключенном диспетчере задач появляется неясная нагрузка на процессор
 
При включённом - мгновенно пропадает. Распространённая вещь как я понимаю. Лог прикрепил.

Sandor 28-09-2023 08:24 3017046
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ из папки Автологера (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Aleks\AppData\Local\Temp\uttE58.tmp.exe', '');
 DeleteSchedulerTask('FRAPS');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\Maintenance');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT');
 DeleteFile('C:\Users\Aleks\AppData\Local\Temp\uttE58.tmp.exe', '32');
 DeleteFile('C:\Users\Aleks\AppData\Local\Temp\uttE58.tmp.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ut', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ut', '64');
ExecuteSysClean;
 ExecuteRepair(22);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

Iviris 28-09-2023 09:07 3017049
Цитата:
Цитата Sandor
AppData\Local\Temp\uttE58.tmp.exe »
Нда, действительно подозрительно.

Сделал, спасибо, пронаблюдаю до сегодняшнего вечера и вернусь сюда с результатом.

Sandor 28-09-2023 09:16 3017050
Цитата:
Цитата Sandor
запустите снова Autologger.
Прикрепите свежий CollectionLog. »
Это сделайте, пожалуйста.

Iviris 28-09-2023 10:52 3017062
Цитата:
Цитата Sandor
Это сделайте, пожалуйста. »
Вот он.

Sandor 28-09-2023 10:55 3017063
Цитата:
Цитата Iviris
действительно подозрительно »
Это как раз только хвосты, проблема была в другом.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Iviris 28-09-2023 11:02 3017065
Цитата:
Цитата Sandor
Прикрепите отчеты к своему следующему сообщению. »

Sandor 28-09-2023 11:08 3017066
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-761106360-3915001297-2673080379-1001\...\Run: [MicrosoftEdgeAutoLaunch_8414D5DC5A746EFF35556006C7C59537] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [4210112 2023-09-25] (Microsoft Corporation -> Microsoft Corporation)
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    GroupPolicy-Firefox: Ограничение <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3: <==== ВНИМАНИЕ (Ограничение - Zones)
    AutoConfigURL: [{7ECA33C1-2094-4A33-9C44-EAC1A9B2348A}] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
    FirewallRules: [{10BA5363-CAE8-4023-A35E-FA547AD40AB0}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe (WaspAce Service -> WaspAce) [Файл не подписан]
    FirewallRules: [{6D8CCA8F-1046-4629-AB28-9FB8D6FE3FBA}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe (WaspAce Service -> WaspAce) [Файл не подписан]
    FirewallRules: [{086D73D2-0700-457B-9ECA-7CE753D8D867}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe (WaspAce) [Файл не подписан]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Iviris 28-09-2023 11:26 3017069
Цитата:
Цитата Sandor
Подробнее читайте в этом руководстве. »
Сделал как в гайде по ссылке, создав текстовый файл. Лог прикрепляю.

Sandor 28-09-2023 11:29 3017070
Это было не обязательно. Скрипт бы и так выполнился из буфера обмена.

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Iviris 28-09-2023 11:41 3017073
Цитата:
Цитата Sandor
рикрепите этот файл к своему следующему сообщению. »
Вот он.

Sandor 28-09-2023 11:46 3017074
Исправьте по возможности:
------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Так ли страшен Контроль учётных записей

--------------------------- [ OtherUtilities ] ----------------------------
AMD Software v.19.30.28 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.7.8.9 Внимание! Скачать обновления
PuTTY release 0.74 (64-bit) v.0.74.0.0 Внимание! Скачать обновления
Python 3.10.7 (64-bit) v.3.10.7150.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
------------------------------- [ Imaging ] -------------------------------
FastStone Image Viewer 7.5 v.7.5 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46206 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 291 (64-bit) v.8.0.2910.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u381-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
AIMP v.v5.00.2344, 09.11.2021 Внимание! Скачать обновления


Читайте Рекомендации после лечения.

Iviris 28-09-2023 12:17 3017078
Цитата:
Цитата Sandor
Исправьте по возможности: »
Ну, мюторрент я обновлять не буду, потому что версии после этой допотопной действительно идут с рекламой и в целом ужасны. Если старая каким-то образом уязвима, возможно стоит перейти на другой клиент?

Остальное обновил/удалил за ненадобностью, контроль включил, гайд почитаю.

На этом мои активные действия заканчиваются? Загруженные на форум файлы тоже можно удалять?

Sandor 28-09-2023 12:25 3017080
По торрент-клиенту только предупреждение, а не предложение обновить.

Цитата:
Цитата Iviris
Загруженные на форум файлы тоже можно удалять? »
Там нет ничего, что представляло бы интерес злоумышленников или третьих лиц.

Цитата:
Цитата Iviris
На этом мои активные действия заканчиваются? »
Да, не болейте!

Iviris 28-09-2023 12:29 3017081
Да всё равно как-то вывалил о себе личной информации прямым текстом столько, что аж не комфортно.

Хорошо, спасибо ещё раз.


Время: 01:39.

Время: 01:39.
© OSzone.net 2001-