[решено] Процесс powershell.exe

akok · Отправлено: **21:10, 13-12-2018** | #2

proxyweb - сами устанавливали, если нет деинсталлируйте (https://proxy-web.info). Похоже он и продуцирует нагрузку

Софт от IObit удалите тоже, он лишний

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код:

O25 - WMI Event: Windows Events Consumer - Windows Events Filter - Event="__InstanceModificationEvent WITHIN 5600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  powershell.exe -NoP -NonI -W Hidden -E ..... далее много текста

Скачайте AdwCleaner и сохраните его на Рабочем столе.
Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ferz · Конфигурация компьютера

proxy-web устанавливал сам, стоит уже около полугода, в ней уверен.
на счет IObit, думаю в этом дело. Но он был удален с неделю назад. В дериктории D:\Program Files x86\IObit\ пусто.
Далее, в HijackThis нету строки

Код:

O25 - WMI Event: Windows Events Consumer - Windows Events Filter - Event="__InstanceModificationEvent WITHIN 5600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  powershell.exe -NoP -NonI -W Hidden -E ..... далее много текста

Ferz · Конфигурация компьютера

Проблема осталась.

Бывает, антивирь его не видит и открывается по штук 5-7 exe'шников..

akok · Отправлено: **02:53, 14-12-2018** | #5

Запустите повторно AdwCleaner через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать"), а по окончании сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

Ferz · Конфигурация компьютера

AdwCleaner ничего не нашел.
uVS крашится, скрин в споилере.

Скрытый текст

akok · Отправлено: **15:07, 14-12-2018** | #7

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Ferz · Конфигурация компьютера

логи
upd: powershell.exe до сих пор остался..

Sandor · Отправлено: **13:27, 17-12-2018** | #9

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{903c11ab-0b26-4c2f-99f2-e5f6a08845c3} <==== ATTENTION (Restriction - IP)
CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=mp4
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=mp4","hxxps://www.google.com/","hxxps://www.google.com/"
CHR DefaultSearchURL: Default -> hxxp://lednikperiod.ru/account/payment
2018-11-30 13:59 - 2018-11-30 15:45 - 000000000 ____D C:\ProgramData\ProductData
2018-11-30 13:59 - 2018-11-30 13:59 - 000000000 ____D C:\Windows\IObit
2018-11-30 13:57 - 2018-12-13 22:42 - 000000000 ____D C:\Users\Ferz\AppData\Roaming\IObit
2018-11-30 13:57 - 2018-11-30 13:58 - 000000000 ____D C:\Users\Ferz\AppData\LocalLow\IObit
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"Windows Events Consumer\"",Filter="__EventFilter.Name=\"Windows Events Filter\":
WMI:subscription\__EventFilter->Windows Events Filter:
WMI:subscription\CommandLineEventConsumer->Windows Events Consumer:
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Соберите свежий CollectionLog Автологером.

Ferz · Конфигурация компьютера

Sandor, готово.