explorer.exe грузит процессор

akok · Отправлено: **13:14, 24-04-2019** | #2

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

 begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\WINDOWS\WinUpd.dll','');
 QuarantineFile('C:\crypto\CPUMIN~1.EXE','');
 QuarantineFile('C:\crypto\TrayIt!.exe','');
 DeleteFile('C:\crypto\TrayIt!.exe','64');
 DeleteFile('C:\crypto\CPUMIN~1.EXE','64');
 DeleteFile('C:\WINDOWS\WinUpd.dll','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Furmark.lnk','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^TrayIt!.lnk','x64');
 DeleteFileMask('C:\crypto\', '*', true);
 DeleteDirectory('C:\crypto\');
 DeleteSchedulerTask('251a94de-fce3-49e4-9a38-b8fd41747fd4');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма..

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код:

O2 - HKLM\..\BHO: (no name) - {13D67BB7-DB5F-48AA-884D-7A5D94168509} - (no file)
O2 - HKLM\..\BHO: (no name) - {311BA51F-64F2-439D-9A4A-772373D77312} - (no file)
O2-32 - HKLM\..\BHO: (no name) - {13D67BB7-DB5F-48AA-884D-7A5D94168509} - (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать ВСЕ при помощи Download Master: (default) = (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать при помощи Download Master: (default) = (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Передать на удаленную закачку DM: (default) = (no file)
O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avg: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\0_sxBZOverlayIcon: (no name) - {6457FB0A-5C02-4393-909C-2139A5D5571F} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\0_sxConfidentialOIcon: (no name) - {871FE18B-B68D-4437-BC76-6634996CDB97} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\0_sxForbiddenOIcon: (no name) - {1F03249C-6AB2-4E31-8C10-86F7E31E3B4E} - (no file)

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

JackDron · Отправлено: **16:08, 24-04-2019** | #3

akok,
Спасибо, если у меня этот процесс больше не появляется после первого скрипта, то нужно выполнять остальное?
Файл пустой

JackDron · Отправлено: **20:03, 24-04-2019** | #4

Пол дня было нормально, а потом опять появился этот процесс и больше его первый скрипт не берет, через 10 сек после перезагрузки опять начинает грузить процессор.

akok · Отправлено: **10:00, 25-04-2019** | #5

Давайте лог FRST, будем смотреть.

JackDron · Отправлено: **08:37, 26-04-2019** | #6

akok,
Вот лог

akok · Отправлено: **11:37, 26-04-2019** | #7

UCBrowser и CocCoc- используете?

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CreateRestorePoint:
VirusTotal: D:\Program Files\FreeDownloadManager.ORG\Free Download Manager\winwfpmonitor.exe;C:\Users\Jack\AppData\Roaming\Microsoft\Licence\Scheduled_Validation\WinUpd.dll
HKU\S-1-5-21-2199477669-796439720-3309334213-1000\...\MountPoints2: j - J:\Lenovo_Suite.exe
HKU\S-1-5-21-2199477669-796439720-3309334213-1000\...\MountPoints2: {0acbad80-4390-11e8-9624-14dae9e02161} - G:\Lenovo_Suite.exe
HKU\S-1-5-21-2199477669-796439720-3309334213-1000\...\MountPoints2: {0acbad84-4390-11e8-9624-14dae9e02161} - G:\Lenovo_Suite.exe
HKU\S-1-5-21-2199477669-796439720-3309334213-1000\...\MountPoints2: {2f491daf-b5cd-11e5-9857-005056c00008} - G:\Lenovo_Suite.exe
HKU\S-1-5-21-2199477669-796439720-3309334213-1000\...\MountPoints2: {68a9f801-1742-11e6-b242-d43d7ef5c481} - J:\LG_PC_Programs.exe
HKU\S-1-5-21-2199477669-796439720-3309334213-1000\...\MountPoints2: {8b950004-c03d-11e5-9def-005056c00008} - J:\Lenovo_Suite.exe
HKU\S-1-5-21-2199477669-796439720-3309334213-1000\...\MountPoints2: {a8b82255-5c54-11e5-965c-d43d7ef5c481} - K:\Lenovo_Suite.exe
HKU\S-1-5-21-2199477669-796439720-3309334213-1000\...\MountPoints2: {bca1f9ae-04ba-11e8-b860-14dae9e02161} - G:\Lenovo_Suite.exe
HKU\S-1-5-21-2199477669-796439720-3309334213-1000\...\MountPoints2: {bea2774b-c121-11e5-871f-005056c00008} - J:\Lenovo_Suite.exe
HKU\S-1-5-21-2199477669-796439720-3309334213-1000\...\MountPoints2: {bea27769-c121-11e5-871f-005056c00008} - J:\Lenovo_Suite.exe
HKU\S-1-5-21-2199477669-796439720-3309334213-1000\...\MountPoints2: {fb59db20-9119-11e5-8768-d43d7ef5c481} - J:\Lenovo_Suite.exe
HKU\S-1-5-21-2199477669-796439720-3309334213-1000\...\MountPoints2: {fb59db34-9119-11e5-8768-d43d7ef5c481} - J:\Lenovo_Suite.exe
IFEO\CE i386.exe: [Debugger] Enable
IFEO\ce-x64.exe: [Debugger] Enable
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Task: {9ADFFE88-6D59-4401-9755-F665F3DD4779} - \Jack -> No File <==== ATTENTION
Task: {A8F66F6A-AA28-4A19-AFCC-3220165587A7} - System32\Tasks\WindowsLicenceValidationCheck => rundll32.exe C:\Users\Jack\AppData\Roaming\Microsoft\Licence\Scheduled_Validation\WinUpd.dll,WinUpdate
Task: {B036A251-7ADC-422E-A528-5F8666506DD3} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
Task: {7DCFAB59-A819-4370-B1E7-EC76B5312F55} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
C:\Users\Jack\AppData\Roaming\Microsoft\Licence\Scheduled_Validation\WinUpd.dll
BHO: No Name -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> No File
BHO: No Name -> {311BA51F-64F2-439D-9A4A-772373D77312} -> No File
BHO-x32: No Name -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> No File
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ShellIconOverlayIdentifiers: [0_sxBZOverlayIcon] -> {6457FB0A-5C02-4393-909C-2139A5D5571F} =>  -> No File
ShellIconOverlayIdentifiers: [0_sxConfidentialOIcon] -> {871FE18B-B68D-4437-BC76-6634996CDB97} =>  -> No File
ShellIconOverlayIdentifiers: [0_sxForbiddenOIcon] -> {1F03249C-6AB2-4E31-8C10-86F7E31E3B4E} =>  -> No File
ContextMenuHandlers4: [ShadowContextHandler] -> {94B10CD5-41DD-4a59-A3EC-B0197338433F} =>  -> No File
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> No File
ContextMenuHandlers5: [ShadowContextHandler] -> {94B10CD5-41DD-4a59-A3EC-B0197338433F} =>  -> No File
ContextMenuHandlers6: [ShadowContextHandler] -> {94B10CD5-41DD-4a59-A3EC-B0197338433F} =>  -> No File
AlternateDataStreams: C:\ProgramData:BZ-VIRTUAL-LINK [0]
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [432]
AlternateDataStreams: C:\Program Files (x86)\Google:BZ-VIRTUAL-LINK [0]
AlternateDataStreams: C:\Users\All Users:BZ-VIRTUAL-LINK [0]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [432]
AlternateDataStreams: C:\Users\Jack:BZ-VIRTUAL-LINK [0]
AlternateDataStreams: C:\Users\Все пользователи:BZ-VIRTUAL-LINK [0]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [432]
AlternateDataStreams: C:\ProgramData\Application Data:BZ-VIRTUAL-LINK [0]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [432]
AlternateDataStreams: C:\ProgramData\NVIDIA Corporation:BZ-VIRTUAL-LINK [0]
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [125]
AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [134]
AlternateDataStreams: C:\Users\Jack\AppData:BZ-VIRTUAL-LINK [0]
AlternateDataStreams: C:\Users\Jack\Application Data:BZ-VIRTUAL-LINK [0]
AlternateDataStreams: C:\Users\Jack\Application Data:NT [40]
AlternateDataStreams: C:\Users\Jack\Application Data:NT2 [432]
AlternateDataStreams: C:\Users\Jack\Local Settings:BZ-VIRTUAL-LINK [0]
AlternateDataStreams: C:\Users\Jack\AppData\Local:BZ-VIRTUAL-LINK [0]
AlternateDataStreams: C:\Users\Jack\AppData\LocalLow:BZ-VIRTUAL-LINK [0]
AlternateDataStreams: C:\Users\Jack\AppData\Roaming:BZ-VIRTUAL-LINK [0]
AlternateDataStreams: C:\Users\Jack\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Jack\AppData\Roaming:NT2 [432]
AlternateDataStreams: C:\Users\Jack\AppData\Roaming\Microsoft:BZ-VIRTUAL-LINK [0]
AlternateDataStreams: C:\Users\Jack\AppData\Local\Application Data:BZ-VIRTUAL-LINK [0]
AlternateDataStreams: C:\Users\Jack\AppData\Local\Google:BZ-VIRTUAL-LINK [0]
AlternateDataStreams: C:\Users\Jack\AppData\Local\Temp:BZ-VIRTUAL-LINK [0]
AlternateDataStreams: C:\Users\Jack\AppData\LocalLow\Microsoft:BZ-VIRTUAL-LINK [0]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:BZ-VIRTUAL-LINK [0]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT [40]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [432]
AlternateDataStreams: C:\Users\Все пользователи\NVIDIA Corporation:BZ-VIRTUAL-LINK [0]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [125]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:4FC01C57 [134]
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Скачайте AdwCleaner и сохраните его на Рабочем столе.
Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

JackDron · Отправлено: **09:09, 27-04-2019** | #8

Теми браузерами не пользуюсь, после Fix пропала нагрузка на процессор.

akok · Отправлено: **11:21, 27-04-2019** | #9

Два раза скрипт прогонять нужды нет.

Цитата JackDron:

Теми браузерами не пользуюсь »

Удалите их. Еще нужен лог AdwCleaner для окончательно очистки системы.