Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Powershell.exe грузит процессор

Ответить
Настройки темы
[решено] Powershell.exe грузит процессор

Новый участник


Сообщения: 7
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: zip CollectionLog-2019.03.25-14.24.zip
(61.7 Kb, 2 просмотров)
Подскажите как решить проблему. Процесс Powershell.exe загружает процессор на 70%. В диспетчере задач его нет. Но в мониторе ресурсов присутствует. Включается не сразу с запуском системы а через некоторое время (1-2 часа).
Система Windows 7х64.
Прикрепил логи.

Отправлено: 15:43, 25-03-2019

 

Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать


Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код: Выделить весь код
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\temp\cohernece.exe');
 QuarantineFile('c:\windows\temp\cohernece.exe', '');
 QuarantineFile('C:\Windows\winstart.bat', '');
 DeleteFile('c:\windows\temp\cohernece.exe', '');
 DeleteFile('c:\windows\temp\cohernece.exe', '64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код: Выделить весь код
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis:
Код: Выделить весь код
O25 - WMI Event: Windows Events Consumer - Windows Events Filter - Event="__InstanceModificationEvent WITHIN 5600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  powershell.exe -NoP -NonI -W Hidden -E JABwAGkAbgAgAD0AIABuAGUAdwAtAG8AYgBqAGUAYwB0ACAAcwB5AHMAdABlAG0ALgBuAGUAdAAuAG4AZQB0AHcAbwByAGsAaQBuAGYAbwByAG0AYQB0AGkAbwBuAC4AcABpAG4AZwANAAoAJABzAGUAPQBA
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

-------


Отправлено: 16:01, 25-03-2019 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 7
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: zip CollectionLog-2019.03.25-16.13.zip
(53.0 Kb, 1 просмотров)

Все сделал вот новый лог

Отправлено: 16:14, 25-03-2019 | #3


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать


Проблема решена?

-------


Отправлено: 16:31, 25-03-2019 | #4


Новый участник


Сообщения: 7
Благодарности: 0

Профиль | Отправить PM | Цитировать


Пока процесс не появился но посмотрю через пару часов (он не сразу объявляется)

Отправлено: 16:34, 25-03-2019 | #5


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать


Хорошо.

В завершение (одно другому не помешает):
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

-------


Отправлено: 16:38, 25-03-2019 | #6


Новый участник


Сообщения: 7
Благодарности: 0

Профиль | Отправить PM | Цитировать


Спасибо за помощь проблема решилась.

Отправлено: 12:18, 26-03-2019 | #7


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать


Предыдущую рекомендацию всё же выполните.

-------


Отправлено: 12:20, 26-03-2019 | #8



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Powershell.exe грузит процессор

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Разное - [решено] Powershell.exe грузит процессор Vilgon Microsoft Windows 7 2 25-03-2019 15:42
explorer.exe грузит процессор senskz@vk Лечение систем от вредоносных программ 14 28-02-2018 10:27
Разное - smss.exe грузит процессор astorot Microsoft Windows 2000/XP 4 06-11-2012 07:54
svchost.exe грузит процессор Coe Лечение систем от вредоносных программ 19 03-05-2012 16:28
svchost.exe грузит процессор Стрючок Лечение систем от вредоносных программ 1 10-01-2010 09:44




 
Переход