[решено] Загружен ЦП. Открыв диспетчер задач, загрузка резко падает.

Sandor · Отправлено: **09:56, 23-03-2021** | #2

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

1. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\Google\Chrome\chrome.bat', '');
 QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.bat', '');
 QuarantineFile('C:\Program Files (x86)\Mozilla Firefox\firefox.bat', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mоzillа Firеfох.lnk', '');
 QuarantineFile('C:\Users\Александр\AppData\Local\Yandex\YandexBrowser\Application\browser.bat', '');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mоzillа Firеfох.lnk', '');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk', '');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk', '');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndех.lnk', '');
 DeleteFile('C:\Program Files (x86)\Google\Chrome\chrome.bat', '');
 DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.bat', '');
 DeleteFile('C:\Program Files (x86)\Mozilla Firefox\firefox.bat', '');
 DeleteFile('C:\Users\Александр\AppData\Local\Yandex\YandexBrowser\Application\browser.bat', '');
ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

2. Файл CheckBrowserLnk.log
из папки

Цитата:

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

3. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

AlOnOs · Отправлено: **16:13, 23-03-2021** | #3

Выполнил все по пунктам.
приложил файлы
.. но только файл quarantine.7z я не смог отправить. Просто у меня на компе есть другой экземпляр AVZ в другой папке, я оттуда запускал AVZ и файл quarantine.7z не появился. оба скрипта запускал на AVZ из своей папки,
к сожалению недопонял сначала что AVZ есть в папке AutoLogger ((
утилита AVZ у меня скачана отсюда https://support.kaspersky.ru/14612#block2

что-то мне переделать?

Sandor · Отправлено: **16:33, 23-03-2021** | #4

Цитата AlOnOs:

на компе есть другой экземпляр AVZ в другой папке, я оттуда запускал AVZ »

Конечно не верно. Мы ведь даём инструкции и их желательно выполнять в точности.

"Пофиксите" в HijackThis:

Код:

O26 - Debugger: HKLM\..\dismHost.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\EOSNOTIFY.EXE: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\InstallAgent.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\MusNotification.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\MUSNOTIFICATIONUX.EXE: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\remsh.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\SIHClient.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\UpdateAssistant.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\UPFC.EXE: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\UsoClient.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\WaaSMedic.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\WaasMedicAgent.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\Windows10Upgrade.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\WINDOWS10UPGRADERAPP.EXE: [Debugger] = * (file missing)

Затем:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

AlOnOs · Отправлено: **08:16, 24-03-2021** | #5

Доброе утро!
Все сделал. В этот раз без ошибок, четко по плану.
файл FRST.txt прикрепил, но файла Addition.txt нет в папке, то есть он не создался как я понимаю.

Sandor · Отправлено: **09:22, 24-03-2021** | #6

Возможно до начала сканирования в разделе "Дополнительное Сканирование" была снята галочка с пункта Addition.txt
Удалите файл FRST.txt, запустите программу, убедитесь, что галочка стоит и нажмите "Сканировать".

AlOnOs · Отправлено: **20:18, 24-03-2021** | #7

Удалил файл FRST.txt , запустил программу, убедился, что галочка стоит и нажал "Сканировать".
теперь оба файла есть.
..для сведения - мне показалось программа FRST отработала по другому. В первый раз в начале она создавала точку восстановления, потом появилась надпись типа "программа готова к работе" и я нажал сканирование и сканирование прошло довольно быстро. А в этот раз точка восстановления не создавалась, сразу появилось "программа готова к работе" и само сканирование, как мне показалось, шло дольше. - может это ничего не значит, просто написал.
...да, и проблема пока не ушла - Загружен ЦП. Открыв диспетчер задач, загрузка резко падает., Какое-то время все кажется нормально, но потом диспетчер задач самопроизвольно закрывается, после этого процессор снова загружается.

Sandor · Отправлено: **09:28, 25-03-2021** | #8

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1652166641-4265355984-1551046396-1002\...\MountPoints2: {836c6bae-dbe4-11e6-bf4b-2016d88e0a8e} - "I:\Autoplay.exe" -auto
HKU\S-1-5-21-1652166641-4265355984-1551046396-1002\...\MountPoints2: {de5a2f05-24a9-11e4-be8c-2016d88e4256} - "F:\AutoRun.exe" {D2D77DC2-8299-11D1-8949-444553540000} 5.2066.1.A14B04 PID_0083 {01D42BF0-ED08-463f-8A28-99EB6FEE962B}
GroupPolicy-x32: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy-x32\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {E0A4FE5C-FA0F-412C-A5AD-71DA78F4C38C} - System32\Tasks\Driver Booster SkipUAC (Александр) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Default\Extensions\bejnpnkhfgfkcpgikiinojlmdcjimobi
CHR HKU\S-1-5-21-1652166641-4265355984-1551046396-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gojnmemgacliifihcagijaadgpeioooa]
CHR HKU\S-1-5-21-1652166641-4265355984-1551046396-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd]
CHR HKU\S-1-5-21-1652166641-4265355984-1551046396-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme]
CHR HKU\S-1-5-21-1652166641-4265355984-1551046396-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf]
CHR HKU\S-1-5-21-1652166641-4265355984-1551046396-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk]
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi]
CHR HKLM-x32\...\Chrome\Extension: [daanglpcpkjjlkhcbladppjphglbigam]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck]
CHR HKLM-x32\...\Chrome\Extension: [fcoadmpfijfcmokecmkgolhbaeclfage]
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
CHR HKLM-x32\...\Chrome\Extension: [hdpgllbnilfcbckbdchjcfgopijgllcm]
BRA HomePage: Default -> inline.go.mail.ru
C:\Users\Александр\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Extensions\hdpgllbnilfcbckbdchjcfgopijgllcm
C:\Users\Александр\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Extensions\odijcgafkhpobjlnfdgiacpdenpmbgme
R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2909472 2015-07-30] (IObit Information Technology -> IObit)
AlternateDataStreams: C:\Users\Александр\Documents\f83.mq4:CursorPos [890]
AlternateDataStreams: C:\Users\Александр\Documents\f83.mq4:LineFlags [898]
AlternateDataStreams: C:\Users\Александр\Documents\f83_copy.mq4:CursorPos [890]
AlternateDataStreams: C:\Users\Александр\Documents\f83_copy.mq4:LineFlags [898]
AlternateDataStreams: C:\Users\Александр\Documents\k74.mq4:CursorPos [890]
AlternateDataStreams: C:\Users\Александр\Documents\k74.mq4:LineFlags [1010]
AlternateDataStreams: C:\Users\Александр\Documents\k87.mq4:CursorPos [890]
AlternateDataStreams: C:\Users\Александр\Documents\k87.mq4:LineFlags [914]
AlternateDataStreams: C:\Users\Александр\Documents\m60.mq4:CursorPos [890]
AlternateDataStreams: C:\Users\Александр\Documents\m60.mq4:LineFlags [930]
AlternateDataStreams: C:\Users\Александр\Documents\myOrderLines_deldel.mq4:CursorPos [890]
AlternateDataStreams: C:\Users\Александр\Documents\myOrderLines_deldel.mq4:LineFlags [898]
AlternateDataStreams: C:\Users\Александр\Documents\OsMA_MarGo-09_maket.mq4:CursorPos [890]
AlternateDataStreams: C:\Users\Александр\Documents\OsMA_MarGo-09_maket.mq4:LineFlags [866]
FirewallRules: [{76634E1B-49E6-421F-9A17-8FA4E4495170}] => (Allow) C:\Program Files\Common Files\mcafee\mcsvchost\McSvHost.exe (McAfee, Inc. -> McAfee, Inc.)
FirewallRules: [{B06D54B0-7025-49AD-ACED-E7AE871CB824}] => (Allow) C:\Program Files\Common Files\mcafee\mcsvchost\McSvHost.exe (McAfee, Inc. -> McAfee, Inc.)
FirewallRules: [{F8712FA7-D507-4CFF-9D1A-86C75AC1FB18}] => (Allow) LPort=2869
FirewallRules: [{87E4ABC1-25D0-467D-A4E6-AB67CE60098F}] => (Allow) LPort=1900
FirewallRules: [{40903277-AFE7-4660-868F-AA938949FFC1}] => (Allow) LPort=8317
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

AlOnOs · Отправлено: **10:18, 25-03-2021** | #9

Доброе утро!
инструкции выполнил, файл прикрепил!

.. проблема пока не ушла ((( снова сейчас закрылся диспетчер и загрузился проц..

Sandor · Отправлено: **10:21, 25-03-2021** | #10

Что сейчас с проблемой?
Если по-прежнему, проверьте наблюдается ли подобное в безопасном режиме. Сообщите результат.