Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Нагрузка на цп 50-80%, когда закрыт диспетчер задач.

Ответить
Настройки темы
[решено] Нагрузка на цп 50-80%, когда закрыт диспетчер задач.

Новый участник


Сообщения: 9
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: zip CollectionLog-2018.11.28-16.03.zip
(74.9 Kb, 2 просмотров)
Когда закрыт диспетчер задач, нагрузка на цп увеличивается и если диспетчер открыть, то нагрузка падает. Процесс выследить не получается :с
Проверял Касперским, ничего не нашел.
Помогите пожалуйста. (логи на месте)

Отправлено: 13:08, 28-11-2018

 

Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать


Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код: Выделить весь код
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\system32\a.exe', '');
 QuarantineFile('C:\Windows\System32\boy.exe', '');
 DeleteFile('C:\Windows\system32\a.exe', '');
 DeleteFile('C:\Windows\System32\boy.exe', '32');
ExecuteSysClean;
 ExecuteRepair(16);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код: Выделить весь код
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.


Папку Autologger удалите вместе с содержимым и скачайте его заново по этой ссылке.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 13:59, 28-11-2018 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 9
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: zip CollectionLog-2018.11.28-17.50.zip
(67.9 Kb, 1 просмотров)

Здравствуйте, вот свежие логи.
Карантин отправил по форме.

Отправлено: 14:51, 28-11-2018 | #3


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать


Следы Avast очистите по соотв. инструкции: Чистка системы после некорректного удаления антивируса.

"Пофиксите" в HijackThis:
Код: Выделить весь код
F2-32 - HKLM\..\WinLogon: [Shell] = Explorer.exe C:\Windows\System32\boy.exe
F3 - HKU\.DEFAULT\..\Windows: [load] = C:\Windows\System32\boy.exe
F3 - HKU\.DEFAULT\..\Windows: [run] = C:\Windows\System32\boy.exe
Затем:
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 15:02, 28-11-2018 | #4


Новый участник


Сообщения: 9
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: 7z HIKKO-PC_2018-11-28_19-58-59_v4.1.7z
(654.9 Kb, 1 просмотров)

Удалил, пофиксил, скачал, проверил.
Логи на месте.

Отправлено: 17:34, 28-11-2018 | #5


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать


  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код: Выделить весь код
    ;uVS v4.1 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    ;---------command-block---------
    delref %SystemDrive%\USERS\HIKKO\APPDATA\LOCAL\AMIGO\APPLICATION\AMIGO.EXE
    delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\AVLAUNCH.EXE
    delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\AVEMUPDATE.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
    bl EAD12D67E71354D75164B4A21B346625 1940
    zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\AVAST SOFTWARE\AVAST FREE ANTIVIRUS.LNK
    delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\AVAST SOFTWARE\AVAST FREE ANTIVIRUS.LNK
    zoo %SystemDrive%\USERS\HIKKO\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\STARTMENU\AVAST FREE ANTIVIRUS.LNK
    delall %SystemDrive%\USERS\HIKKO\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\STARTMENU\AVAST FREE ANTIVIRUS.LNK
    bl 297D9E0B01839959FBFE85DCFBB165A4 2179
    zoo %SystemDrive%\USERS\HIKKO\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\АМИГО.LNK
    delall %SystemDrive%\USERS\HIKKO\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\АМИГО.LNK
    apply
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
Подробнее читайте в этом руководстве.

Видны следы adware, поэтому:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 09:13, 29-11-2018 | #6


Новый участник


Сообщения: 9
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: txt AdwCleaner[S00].txt
(4.8 Kb, 1 просмотров)

Выполнил скрипт. Вот логи из Adw.

Отправлено: 13:59, 29-11-2018 | #7


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать


1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 18:05, 29-11-2018 | #8


Новый участник


Сообщения: 9
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: txt AdwCleaner[C01].txt
(1.7 Kb, 1 просмотров)
Тип файла: txt FRST.txt
(47.7 Kb, 1 просмотров)
Тип файла: txt Addition.txt
(54.8 Kb, 2 просмотров)

Deal with it.

Отправлено: 18:30, 29-11-2018 | #9


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать


Цитата Sandor:
Следы Avast очистите по соотв. инструкции: Чистка системы после некорректного удаления антивируса. »
Еще раз пройдитесь утилитой, следы все еще видны.

Затем
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: Выделить весь код
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{e57ce547-8258-4af4-ba97-53a9febb8e1d} <==== ATTENTION (Restriction - IP)
    CHR HomePage: Default -> hxxp://www.mail.ru/cnt/7829
    CHR HKLM-x32\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
    Task: {140F4FDD-1BD9-465D-94DA-7CC1C4F158FB} - \Avast Emergency Update -> No File <==== ATTENTION
    Task: {AE75A917-205F-47BD-A33E-66C924F698B7} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [2018-11-28] (AVAST Software)
    AlternateDataStreams: C:\Users\Hikko:Heroes & Generals [38]
    AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 21:48, 29-11-2018 | #10



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Нагрузка на цп 50-80%, когда закрыт диспетчер задач.

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
При открытии диспетчера задач сильная нагрузка на ЦП insov Лечение систем от вредоносных программ 15 07-10-2017 19:36
ЦП загружен, если Диспетчер задач закрыт или свернут gf.bill.cipher@vk Лечение систем от вредоносных программ 19 21-06-2017 16:59
Разное - Диспетчер задач и нагрузка на память. Не весь объем учитывается. algusev Microsoft Windows 7 3 21-05-2017 19:30
Службы - Процесс csrss.exe грузит цп на 50-80% zerow_five@vk Microsoft Windows 7 4 04-03-2013 10:55
Службы - [решено] Нагрузка ЦП на 50% и неработоспособность USB портов Arthurizo Microsoft Windows 2000/XP 3 23-03-2009 23:06




 
Переход