Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Powershall.exe 50% explorer.exe 50%

Ответить
Настройки темы
Powershall.exe 50% explorer.exe 50%

Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: zip CollectionLog-2019.07.29-20.35.zip
(43.9 Kb, 2 просмотров)
Здравствуйте, друзья. Не смог написать в соответствующую тему, поэтому пришлось создать отдельную.
У меня виндовс 7 64. С постоянной периодичностью запускается процесс Powershell.exe, который грузит систему на 50 процентов, иногда появляется рядом ещё один powershell, который либо на нуле, либо тоже подгружает. Но это ещё не всё - бывает, что процесс explorer.exe начинает загружаться на 50 процентов - особенно когда я открываю определённую папку на одном из дисков, где лежат медиафайлы. Как это связать - не знаю. Прошу вас помочь в решении проблемы. Логи прикрепил к сообщению.

Отправлено: 20:39, 29-07-2019

 

Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать


Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:
Цитата:
MediaGet
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код: Выделить весь код
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\temp\cohernece.exe');
 QuarantineFile('C:\autorun.inf', '');
 QuarantineFile('c:\windows\temp\cohernece.exe', '');
 QuarantineFile('D:\autorun.inf', '');
 QuarantineFile('E:\autorun.inf', '');
 DeleteSchedulerTask('Microsoft Assist Job');
 DeleteSchedulerTask('SystemFlushDns');
 DeleteFile('C:\autorun.inf', '');
 DeleteFile('c:\windows\temp\cohernece.exe', '');
 DeleteFile('c:\windows\temp\cohernece.exe', '64');
 DeleteFile('D:\autorun.inf', '');
 DeleteFile('E:\autorun.inf', '');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код: Выделить весь код
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis:
Код: Выделить весь код
O25 - WMI Event: Systems Manage Consumer - Systems Manage Filter - Event="__InstanceModificationEvent WITHIN 5601 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'"
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 10:20, 30-07-2019 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать


Спасибо большое! Неужели медиагет тому причиной? На XP всё было с ним в порядке. Моя любимая программа по скачиванию торрентов... Жаль...

Отправлено: 10:49, 30-07-2019 | #3


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать


Относится к потенциально нежелательному ПО.

Контрольный CollectionLog покажите.

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 11:02, 30-07-2019 | #4


Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: zip CollectionLog-2019.08.01-03.03.zip
(37.8 Kb, 1 просмотров)

Всё сделал. Файл quarantine.7z отправил с помощью формы отправки карантина. Свежий лог прикрепил.

Отправлено: 03:05, 01-08-2019 | #5


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать


Файлы autorun.inf в корне жестких дисков удалите вручную.

Цитата Vitaliker:
Powershell.exe, который грузит систему на 50 процентов »
Этого уже нет?

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 08:07, 01-08-2019 | #6


Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать


Спасибо большое!
Autorun.inf поудалял через поиск везде.
Powershell.exe больше не выскакивает.
Осталась проблема с explorer.exe. При открытии одной папки на диске G он начинает грузиться на 50-70 %. Ещё какой-то dllhost.exe вместе с ним выскакивает (в описании COM Surrogate), который подгружает на 10-20%. В той папке у меня находятся медиафайлы. Что это может быть?

Отправлено: 15:32, 01-08-2019 | #7


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать


Цитата Vitaliker:
открытии одной папки на диске G он начинает грузиться на 50-70 % »
Какой-то из файлов в этой папке испорчен и при попытке создать эскиз возникает проблема. Переместите файлы в другую папку и возвращайте по одному.

Если папку открывать через Total Commander такого не происходит?

-------


Отправлено: 15:36, 01-08-2019 | #8


Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать


Цитата Sandor:
Какой-то из файлов в этой папке испорчен и при попытке создать эскиз возникает проблема. Переместите файлы в другую папку и возвращайте по одному. »
Папка называется "Моя музыка". Там есть и подпапки. Не могу оттуда переместить ни один файл в другую папку вне её!!! Нельзя удалить файл, а также удалить саму папку ПОСЛЕ её открытия. Понял я это, когда создал на этом же диске G папку с названием "Моя музыка 2", чтоб поместить туда другой медиафайл, - при её открытии было тоже самое - эксплорер экзе и та же фигня. Вот что это такое???

Цитата Sandor:
Если папку открывать через Total Commander такого не происходит? »
У меня Тотал коммандер нет.

Отправлено: 13:14, 09-09-2019 | #9


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать


Цитата Vitaliker:
У меня Тотал коммандер нет »
Для проверки можно и установить.

Цитата Vitaliker:
Не могу оттуда переместить ни один файл в другую папку вне её »
В свойствах папки посмотрите кто владелец. Дайте себе права и пробуйте.

-------


Отправлено: 13:17, 09-09-2019 | #10



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Powershall.exe 50% explorer.exe 50%

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Разное - [решено] EXPLORER.EXE - грузит CPU на 50% Faogs Microsoft Windows 10 9 09-01-2016 00:25
explorer exe грузит процессор на 50 windows 7 _NickolaS_ Лечение систем от вредоносных программ 5 12-04-2015 15:43
Интерфейс - Explorer.exe грузит процессор на 50% при выделении области раб. стола tempest221 Microsoft Windows 7 34 15-01-2014 19:49
[решено] Explorer.exe грузит процессор на 50%. mspuz Лечение систем от вредоносных программ 7 28-04-2013 07:29
explorer.exe грузит на 50% kroket2 Лечение систем от вредоносных программ 9 06-10-2010 14:22




 
Переход