Подозрительный процесс AMD.exe грузит систему. И появился новый пользователь John

@VladimirIv · Регистрация: 18.02.2023

Author24 — интернет-сервис помощи студентам

Вчера заметил, что комп сильно подвис. После перезагрузки - все окей. Сегодня ситуация повторилась, в диспетчере задач обнаружил процесс AMD.exe. Так же в пользователях появились John и Default. Не смог с 1ого раза скачать AutoLogger , т к не открывалась ссылка, осознал, что проблема с hosts. В папке C:\Windows\System32\drivers\etc я не видел файла hosts (скрытые файлы видны). Создал пустой файл и решил скопировать в папку - появилось окно о замене. Заменил и только тогда удалось скачать файл. Запуск autologger от имени администратора не помогал , т к как только открывался edge сразу же закрывался autologger. Удалось собрать log только в безопасном режиме.
Заранее спасибо за потраченное время и помощь.

@thyrex · 18.02.2023, 23:27

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.

@VladimirIv · 18.02.2023, 23:46 **[ТС]**

AVbr.exe запустился только в безопасном режиме с сетью
зато после него автологгер не выключался в обычном режиме загрузки
логи ниже

@thyrex · 18.02.2023, 23:51

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

@VladimirIv · 18.02.2023, 23:58 **[ТС]**

результаты

@thyrex · 19.02.2023, 11:57

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Код

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-20\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-21-1806341173-2148214943-3548188013-1004\...\Run: [YandexBrowserAutoLaunch_825598DBEAF87E80BED4F14026C42647] => "C:\Users\Владимир\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
HKU\S-1-5-18\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
IFEO\calc.exe: [Debugger] win32calc.exe
IFEO\CompatTelRunner.exe: [Debugger] svchost.exe
IFEO\upfc.exe: [Debugger] svchost.exe
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {502D05A8-3E39-4DE6-862B-9504E69DC73E} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
Task: {52120BDD-49CB-4BA9-B1A1-D3DEB9D6E38E} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\RealtekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
Task: {6F49466C-5CBD-4C7F-849D-865842953CFA} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
Task: {D0F6AB57-4DE1-4359-8717-C08D03794D33} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\RealtekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Нет файла
FirewallRules: [TCP Query User{51534C2C-D3BE-4350-9745-9A8238E932DD}C:\users\vladimir\appdata\local\yandex\yandexbrowser\application\browser.exe] => (Allow) C:\users\vladimir\appdata\local\yandex\yandexbrowser\application\browser.exe => Нет файла
FirewallRules: [UDP Query User{6BFAA586-E0EB-40F4-9246-8D474F1B731F}C:\users\vladimir\appdata\local\yandex\yandexbrowser\application\browser.exe] => (Allow) C:\users\vladimir\appdata\local\yandex\yandexbrowser\application\browser.exe => Нет файла
FirewallRules: [{917588B8-ABC6-4F17-BC48-E0C2354F7C9D}] => (Allow) C:\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{729D8745-4A90-4212-AD7B-89F1CC733189}] => (Allow) C:\Temp\utorrent\utorrent.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

@VladimirIv · 19.02.2023, 12:23 **[ТС]**

результаты

@thyrex · 19.02.2023, 14:03

Проблема решена?

@VladimirIv · 19.02.2023, 14:17 **[ТС]**

По крайней мере компьютер больше не подвисал, так что, наверное, да. Еще раз спасибо.

@Sandor · 20.02.2023, 11:43

Хорошо, в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@VladimirIv · 20.02.2023, 18:42 **[ТС]**

прикрепляю

@thyrex · 21.02.2023, 06:46

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.39.0.2 Внимание! Скачать обновления
Node.js v.12.13.1 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
Python 2.7.18 (64-bit) v.2.7.18150 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.74.3 Внимание! Скачать обновления
Python 3.11.0 (64-bit) v.3.11.150.0 Внимание! Скачать обновления

------------------------------- [ Browser ] -------------------------------
Yandex v.23.1.2.928 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.109.0.5414.121 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

по возможности исправьте указанное + Рекомендации после удаления вредоносного ПО

@thyrex 13267 / 7391 / 1564 Регистрация: 06.09.2009 Сообщений: 26,954
	18.02.2023, 23:27	2
	Скачайте AV block remover. Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети. В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки. 0

@thyrex 13267 / 7391 / 1564 Регистрация: 06.09.2009 Сообщений: 26,954
	18.02.2023, 23:51	4
	Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. 0

@thyrex 13267 / 7391 / 1564 Регистрация: 06.09.2009 Сообщений: 26,954
	19.02.2023, 14:03	8
	Проблема решена? 0

@VladimirIv 0 / 0 / 0 Регистрация: 18.02.2023 Сообщений: 6
	19.02.2023, 14:17 [ТС]	9
	По крайней мере компьютер больше не подвисал, так что, наверное, да. Еще раз спасибо. 0

@Sandor 21982 / 15762 / 3046 Регистрация: 08.10.2012 Сообщений: 64,069
	20.02.2023, 11:43	10
	Хорошо, в завершение: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@thyrex 13267 / 7391 / 1564 Регистрация: 06.09.2009 Сообщений: 26,954
	21.02.2023, 06:46	12
	------------------------------- [ Windows ] ------------------------------- Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ --------------------------- [ OtherUtilities ] ---------------------------- Git v.2.39.0.2 Внимание! Скачать обновления Node.js v.12.13.1 Внимание! Скачать обновления *^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^* Python 2.7.18 (64-bit) v.2.7.18150 Внимание! Скачать обновления Microsoft Visual Studio Code (User) v.1.74.3 Внимание! Скачать обновления Python 3.11.0 (64-bit) v.3.11.150.0 Внимание! Скачать обновления ------------------------------- [ Browser ] ------------------------------- Yandex v.23.1.2.928 Внимание! Скачать обновления ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^ Google Chrome v.109.0.5414.121 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О браузере Google Chrome!^ по возможности исправьте указанное + Рекомендации после удаления вредоносного ПО 0