В Папке ProgramData появились папки Indus, Avira, MB3Install, Malwarebytes. Нагрузка на железо в простое

@Vldmrhltn · Регистрация: 24.07.2023

Author24 — интернет-сервис помощи студентам

Добрый день. Проблема уже описывалась в ветке В Папке ProgramData появились папки Indus, Avira, MB3Install, Malwarebytes. Удалить не получается
Поймал аналогичную бяку. Подскажите пожалуйста как её изгнать. Часть процедур я провел, удалил лишние папки, но в простое нагрузка железо всё ещё есть. Лог из автологгера прикладываю.

@Sandor · 24.07.2023, 12:26

Здравствуйте!

Если вы запускали AVbr, покажите его отчёт AV_block_remove.log, пожалуйста.

Внимание! Рекомендации написаны специально для пользователя Vldmrhltn. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\SysWOW64\unsecapp.exe', '');
 DeleteSchedulerTask('Microsoft\WindowsUpdate\Filesystem');
 DeleteFile('C:\Windows\SysWOW64\unsecapp.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.

@Vldmrhltn · 24.07.2023, 12:45 **[ТС]**

Скрипт ругается на строку. Скриншот прилагаю.
AVBR Запускал несколько раз, логи прилагаю.

@Sandor · 24.07.2023, 12:50

Это потому, что вы используете AVZ, скачанную неизвестно откуда и устаревшую версию.
Я рекомендации сопровождаю инструкциями "как выполнить". А там написано использовать:

E:\Разное системное\полезности\AutoLogger\AutoLogger\AV\av_z.exe

@Vldmrhltn · 24.07.2023, 13:19 **[ТС]**

Понял. Скрипт сработал, компьютеру стало лучше. Логи в архиве.

@Sandor · 24.07.2023, 13:26

Дочистим некоторые хвосты и мусор.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-4260339416-1525553177-521289221-1002\...\MountPoints2: {8a09b81f-a49c-11ed-aabe-a8813d0a6508} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-4260339416-1525553177-521289221-1002\...\MountPoints2: {8a09b87f-a49c-11ed-aabe-a8813d0a6508} - "E:\HiSuiteDownLoader.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/7993/","hxxp://trinews.ru/iex.php","hxxps://start.peppermintos.com/","hxxps://mail.ru/cnt/10445?gp=811570"
2023-07-24 10:21 - 2023-07-24 10:21 - 000000000 __SHD C:\ProgramData\princeton-produce
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@Vldmrhltn · 24.07.2023, 14:06 **[ТС]**

Сделал по инструкции. Лог прикреплён.

@Sandor · 24.07.2023, 14:09

Хорошо. Проблема решена?

@Vldmrhltn · 24.07.2023, 14:29 **[ТС]**

Так точно. Спасибо за помощь. А как именно вычислить паразитический процесс и как правильно написать скрипт на его ликвидацию? какую можно изучить литературу по таким вопросам?

@Sandor · 24.07.2023, 14:33

Для этого есть школа, можно научиться:
https://www.cyberforum.ru/viru... ment9.html

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Новые блоги и статьи
В чем отличие между INNER JOIN и OUTER JOIN bytestream 22.01.2025 В современных базах данных информация часто распределена между множеством взаимосвязанных таблиц, что делает операции объединения JOIN неотъемлемой частью работы с SQL. Эти операции позволяют. . .	Как сделать первую букву заглавной в JavaScript bytestream 22.01.2025 JavaScript предоставляет разработчикам множество инструментов для эффективной работы с текстовыми данными. Одной из часто встречающихся задач при обработке строк является преобразование первой буквы. . .	Что такое Big O нотация и алгоритмическая сложность bytestream 22.01.2025 Введение в алгоритмическую сложность В мире разработки программного обеспечения эффективность алгоритмов играет crucial роль в создании качественных приложений. Алгоритмическая сложность. . .	Как решать конфликты слияния (merge) в Git bytestream 22.01.2025 Конфликты слияния в системе контроля версий Git возникают в ситуациях, когда две или более ветки разработки содержат несовместимые изменения в одних и тех же участках кода. Эти конфликты представляют. . .	Как использовать регулярные выражения bytestream 22.01.2025 Регулярные выражения представляют собой мощный инструмент для работы с текстовыми данными, который позволяет осуществлять поиск, проверку и манипуляцию строками на основе определенных шаблонов. Этот. . .	Как выйти из Vim bytestream 22.01.2025 Vim (Vi IMproved) представляет собой один из самых влиятельных текстовых редакторов в истории компьютерной индустрии, эволюционировавший из своего предшественника Vi, созданного Биллом Джоем в 1976. . .
NoSQL базы данных: что это такое и какие существуют bytestream 22.01.2025 В современную эпоху цифровой трансформации объемы данных растут экспоненциально, создавая новые вызовы для традиционных систем управления базами данных. NoSQL (Not Only SQL) представляет собой. . .	Обновление исследования от команды MCM (январь 2025 г.) Programma_Boinc 22.01.2025 Обновление исследования от команды MCM (январь 2025 г. ) Мы продолжаем изучать молекулярные сигнатуры, связанные с раком легких, с текущим фокусом на GCM1, факторе транскрипции, участвующем в. . .	Как работать с Kafka в Go (Golang) bytestream 22.01.2025 Apache Kafka представляет собой распределенную платформу потоковой передачи данных, которая произвела революцию в области обработки событий и интеграции микросервисов. Эта система, изначально. . .	Как использовать RabbitMQ в Go (Golang) bytestream 22.01.2025 RabbitMQ представляет собой надежный и широко используемый брокер сообщений, который играет ключевую роль в построении современных распределенных систем и микросервисной архитектуры. В основе работы. . .	Как преобразовать список списков в простой список в Python bytestream 22.01.2025 При работе с Python разработчики часто сталкиваются с необходимостью обработки сложных структур данных, среди которых особое место занимают вложенные списки. Эти структуры представляют собой списки,. . .	Что такое GUID / UUID и как их создать bytestream 22.01.2025 В мире разработки программного обеспечения существует постоянная потребность в уникальной идентификации объектов, записей и ресурсов. Эта задача становится особенно актуальной в распределенных. . .

@Sandor 22316 / 15797 / 3051 Регистрация: 08.10.2012 Сообщений: 64,233
	24.07.2023, 12:26	2
	Здравствуйте! Если вы запускали AVbr, покажите его отчёт AV_block_remove.log, пожалуйста. Внимание! Рекомендации написаны специально для пользователя Vldmrhltn. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Windows\SysWOW64\unsecapp.exe', ''); DeleteSchedulerTask('Microsoft\WindowsUpdate\Filesystem'); DeleteFile('C:\Windows\SysWOW64\unsecapp.exe', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте в архив). Подробнее читайте в этом руководстве. 0

@Sandor 22316 / 15797 / 3051 Регистрация: 08.10.2012 Сообщений: 64,233
	24.07.2023, 12:50	4
	Это потому, что вы используете AVZ, скачанную неизвестно откуда и устаревшую версию. Я рекомендации сопровождаю инструкциями "как выполнить". А там написано использовать: E:\Разное системное\полезности\AutoLogger\AutoLogger\AV\av_z.exe 1

@Sandor 22316 / 15797 / 3051 Регистрация: 08.10.2012 Сообщений: 64,233
	24.07.2023, 13:26	6
	Дочистим некоторые хвосты и мусор. Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Код Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKU\S-1-5-21-4260339416-1525553177-521289221-1002\...\MountPoints2: {8a09b81f-a49c-11ed-aabe-a8813d0a6508} - "E:\HiSuiteDownLoader.exe" HKU\S-1-5-21-4260339416-1525553177-521289221-1002\...\MountPoints2: {8a09b87f-a49c-11ed-aabe-a8813d0a6508} - "E:\HiSuiteDownLoader.exe" GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/7993/","hxxp://trinews.ru/iex.php","hxxps://start.peppermintos.com/","hxxps://mail.ru/cnt/10445?gp=811570" 2023-07-24 10:21 - 2023-07-24 10:21 - 000000000 __SHD C:\ProgramData\princeton-produce ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. 1

@Sandor 22316 / 15797 / 3051 Регистрация: 08.10.2012 Сообщений: 64,233
	24.07.2023, 14:09	8
	Хорошо. Проблема решена? 1

@Vldmrhltn 0 / 0 / 0 Регистрация: 24.07.2023 Сообщений: 5
	24.07.2023, 14:29 [ТС]	9
	Так точно. Спасибо за помощь. А как именно вычислить паразитический процесс и как правильно написать скрипт на его ликвидацию? какую можно изучить литературу по таким вопросам? 0

@Sandor 22316 / 15797 / 3051 Регистрация: 08.10.2012 Сообщений: 64,233
	24.07.2023, 14:33	10
	Для этого есть школа, можно научиться: https://www.cyberforum.ru/viru... ment9.html В завершение: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0