Внимание, работает John - что делать

@klimeastwood · Регистрация: 07.05.2023

Author24 — интернет-сервис помощи студентам

Здравствуйте, коллеги.
Возникла проблема. Сначала появилась учетная запись John, удалил ее через панель управления компьютером/локальные пользователи. Но некоторое время назад еще до обнаружения данной учетной записи заметил, что ресурсы компьютера задействованы непонятно чем. Кроме того, сейчас ОЗУ компьютера чем-то занята (всего 32 гб и из них задействовано 20 гб). Процессор загружен на 6% всего.

@severnyj · 19.11.2024, 21:41

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads)), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe, например, в AVbr123.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.

@klimeastwood · 28.11.2024, 10:00 **[ТС]**

UPD

@severnyj · 28.11.2024, 10:33

Файл quarantine.zip из папки с распакованной утилитой AV block remover залейте на любой файлообменник, ссылку отправьте на почту quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения

Пофиксите в HJT:

Code
1
2
3
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1

Подготовьте логи FRST: https://www.cyberforum.ru/post7151340.html

@klimeastwood · 28.11.2024, 11:15 **[ТС]**

upd
еще заметил, что диспетчер задач сошел с ума
когда его включил - полный загруз ЦП и ОЗУ идет
и даже WORD тупил. Но как только закрыл ДЗ - стало лучш)

@severnyj · 28.11.2024, 11:39

Отключите до перезагрузки антивирус.
Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-748339231-3304319867-1891782173-1001\...\Policies\Explorer: [] 
CHR HKU\S-1-5-21-748339231-3304319867-1891782173-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh]
CustomCLSID: HKU\S-1-5-21-748339231-3304319867-1891782173-1001_Classes\CLSID\{8B4929F8-076F-4AEC-AFEE-8928747B7AE3}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2022\acad.exe /Automation => Нет файла
CustomCLSID: HKU\S-1-5-21-748339231-3304319867-1891782173-1001_Classes\CLSID\{AA46BA8A-9825-40FD-8493-0BA3C4D5CEB5}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2022\acad.exe /Automation => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

@klimeastwood · 29.11.2024, 09:40 **[ТС]**

upd

@severnyj · 29.11.2024, 10:21

Что с проблемой?

@klimeastwood · 29.11.2024, 10:30 **[ТС]**

Так я жду указаний к дальнейшим действиям )))
Во вложении - по ОЗУ инфо актуальное, после перезагрузки

@severnyj · 29.11.2024, 10:40

Подготовьте лог сканирования MBAM: FAQ по работе с Malwarebytes v.5

Для проверки на устаревшее ПО подготовьте лог SecurityCheck by glax24: https://www.safezone.cc/resour... 5/download

@klimeastwood · 29.11.2024, 11:30 **[ТС]**

upd

@severnyj · 29.11.2024, 12:05

Проверьте файл:

C:\PROGRAM FILES\COMMON FILES\SYSTEM\IEDIAGCMD.EXE

на virustotal.com результат проверки сообщите.

Основную часть ОЗУ занимает программа Cellebrite - по снижению потребления можно пообщаться в разделе: https://www.cyberforum.ru/windows10/

Обновите и исправьте:

Microsoft Office Standard 2019 - ru-ru v.16.0.10350.20019 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Oracle VM VirtualBox 7.0.8 v.7.0.8 Внимание! Скачать обновления
Node.js v.16.15.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
AMD Software v.9.0.000.8 Внимание! Скачать обновления
Python 3.9.13 (64-bit) v.3.9.13150.0 Внимание! Скачать обновления
Python 3.12.4 (64-bit) v.3.12.4150.0 Внимание! Скачать обновления
AnyDesk v.ad 8.0.9 Внимание! Скачать обновления
Среда выполнения Microsoft Edge WebView2 Runtime v.131.0.2903.63 Внимание! Скачать обновления
^При ошибках обновления, удалите старую версию, скачайте и установите новую. Или переустановите браузер Microsoft Edge.^
Wireshark 4.2.5 x64 v.4.2.5 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.31.31103 v.14.31.31103.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Recuva v.1.53 Внимание! Скачать обновления
WinRAR 5.71 (32-разрядная) v.5.71.0 Внимание! Скачать обновления
Zoom v.5.13.3 (11494) Внимание! Скачать обновления
Viber v.18.3.0.1 Внимание! Скачать обновления
VLC media player v.3.0.6 Внимание! Скачать обновления
iTunes v.12.13.2.3 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
K-Lite Codec Pack 17.4.1 Basic v.17.4.1 Внимание! Скачать обновления
Opera Stable 114.0.5282.185 v.114.0.5282.185 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Microsoft Edge v.131.0.2903.63 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^
Mozilla Thunderbird (x64 ru) v.115.11.1 Внимание! Скачать обновления
Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

@klimeastwood · 10.12.2024, 10:42 **[ТС]**

C:\PROGRAM FILES\COMMON FILES\SYSTEM\
по этому адресу - файла IEDIAGCMD.EXE уже не было

ничего глобально так и не поменялось после всех этих действий...

@severnyj · 10.12.2024, 10:51

Сообщение от klimeastwood

ничего глобально так и не поменялось после всех этих действий...

Какие действия предприняли?

Новые логи FRST.txt, Addition.txt и SecurityCheck.txt подготовьте.

Сообщение от severnyj

Основную часть ОЗУ занимает программа Cellebrite - по снижению потребления можно пообщаться в разделе: https://www.cyberforum.ru/windows10/

- из автозагрузки убирали, в раздел обращались?

@klimeastwood · 10.12.2024, 11:57 **[ТС]**

приложений убрал несколько (в частности, бонжур и другие необязательные)
автозагрузку скорректировал - и действительно счас стало гораздо лучше -3% ЦП и 13% ОЗУ загрузка (с учетом количества процессов запущенных - это норм уже)
для проформы запущу то, что написали и лог кидаю

@severnyj · 10.12.2024, 12:45

В логах ничего вредоносного.

@klimeastwood · 10.12.2024, 16:11 **[ТС]**

СПАСИБО БОЛЬШОЕ!
За помощь и участие человеческое

Новые блоги и статьи Все статьи Все блоги /
Winforstrap или красявый дизайн своими руками на HTML+JS+Winforms anomal6 04.03.2025 Сидел тут вечером ковырял проект на MAUI, и как же глупо создаются пакеты MSIX и система обновлений пакета публикации, но не об этом. Бывает нужен современный дизайн программы а писать на MAUI,. . .	Формат данных для симуляции физики, посредством распространённых не обученных моделей. Hrethgir 04.03.2025 Что-то как-то снова потерялось, зато катангенсы закатангесились в одном сообщении. На днях писал, что планирую для работы апгрейдить (на этот раз удачно) девайс для работы (конкретно - здоровья для,. . .	Концепция variadic CoderHuligan 04.03.2025 Мне не очень нравится (а кому это нравится?) что у нас есть отдельно компилятор, отдельно линковщик, причем со своим собственным командным языком. При этом усложнении надо знать помимо языка. . .	Java Record или Kotlin Data Class: что лучше для неизменяемых данных Wired 04.03.2025 Java Record и Kotlin Data Class — два мощных инструмента для обуздания неизменяемых структур данных, каждый со своим уникальным подходом к решению этой задачи. История их появления весьма. . .	Создание производительных API с Java и gRPC Wired 04.03.2025 В мире микросервисной разработки вопрос производительности часто становится краеугольным камнем. И хотя REST API давно завоевал сердца разработчиков своей простотой и интуитивностью, при высоких. . .
Что нового в JDK 24 Wired 04.03.2025 JDK 24 — это настоящий прорыв в эволюции Java, который кардинально меняет правила игры. В этом релизе разработчики Oracle наконец-то довели до ума множество критически важных улучшений в. . .	Разработка блокчейн с использованием Java: смарт-контракты и dApp Wired 04.03.2025 Погружаясь в мир блокчейн-разработки на Java, разработчик получает доступ к внушительному арсеналу инструментов. В отличие от Solidity, который "заперт" в экосистеме Ethereum, Java предоставляет. . .	WebAssembly в Kubernetes stackOverflow 03.03.2025 В современной экосистеме облачных технологий WebAssembly (Wasm) становится все более значимым компонентом, предлагая уникальный подход к выполнению кода в распределенных системах. Эта технология. . .	GitHub Actions или Jenkins: Выбираем CI/CD платформу stackOverflow 03.03.2025 Непрерывная интеграция и развертывание (CI/ CD) изменили подход к разработке программного обеспечения, превратив его в бесшовный процесс от написания кода до развертывания в продакшн. GitHub Actions и. . .	Автоматизация тестирования Pull Request в Kubernetes: Интеграция с GitHub Actions и GKE stackOverflow 03.03.2025 Масштабные проекты с использованием Kubernetes требуют надежной системы тестирования изменений перед их внедрением в продакшн-среду. Традиционный подход с ручной проверкой Pull Request не справляется. . .

@severnyj 5071 / 2352 / 421 Регистрация: 04.04.2012 Сообщений: 8,646
	19.11.2024, 21:41	2
	Скачайте AV block remover. Распакуйте (только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads)), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe, например, в AVbr123.exe (или любое другое имя). Если и так не запускается, запустите его в безопасном режиме с поддержкой сети. В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки. 0

@severnyj 5071 / 2352 / 421 Регистрация: 04.04.2012 Сообщений: 8,646
	29.11.2024, 10:21	8
	Что с проблемой? 0

@severnyj 5071 / 2352 / 421 Регистрация: 04.04.2012 Сообщений: 8,646
	29.11.2024, 10:40	10
	Подготовьте лог сканирования MBAM: FAQ по работе с Malwarebytes v.5 Для проверки на устаревшее ПО подготовьте лог SecurityCheck by glax24: https://www.safezone.cc/resour... 5/download 0

@severnyj 5071 / 2352 / 421 Регистрация: 04.04.2012 Сообщений: 8,646
	29.11.2024, 12:05	12
	Проверьте файл: C:\PROGRAM FILES\COMMON FILES\SYSTEM\IEDIAGCMD.EXE на virustotal.com результат проверки сообщите. Основную часть ОЗУ занимает программа Cellebrite - по снижению потребления можно пообщаться в разделе: https://www.cyberforum.ru/windows10/ Обновите и исправьте: Microsoft Office Standard 2019 - ru-ru v.16.0.10350.20019 Внимание! Скачать обновления ^Инструкция по обновлению Microsoft Office.^ Oracle VM VirtualBox 7.0.8 v.7.0.8 Внимание! Скачать обновления Node.js v.16.15.0 Внимание! Скачать обновления *^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^* AMD Software v.9.0.000.8 Внимание! Скачать обновления Python 3.9.13 (64-bit) v.3.9.13150.0 Внимание! Скачать обновления Python 3.12.4 (64-bit) v.3.12.4150.0 Внимание! Скачать обновления AnyDesk v.ad 8.0.9 Внимание! Скачать обновления Среда выполнения Microsoft Edge WebView2 Runtime v.131.0.2903.63 Внимание! Скачать обновления ^При ошибках обновления, удалите старую версию, скачайте и установите новую. Или переустановите браузер Microsoft Edge.^ Wireshark 4.2.5 x64 v.4.2.5 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.31.31103 v.14.31.31103.0 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления Recuva v.1.53 Внимание! Скачать обновления WinRAR 5.71 (32-разрядная) v.5.71.0 Внимание! Скачать обновления Zoom v.5.13.3 (11494) Внимание! Скачать обновления Viber v.18.3.0.1 Внимание! Скачать обновления VLC media player v.3.0.6 Внимание! Скачать обновления iTunes v.12.13.2.3 Внимание! Скачать обновления ^Для проверки новой версии используйте приложение Apple Software Update^ K-Lite Codec Pack 17.4.1 Basic v.17.4.1 Внимание! Скачать обновления Opera Stable 114.0.5282.185 v.114.0.5282.185 Внимание! Скачать обновления ^Проверьте обновления через меню Обновление и восстановление!^ Microsoft Edge v.131.0.2903.63 Внимание! Скачать обновления ^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^ Mozilla Thunderbird (x64 ru) v.115.11.1 Внимание! Скачать обновления Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. 0

@klimeastwood 1 / 1 / 0 Регистрация: 07.05.2023 Сообщений: 17
	10.12.2024, 10:42 [ТС]	13
	C:\PROGRAM FILES\COMMON FILES\SYSTEM\ по этому адресу - файла IEDIAGCMD.EXE уже не было ничего глобально так и не поменялось после всех этих действий... 0

@severnyj 5071 / 2352 / 421 Регистрация: 04.04.2012 Сообщений: 8,646
	10.12.2024, 10:51	14
	Сообщение от klimeastwood ничего глобально так и не поменялось после всех этих действий... Какие действия предприняли? Новые логи FRST.txt, Addition.txt и SecurityCheck.txt подготовьте. Сообщение от severnyj Основную часть ОЗУ занимает программа Cellebrite - по снижению потребления можно пообщаться в разделе: https://www.cyberforum.ru/windows10/ - из автозагрузки убирали, в раздел обращались? 0

@severnyj 5071 / 2352 / 421 Регистрация: 04.04.2012 Сообщений: 8,646
	10.12.2024, 12:45	16
	В логах ничего вредоносного. 0

@klimeastwood 1 / 1 / 0 Регистрация: 07.05.2023 Сообщений: 17
	10.12.2024, 16:11 [ТС]	17
	СПАСИБО БОЛЬШОЕ! За помощь и участие человеческое 0