Очень большая загрузка ЦП. Самопроизвольно закрывается браузер msconfig и диспетчер задач

@Rabbitboxe · Регистрация: 30.11.2024

Author24 — интернет-сервис помощи студентам

Столкнулся с проблемой, повышается загрузки процессора с заметным шумом, при попытке проследить через диспетчер задач он самопроизвольно закрывается, подобное происходит с браузером и autologgerтоже самое. Скачивал файлы что бы пропатчить игру и стало заметно после этого. Удалось запустить autologger в безопасном режиме.

@severnyj · 30.11.2024, 23:06

Запустите компьютер в безопасном режиме.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\windowstask\microsofthost.exe', '');
 QuarantineFile('C:\ProgramData\windowstask\audiodg.exe', '');
 QuarantineFile('C:\ProgramData\windowstask\appmodule.exe', '');
 QuarantineFile('C:\ProgramData\windowstask\amd.exe', '');
 QuarantineFile('C:\ProgramData\microsoft\win.exe', '');
 QuarantineFile('C:\ProgramData\Windows Tasks Service\winserv.exe', '');
 QuarantineFile('C:\Programdata\ReaItekHD\taskhost.exe', '');
 QuarantineFile('C:\Programdata\ReaItekHD\taskhostw.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\MapData\uQ1uu1YfcOFbemivZj\FilesystemX.bat', '');
 DeleteFile('C:\ProgramData\Microsoft\MapData\uQ1uu1YfcOFbemivZj\FilesystemX.bat', '64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe', '64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe', '64');
 DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe', '64');
 DeleteFile('C:\ProgramData\microsoft\win.exe', '32');
 DeleteFile('C:\ProgramData\reaitekhd\taskhost.exe', '32');
 DeleteFile('C:\ProgramData\windowstask\amd.exe', '32');
 DeleteFile('C:\ProgramData\windowstask\appmodule.exe', '32');
 DeleteFile('C:\ProgramData\windowstask\audiodg.exe', '32');
 DeleteFile('C:\ProgramData\windowstask\microsofthost.exe', '32');
 DeleteFile('C:\ProgramData\windows tasks service\winserv.exe', '32');
 DeleteSchedulerTask('Microsoft\Windows\FilesystemX\RecoveryHosts');
 DeleteSchedulerTask('Microsoft\Windows\FilesystemX\RecoveryTask');
 DeleteSchedulerTask('Microsoft\Windows\FilesystemX\uQ1uu1YfcOFbemivZj');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\ExpressCheckUP');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\ServiceControl');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\WinlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. В нормальном режиме.

После перезагрузки, выполните такой скрипт:

Код

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению прикреплять файл quarantine.7z не нужно!

Пофиксите в HJT:

Код

O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: *\..\Policies\Explorer\DisallowRun: Fix all
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [1] = eav_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [2] = avast_free_antivirus_setup_online.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [3] = eis_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [4] = essf_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [5] = hitmanpro_x64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [6] = ESETOnlineScanner_UKR.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [7] = ESETOnlineScanner_RUS.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [8] = HitmanPro.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [9] = 360TS_Setup_Mini.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [13] = AV_br.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [14] = KVRT.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [15] = cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [17] = eset_internet_security_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [18] = esetonlinescanner.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [19] = eset_nod32_antivirus_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [20] = MBSetup.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [21] = PANDAFREEAV.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [22] = bitdefender_avfree.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [23] = drweb-12.0-ss-win.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [24] = Cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [25] = TDSSKiller.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [26] = KVRT(1).exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [27] = rkill.exe
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - (no service) - (Remote Desktop) - (all applications)

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads)), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe, например, в AVbr123.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.

@Rabbitboxe · 01.12.2024, 12:20 **[ТС]**

Вот логи

@severnyj · 01.12.2024, 13:26

Повторите запуск AV block remover из безопасного режима с поддержкой сети и прикрепите лог сканирования.

@Rabbitboxe · 01.12.2024, 13:46 **[ТС]**

Проследовал указанием, но программа просит установить последнюю версию

@severnyj · 01.12.2024, 14:01

Подготовьте логи FRST: https://www.cyberforum.ru/post7151340.html

@Rabbitboxe · 01.12.2024, 14:45 **[ТС]**

Удалось запустить AVbr и составить log

@severnyj · 01.12.2024, 14:48

Сообщение от Rabbitboxe

Удалось запустить AVbr и составить log

Ок, теперь:

Сообщение от severnyj

Подготовьте логи FRST: https://www.cyberforum.ru/post7151340.html

@Rabbitboxe · 01.12.2024, 15:23 **[ТС]**

Составленные логи FRST

@severnyj · 01.12.2024, 15:38

Отключите до перезагрузки антивирус.
Выделите следующий код:

Код

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CustomCLSID: HKU\S-1-5-21-3362012823-4129309396-1450746095-1001_Classes\CLSID\{B840A8D9-8A5E-4C1F-862D-8F7BC4E1BAF5}\InprocServer32 -> C:\Program Files (x86)\Mozilla Firefox\notificationserver.dll => Нет файла
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state on
CMD: DISM.exe /Online /Cleanup-image /Restorehealth
CMD: sfc /scannow
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

@Rabbitboxe · 01.12.2024, 16:52 **[ТС]**

...

@Rabbitboxe · 01.12.2024, 16:55 **[ТС]**

Созданный log файл

@severnyj · 01.12.2024, 16:57

Удалите исключения защитника: Как удалить исключения Защитника

Удалите в корзину старые и подготовьте новые логи FRST.

@Rabbitboxe · 01.12.2024, 18:16 **[ТС]**

Новые логи после удаления исключений

@severnyj · 01.12.2024, 18:26

Что с проблемами?

@Rabbitboxe · 01.12.2024, 18:28 **[ТС]**

Пока всё хорошо и прежних проблем замечено не было, большое спасибо за помощь!

@severnyj · 01.12.2024, 18:47

Деинсталлируйте FRST - переименуйте FRST.exe в Uninstall.exe и запустите.

Подготовьте лог SecurityCheck by glax24: https://www.safezone.cc/resour... 5/download

@severnyj 3986 / 2182 / 367 Регистрация: 04.04.2012 Сообщений: 8,033
	01.12.2024, 13:26	4
	Повторите запуск AV block remover из безопасного режима с поддержкой сети и прикрепите лог сканирования. 0

@severnyj 3986 / 2182 / 367 Регистрация: 04.04.2012 Сообщений: 8,033
	01.12.2024, 14:01	6
	Подготовьте логи FRST: https://www.cyberforum.ru/post7151340.html 1

@severnyj 3986 / 2182 / 367 Регистрация: 04.04.2012 Сообщений: 8,033
	01.12.2024, 14:48	8
	Сообщение от Rabbitboxe Удалось запустить AVbr и составить log Ок, теперь: Сообщение от severnyj Подготовьте логи FRST: https://www.cyberforum.ru/post7151340.html 0

@severnyj 3986 / 2182 / 367 Регистрация: 04.04.2012 Сообщений: 8,033
	01.12.2024, 15:38	10
	Отключите до перезагрузки антивирус. Выделите следующий код: Код Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ CustomCLSID: HKU\S-1-5-21-3362012823-4129309396-1450746095-1001_Classes\CLSID\{B840A8D9-8A5E-4C1F-862D-8F7BC4E1BAF5}\InprocServer32 -> C:\Program Files (x86)\Mozilla Firefox\notificationserver.dll => Нет файла CMD: netsh advfirewall reset CMD: netsh advfirewall set allprofiles state on CMD: DISM.exe /Online /Cleanup-image /Restorehealth CMD: sfc /scannow ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. 1

@Rabbitboxe 0 / 0 / 0 Регистрация: 30.11.2024 Сообщений: 9
	01.12.2024, 16:52 [ТС]	11
	... 0

@severnyj 3986 / 2182 / 367 Регистрация: 04.04.2012 Сообщений: 8,033
	01.12.2024, 16:57	13
	Удалите исключения защитника: Как удалить исключения Защитника Удалите в корзину старые и подготовьте новые логи FRST. 1

@severnyj 3986 / 2182 / 367 Регистрация: 04.04.2012 Сообщений: 8,033
	01.12.2024, 18:26	15
	Что с проблемами? 0

@Rabbitboxe 0 / 0 / 0 Регистрация: 30.11.2024 Сообщений: 9
	01.12.2024, 18:28 [ТС]	16
	Пока всё хорошо и прежних проблем замечено не было, большое спасибо за помощь! 0

@severnyj 3986 / 2182 / 367 Регистрация: 04.04.2012 Сообщений: 8,033
	01.12.2024, 18:47	17
	Деинсталлируйте FRST - переименуйте FRST.exe в Uninstall.exe и запустите. Подготовьте лог SecurityCheck by glax24: https://www.safezone.cc/resour... 5/download 0