Перейти к содержанию

[РЕШЕНО] При каждом включении пк зависает намертво ос, после перезагрузки в процессах появляется powershell.exe который грузит ЦПУ до 100% и пропадает из процессов.


Рекомендуемые сообщения

Здравствуйте. 

 

Пофиксите следующие строчки в HiJackThis (HiJackThis используйте из папки Автологгера).

 

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [1] = powershell.exe
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DpaDisabled] = 1
O7 - Policy: HKLM\Software\Policies\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

 

Сделайте новые логи

Ссылка на сообщение
Поделиться на другие сайты

CollectionLog-2023.03.19-21.15.zip

 

O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [1] = powershell.exe

Программа HiJackThis не нашла эти 2 строки

Ссылка на сообщение
Поделиться на другие сайты

Потому что выполняли не в HiJackThis из папки Autologger, а в найденном где-то на просторах сети.

Эти записи до сих пор присутствуют.

Ссылка на сообщение
Поделиться на другие сайты

https://gyazo.com/153af44dac0fa879e745faabf3205997 выполнял из папки autologger

https://gyazo.com/102db15adb90a3343566579a55a4d2f5

 

hijackthis.log

https://gyazo.com/45c675358d0ab9135b83ead8cbcf547a этих записей здесь нет

Изменено пользователем Coin
Ссылка на сообщение
Поделиться на другие сайты
9 часов назад, mike 1 сказал:

HiJackThis используйте из папки Автологгера

Читайте пожалуйста внимательно. 

Logfile of Trend Micro HijackThis v2.0.5

 

 

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены, как на картинке ниже
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
       
    CreateRestorePoint:
    CloseProcesses:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    CHR HKLM-x32\...\Chrome\Extension: [caljgklbbfbcjjanaijlacgncafpegll]
    CHR HKLM-x32\...\Chrome\Extension: [ccbpbkebodcjkknkfkpmfeciinhidaeh]
    CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni]
    CHR HKLM-x32\...\Chrome\Extension: [nladljmabboanhihfkjacnnkgjhnokhj]
    U1 aswbdisk; отсутствует ImagePath
    2023-03-20 00:13 - 2018-07-27 20:00 - 000001416 __RSH C:\ProgramData\ntuser.pol



  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

Ссылка на сообщение
Поделиться на другие сайты

Сегодня снова после включения завис компьютер и после нажатия кнопки резет также произошло зависание ос. Нажал еще раз резет, пк перезагрузился и ос не зависла и работает нормально, но в процессах я снова увидел powershell.exe который грузил ЦП до 100% и пропал.

Ссылка на сообщение
Поделиться на другие сайты

После этого я попробовал отключить все службы майкрософт и запустил чистую ос. В диспетчере задач процесс powershell.exe не запускался и загрузка ЦП составила 0%, компьютер работал стабильно. Затем начал включать обратно системные службы, кроме Hyper-V PowerShell Direct, затем перезагрузил компьютер. Зависаний не было, ос работает стабильно, в диспетчере задач powershell.exe не был обнаружен, загрузка ЦП составила 0%.

Ссылка на сообщение
Поделиться на другие сайты
  • 3 weeks later...

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Ekarnii babai
      От Ekarnii babai
      При открытом диспетчере не вылезает а если его закрыть и сидеть и смотреть через WIn+G то там он фигачит мою видюху на сто процентов через 5 -10 минут и так до того пока не откроешь диспечер обычный делал сканы с помощью CClenera не не нашел ничего,Dcweb снес мне Advanced systemcare  и тоже не помогло. Надеюсь поможете. 
    • Daniil1819
      От Daniil1819
      Здравствуйте!
      В отчетах AMSI-защиты постоянно появляются сообщения об обнаружении вредоносного объекта, а затем, что результат проверки объекта передан другой программе. Появилось после установки программы скачанной из интернета, сама программа уже удалена.
      Видел на форуме похожую проблему, повторил то, что советовал консультант, но мне это не помогло. Запускал Kaspersky Virus Removal Tool - ничего не обнаружено.
      Логи прикрепил.
       

      Событие: Обнаружен вредоносный объект
      Пользователь: LENOVO_Z50-70\Daniil
      Тип пользователя: Активный пользователь
      Имя программы: powershell.exe
      Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
      Компонент: AMSI-защита
      Описание результата: Обнаружено
      Тип: Троянская программа
      Название: HEUR:Trojan.PowerShell.Agent.gen
      Точность: Эвристический анализ
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: amsi_script_utf8
      Путь к объекту: uid://amsi_stream_217//
      MD5: 1AD5F743561EF63C8B5A7725513A08A2
      Причина: Экспертный анализ
      Дата выпуска баз: Сегодня, Сб 27.08.22 11:35:00
      CollectionLog-2022.08.27-22.42.zip
    • kotodrotin
      От kotodrotin
      Здравствуйте.
      Заметил что ноутбук начал шуметь в простое и нагружать процессор на 50-60 процентов, а нагрузка шла от программы Powershell, причем проверял в программе process explorer, потому что открывая просто диспетчер задач нагрузка процессора падала, а процесс powershell сбрасывался. Проверил антивирусом malware и drweb culteir и без результатно

    • maxy_f
      От maxy_f
      Добрый день!
      В отчете AMSI очень много сообщений что обнаружен вредоносный объект и что результат проверки передан сторонней программе. Когда появилось - не подскажу. Установил KIS неделю назад и сразу увидел там эти ошибки.
      Пытался гуглить как от этого избавиться - не нашел ничего что могло бы помочь. Подменил сам файл powershell.exe с другой машины, где точно уверен что все чисто - все равно сыпет этими сообщениями.  Прогнал Kaspersky Virus Removal Tool и Dr.Web CureIt! - ничего не нашлось.
      Буду благодарен если подскажите как от этого избавиться.
       
      Имя программы: powershell.exe
      Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
      Компонент: AMSI-защита
      Описание результата: Обнаружено
      Тип: Троянская программа
      Название: HEUR:Trojan.PowerShell.Agent.gen
      Точность: Эвристический анализ
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: amsi_script_utf8
      Путь к объекту: uid://amsi_stream_4263//
      CollectionLog-2022.06.20-15.04.zip
    • Odnako
      От Odnako
      Доброго времени суток!
      Заметил, что ЦП загружается на 50-60%. При запуске диспетчера задач или его аналогов - процесс автоматически выключается. Удалось увидеть процесс в мониторе ресурсов (см. скриншот ниже)
      Использовал антивирусники Касперский, ESET NOD32, Dr.Web CureIt. Ничего из перечисленного не смогло обнаружить вредоносное устройство или проблему. 
      Помогите, пожалуйста, решить проблему и по возможности определить источник проблемы. 

      CollectionLog-2022.03.04-12.17.zip
×
×
  • Создать...