[РЕШЕНО] При каждом включении пк зависает намертво ос, после перезагрузки в процессах появляется powershell.exe который грузит ЦПУ до 100% и пропадает из процессов.

[Coin]

CollectionLog-2023.03.19-17.25.zip

[mike 1]

Здравствуйте. 

 

Пофиксите следующие строчки в HiJackThis (HiJackThis используйте из папки Автологгера).

 

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [1] = powershell.exe
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DpaDisabled] = 1
O7 - Policy: HKLM\Software\Policies\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

 

Сделайте новые логи

[Coin]

CollectionLog-2023.03.19-21.15.zip

 

O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [1] = powershell.exe

Программа HiJackThis не нашла эти 2 строки

[thyrex]

Потому что выполняли не в HiJackThis из папки Autologger, а в найденном где-то на просторах сети.

Эти записи до сих пор присутствуют.

[Coin]

https://gyazo.com/153af44dac0fa879e745faabf3205997 выполнял из папки autologger

https://gyazo.com/102db15adb90a3343566579a55a4d2f5

 

hijackthis.log

https://gyazo.com/45c675358d0ab9135b83ead8cbcf547a этих записей здесь нет

Изменено 19 марта, 2023 пользователем Coin

[mike 1]

9 часов назад, mike 1 сказал:

HiJackThis используйте из папки Автологгера

Читайте пожалуйста внимательно. 

Logfile of Trend Micro HijackThis v2.0.5

 

 

[Coin]

CollectionLog-2023.03.20-17.10.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены, как на картинке ниже
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Coin]

FRST.txt Addition.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      

   CreateRestorePoint:
   CloseProcesses:
   HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
   GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
   Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
   HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
   HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
   CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
   CHR HKLM-x32\...\Chrome\Extension: [caljgklbbfbcjjanaijlacgncafpegll]
   CHR HKLM-x32\...\Chrome\Extension: [ccbpbkebodcjkknkfkpmfeciinhidaeh]
   CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni]
   CHR HKLM-x32\...\Chrome\Extension: [nladljmabboanhihfkjacnnkgjhnokhj]
   U1 aswbdisk; отсутствует ImagePath
   2023-03-20 00:13 - 2018-07-27 20:00 - 000001416 __RSH C:\ProgramData\ntuser.pol

   
   
   

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
   

4. Обратите внимание, что компьютер будет перезагружен.
   

[Coin]

Fixlog.txt

[Coin]

Сегодня снова после включения завис компьютер и после нажатия кнопки резет также произошло зависание ос. Нажал еще раз резет, пк перезагрузился и ос не зависла и работает нормально, но в процессах я снова увидел powershell.exe который грузил ЦП до 100% и пропал.

[Coin]

После этого я попробовал отключить все службы майкрософт и запустил чистую ос. В диспетчере задач процесс powershell.exe не запускался и загрузка ЦП составила 0%, компьютер работал стабильно. Затем начал включать обратно системные службы, кроме Hyper-V PowerShell Direct, затем перезагрузил компьютер. Зависаний не было, ос работает стабильно, в диспетчере задач powershell.exe не был обнаружен, загрузка ЦП составила 0%.

[mike 1]

Сделайте лог Process Monitor с воспроизведением зависания и запишите примерное время зависания. 

[mike 1]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".