[РЕШЕНО] Powershell занимает 2,5 гб оперативной памяти и нагружает процессор на 50%

[AAAAAAAAAAAABA]

Уже 2 месяца как powershell периодически (закономерности не заметил) подрубается и тормозит комп.

Dr. Web Cureit при последней проверке (1 июня 2023) ничего не обнаружил

Прилагаю лог

 

CollectionLog-2023.06.01-12.47.zip

[Sandor]

Здравствуйте!

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;
begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
    then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
    else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

Архив Report.7z из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.

 

Далее:

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\Google\Chrome\updater.exe', '');
 DeleteSchedulerTask('GoogleUpdateTaskMachineQC');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\007');
 DeleteSchedulerTask('Microsoft\Windows\MUI\1652727914');
 DeleteSchedulerTask('Microsoft\Windows\MUI\797678887');
 DeleteSchedulerTask('Microsoft\Windows\Shell\Shell');
 DeleteFile('C:\Program Files\Google\Chrome\updater.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

 

[AAAAAAAAAAAABA]

Не нашел Report.7z в папке. Думаю, дело в отсутствии 7zip на пк.

Либо он исчез после выполнения 2-ого скрипта

CollectionLog-2023.06.01-15.03.zip

[Sandor]

По непонятной пока причине в архиве не хватает одного лога.
Скачайте, пожалуйста, эту версию. Распакуйте и запустите HiJackThis_dbg.exe
Нажмите кнопку "Проверить систему и сохранить отчёт". Полученный в результате проверки файл HiJackThis.log прикрепите к следующему сообщению.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

2 часа назад, AAAAAAAAAAAABA сказал:

Не нашел Report.7z в папке

Если в папке Автологера есть файлы report2.log и report1.log, прикрепите их тоже к следующему сообщению.

[AAAAAAAAAAAABA]

есть

HiJackThis_log.zip FRST.txt Addition.txt report1.log report2.log

[Sandor]

Видны следы от ещё одного майнера.

 

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

[AAAAAAAAAAAABA]

естьAV_block_remove_2023.06.02-16.17.logCollectionLog-2023.06.02-16.33.zip

[Sandor]

Хорошо. Теперь удалите старые и соберите, пожалуйста, новые логи FRST.txt и Addition.txt

[AAAAAAAAAAAABA]

есмть

FRST.txt Addition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-169585634-1937067463-36381721-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  C:\Users\Dima\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  AlternateDataStreams: C:\ProgramData\juutbubq.wrj:C3E58011A3 [3442]
  AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [3442]
  AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [118]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2021.lnk:6E6E4AA64E [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audacity.lnk:09A0A90EF3 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3442]
  FirewallRules: [{ac9c36fb-d70d-4698-815e-e786040dbad4}] => (Block) LPort=14433
  FirewallRules: [{0dff7f35-3f12-45e8-8f51-77d9e20173df}] => (Block) LPort=14433
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[AAAAAAAAAAAABA]

естьFixlog.txt

[Sandor]

Хорошо. Проблема решена?

[AAAAAAAAAAAABA]

Да, более не наблюдаю майнера в process explorer, спасибо за помощь

[Sandor]

Хорошо, завершаем:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[AAAAAAAAAAAABA]

Есть SecurityCheck.txt