Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

[РЕШЕНО] Нагружает процессор и видео карту!

MistikLove

Автор MistikLove
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

MistikLove Новичок

MistikLove

Опубликовано
  • Автор
Опубликовано

после установки некоторых пиратских по - возникла проблема с обнаружением неких шпионских по - которые не могут быть удалены! они постоянно меняются в названии но чаще всего я обнаруживаю именно название NET:MALWARE.URL

CollectionLog-2024.01.27-14.43.zip

 

я не знаю как редактировать созданную тему но надеюсь что все по правилам и вы мне поможете 

 

после сканирование dr.web

4.png

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

подготовьте, пожалуйста, дополнительные логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты
MistikLove Новичок

MistikLove

Опубликовано
  • Автор
Опубликовано

готовоMISTIKLOVE_2024-01-27_16-01-57_v4.15.1.7z

FRST.txt

буду ждать 

 

еще вот что заметил - проводник грузит систему и их несколько и все ведут в одно место 

22222222.png

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
6 minutes ago, MistikLove said:

еще вот что заметил - проводник грузит систему и их несколько и все ведут в одно место 

да, есть нагрузка на одном из процессов Explorer.exe (pid 15236)

192.168.0.10:54722 <-> 146.19.170.63:3334 (City: Amsterdam  Country: NL)

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
MistikLove Новичок

MistikLove

Опубликовано
  • Автор
Опубликовано (изменено)

так что делать?
еще видео карта сума сходит

 

я еще раз просканировал и вот что

7.png

она не лечится 

Изменено пользователем MistikLove
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
  

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

ZOO %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE
delall %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE
apply

deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\FRAMEVIEWSDK\FRAMEVIEW.CSV
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {BBACC218-34EA-4666-9D7A-C78F2274A524}\[CLSID]
delref {5AB7172C-9C11-405C-8DD5-AF20F3606282}\[CLSID]
delref {A78ED123-AB77-406B-9962-2A5D9D2F7F30}\[CLSID]
delref {F241C880-6982-4CE5-8CF7-7085BA96DA5A}\[CLSID]
delref {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\[CLSID]
delref {9AA2F32D-362A-42D9-9328-24A483E2CCC3}\[CLSID]
delref {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemRoot%\UUS\%PROCESSOR_ARCHITECTURE%\WUAUENGCORE.DLL
delref %Sys32%\CONFIG\SYSTEMPROFILE
delref %SystemDrive%\PROGRAM FILES
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref BROWSER\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\DEFINITION UPDATES\{F09D652C-4878-4D12-9C75-D38639DD9B0C}\MPKSLDRV.SYS
delref %Sys32%\DRIVERS\WINSETUPMON.SYS
delref IRENUM\[SERVICE]
delref H:\HISUITEDOWNLOADER.EXE
delref E:\STEAMLIBRARY\STEAMAPPS\COMMON\DEAD SPACE (2023)\DEAD SPACE.EXE
;-------------------------------------------------------------
CZOO
restart

после перезагрузки:

Добавьте файлы ZOO_дата_время*.7z и дата_времяlog.7z в следующее ваше сообщение.

6 minutes ago, MistikLove said:

она не лечится 

возможно это связано с запуском майнера:

%SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE

похоже файл защищенный

Quote

Полное имя                  C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE
Имя файла                   UPDATER.EXE
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Инф. о файле                Отказано в доступе.
Цифр. подпись               проверка не производилась
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\GOOGLEUPDATETASKMACHINEQC
Task                        \GoogleUpdateTaskMachineQC
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{803A1FB9-450F-44CB-B876-9D0C5A9CB432}\Actions
Actions                     "%ProgramFiles%\Google\Chrome\updater.exe"
Задача создана              27.01.2024 в 13:48:48
Последний запуск            27.01.2024 в 16:02:11
Код ошибки                  0x80070005
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{803A1FB9-450F-44CB-B876-9D0C5A9CB432}\
                            

 

 

13 minutes ago, MistikLove said:

ак что делать?
еще видео карта сума сходит

Можно, скрипт, который я опубликовал выше, выполнить в uVS из безопасного режима системы. (только выберите безопасный  с поддержкой сетевых драйверов)

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

да, правильно,

в карантин не удалось его добавить, файл защищен

Копирование файла в Zoo: \\?\C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE
Нет доступа к файлу, возможно файл защищен [ C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE ]
(!) Не удалось получить доступ к C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE
Нет доступа к файлу, возможно файл защищен [ C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE ]

 

Получилось ли удалить?

delall %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE

проверьте сейчас по загруженности процессов.

---------

Если нагрузка  на процессор сохраняется, тогда этот же скрипт выполнить из uVS в безопасном режиме системы с поддержкой сетевых драйверов.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
3 minutes ago, MistikLove said:

вроде все - антивирус тоже ничего не видит!

Значит uVS смог удалить.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее. 

Start::
CloseProcesses:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {803A1FB9-450F-44CB-B876-9D0C5A9CB432} - System32\Tasks\GoogleUpdateTaskMachineQC => %ProgramFiles%\Google\Chrome\updater.exe  <==== ВНИМАНИЕ
Reboot:
End::

после перезагрузки системы добавите файл Fixlog.txt из папки откуда запускали FRST

 

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Sergant1983
      Появился процесс "Телефон Microsoft Windows" нагружающий процессор и оператику.
      Автор Sergant1983
      Добрый день.Стал замечать падение производительности ПК в играх. В программе Advanced SystemCare в мониторе производительности увидел процесс Телефон Microsoft Windows сильно грузящий оперативку и процессор.В диспетчере задач этого процесса нет,и при открытии диспетчера задач,заметил,что этот процесс может исчезнуть,но потом все равно выскакивает.При закрытии этото процесса вылетает Синий экран!
      CollectionLog-2025.06.16-00.50.zip
    • sh0keqlow
      [РЕШЕНО] Нагрузка процессора
      Автор sh0keqlow
      CollectionLog-2025.05.31-16.43.zip
      После скачивания некоторых пиратских ПО выросла нагрузка на ЦП, а именно от explorer.exe. Держится примерно на 18%, хотя проводник не включен.
    • Alexey82
      Не могу отформатировать sd карту через адаптер
      Автор Alexey82
      Доброго вечера.
      Не получается отформатировать sd карту через адаптер micro sd.
      Поменял адаптер, поменял sd карту, пробовал форматировать через командную строку win 10, панель управления дисками, через Мой компьютер - результат один - диск защищен от записи.
      Никогда такой проблемы не было, столкнулся сегодня, впервые.
      Из проишествий - лечили вирус, описано здесь
       
      Прошу подсказать, что же такое может быть.
    • Nelidoff
      [РЕШЕНО] Второй процесс dmw.exe греет процессор
      Автор Nelidoff
      На днях обнаружил что процессор нагревается в простое. При открытии диспетчера задач процессор остывает. Проверил ПК разными антивирусными программами, проблема сохраняется. Один антивирус начал все время показывать сообщение о блокировании исходящего трафика от файла C:\Windows\system32\dmw.exe .Через ProcessKiller увидел два процесса dmw.exe. При закрытии одного из них, того что с подробным адресом C:\Windows\system32\dmw.exe процессор остывает. Обновил windows но это ничего не дало. 
      CollectionLog-2025.07.15-16.59.zip
    • timson74
      Можно ли продлить подписку Kaspersky Standard с помощью карты с новой лицензией
      Автор timson74
      Добрый день. Имеется Kaspersky Standard на 3 устр., 21.21.7.384(а). Подписка действует до 1 сентября 2025г. Хочу заранее приобрести карту с новой лицензией Kaspersky Standard (3устр., 1год) для последующего продления подписки, т.к. имеющиеся на рынке предложения получаются дешевле, чем продление на сайте Касперского. Вопрос - можно ли вообще продлевать текущую подписку покупкой карты на НОВУЮ лицензию?
×
×
  • Создать...