[РЕШЕНО] Нагружает процессор и видео карту!

[MistikLove]

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[MistikLove]

мне создать новую тему или оформить все тут?

[Mark D. Pearlstone]

Тут

[MistikLove]

после установки некоторых пиратских по - возникла проблема с обнаружением неких шпионских по - которые не могут быть удалены! они постоянно меняются в названии но чаще всего я обнаруживаю именно название NET:MALWARE.URL

CollectionLog-2024.01.27-14.43.zip

 

я не знаю как редактировать созданную тему но надеюсь что все по правилам и вы мне поможете 

 

после сканирование dr.web

[safety]

подготовьте, пожалуйста, дополнительные логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[MistikLove]

готовоMISTIKLOVE_2024-01-27_16-01-57_v4.15.1.7z

FRST.txt

буду ждать 

 

еще вот что заметил - проводник грузит систему и их несколько и все ведут в одно место 

[safety]

6 minutes ago, MistikLove said:

еще вот что заметил - проводник грузит систему и их несколько и все ведут в одно место 

да, есть нагрузка на одном из процессов Explorer.exe (pid 15236)

192.168.0.10:54722 <-> 146.19.170.63:3334 (City: Amsterdam  Country: NL)

Изменено 27 января, 2024 пользователем safety

[MistikLove]

так что делать?
еще видео карта сума сходит

 

я еще раз просканировал и вот что

она не лечится 

Изменено 27 января, 2024 пользователем MistikLove

[safety]

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

ZOO %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE
delall %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE
apply

deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\FRAMEVIEWSDK\FRAMEVIEW.CSV
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {BBACC218-34EA-4666-9D7A-C78F2274A524}\[CLSID]
delref {5AB7172C-9C11-405C-8DD5-AF20F3606282}\[CLSID]
delref {A78ED123-AB77-406B-9962-2A5D9D2F7F30}\[CLSID]
delref {F241C880-6982-4CE5-8CF7-7085BA96DA5A}\[CLSID]
delref {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\[CLSID]
delref {9AA2F32D-362A-42D9-9328-24A483E2CCC3}\[CLSID]
delref {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemRoot%\UUS\%PROCESSOR_ARCHITECTURE%\WUAUENGCORE.DLL
delref %Sys32%\CONFIG\SYSTEMPROFILE
delref %SystemDrive%\PROGRAM FILES
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref BROWSER\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\DEFINITION UPDATES\{F09D652C-4878-4D12-9C75-D38639DD9B0C}\MPKSLDRV.SYS
delref %Sys32%\DRIVERS\WINSETUPMON.SYS
delref IRENUM\[SERVICE]
delref H:\HISUITEDOWNLOADER.EXE
delref E:\STEAMLIBRARY\STEAMAPPS\COMMON\DEAD SPACE (2023)\DEAD SPACE.EXE
;-------------------------------------------------------------
CZOO
restart

после перезагрузки:

Добавьте файлы ZOO_дата_время*.7z и дата_времяlog.7z в следующее ваше сообщение.

6 minutes ago, MistikLove said:

она не лечится 

возможно это связано с запуском майнера:

%SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE

похоже файл защищенный

Quote

Полное имя                  C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE
Имя файла                   UPDATER.EXE
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Инф. о файле                Отказано в доступе.
Цифр. подпись               проверка не производилась
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\GOOGLEUPDATETASKMACHINEQC
Task                        \GoogleUpdateTaskMachineQC
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{803A1FB9-450F-44CB-B876-9D0C5A9CB432}\Actions
Actions                     "%ProgramFiles%\Google\Chrome\updater.exe"
Задача создана              27.01.2024 в 13:48:48
Последний запуск            27.01.2024 в 16:02:11
Код ошибки                  0x80070005
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{803A1FB9-450F-44CB-B876-9D0C5A9CB432}\
                            

 

 

13 minutes ago, MistikLove said:

ак что делать?
еще видео карта сума сходит

Можно, скрипт, который я опубликовал выше, выполнить в uVS из безопасного режима системы. (только выберите безопасный  с поддержкой сетевых драйверов)

Изменено 27 января, 2024 пользователем safety

[MistikLove]

вроде все правильно сделал?

2024-01-27_16-38-52_log.txt ZOO_2024-01-27_16-38-51.7z

[safety]

да, правильно,

в карантин не удалось его добавить, файл защищен

Копирование файла в Zoo: \\?\C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE
Нет доступа к файлу, возможно файл защищен [ C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE ]
(!) Не удалось получить доступ к C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE
Нет доступа к файлу, возможно файл защищен [ C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE ]

 

Получилось ли удалить?

delall %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE

проверьте сейчас по загруженности процессов.

---------

Если нагрузка  на процессор сохраняется, тогда этот же скрипт выполнить из uVS в безопасном режиме системы с поддержкой сетевых драйверов.

 

Изменено 27 января, 2024 пользователем safety

[MistikLove]

вроде все - антивирус тоже ничего не видит!

[safety]

3 minutes ago, MistikLove said:

вроде все - антивирус тоже ничего не видит!

Значит uVS смог удалить.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Start::
CloseProcesses:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {803A1FB9-450F-44CB-B876-9D0C5A9CB432} - System32\Tasks\GoogleUpdateTaskMachineQC => %ProgramFiles%\Google\Chrome\updater.exe  <==== ВНИМАНИЕ
Reboot:
End::

после перезагрузки системы добавите файл Fixlog.txt из папки откуда запускали FRST

 

[MistikLove]

готово

Fixlog.txt