Хост окна консоли нагружает ЦП до 40-50%.

[kkid]

Впервые такая проблема. Прогнал через  Dr.Web Curelt! и ничего не выявилось. Пытался закрыть через дерево процессоров в том же диспетчере задач ничего не вышло. Попробовал удалить по инструкции трёх годовалой давности в которой точно такая же проблема. Но, ничего не помогло. Скрины и логи приложил свежие.

CollectionLog-2024.08.02-10.26.zip

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
SetServiceStart('MDLEHABT', 4);
 QuarantineFile('C:\ProgramData\windowstask\appmodule.exe','');
 QuarantineFile('C:\ProgramData\windowstask\amd.exe','');
 QuarantineFile('C:\ProgramData\microsoft\win.exe','');
 QuarantineFile('C:\Program Files\google\chrome\updater.exe','');
 QuarantineFile('C:\ProgramData\windows\setup.exe','');
 DeleteFile('C:\ProgramData\windows\setup.exe','64');
 DeleteSchedulerTask('ApiWinDriverA');
 DeleteSchedulerTask('ApiWinDriver');
 DeleteSchedulerTask('browser');
 DeleteSchedulerTask('browserb');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\MapInfo');
 DeleteSchedulerTask('Temp');
 DeleteFile('C:\Program Files\google\chrome\updater.exe','32');
 DeleteFile('C:\ProgramData\microsoft\win.exe','32');
 DeleteFile('C:\ProgramData\windowstask\amd.exe','32');
 DeleteFile('C:\ProgramData\windowstask\appmodule.exe','32');
   DeleteService('MDLEHABT');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[kkid]

Готово.CollectionLog-2024.08.02-16.43.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и со-храните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной систе-мой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте за-пустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[kkid]

Готово.
результаты.rar

[thyrex]

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads)), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe, например, в AVbr123.exe (или лю-бое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-928225382-2692603466-794178181-1002\...\Run: [YandexBrowserAutoLaunch_7B48195F7B9104832CC2C05C019074B2] => "C:\Users\dom\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
HKU\S-1-5-21-928225382-2692603466-794178181-1002\...\Run: [service_update] => "C:\Program Files (x86)\Windows Photo Viewer\ru-RU\service_update.exe" (Нет файла)
HKU\S-1-5-21-928225382-2692603466-794178181-1002\...\MountPoints2: {8a8f4574-6c48-11ee-bcef-1cbfce6f7e76} - "G:\AutoRun.exe" 
HKU\S-1-5-21-928225382-2692603466-794178181-1002\...\MountPoints2: {96594ec3-349d-11ef-be7c-902b34315503} - "F:\HonorSuiteOnlineInstaller.exe" 
HKU\S-1-5-21-928225382-2692603466-794178181-1002\...\MountPoints2: {d115c869-9e39-11ed-bb69-902b34315503} - "G:\AutoRun.exe" 
HKU\S-1-5-21-928225382-2692603466-794178181-1002\...\MountPoints2: {d4ad37a0-0745-11ee-bc2b-902b34315503} - "G:\AutoRun.exe" 
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {2B96D1B5-9546-40CC-AEE3-DB28C8344E65} - System32\Tasks\opera => "C:\MSOCache\All Users\opera.exe"  (Нет файла)
Task: {C19D5498-69DE-4D15-80B3-2FA13548FD63} - System32\Tasks\Opera GX scheduled Autoupdate 1665662555 => E:\Roblox\launcher.exe  --scheduledautoupdate $(Arg0) (Нет файла)
Task: {2FA164A2-432A-4810-837B-4910782741AE} - System32\Tasks\Opera GX scheduled Autoupdate 1694248397 => C:\Users\dom\AppData\Local\Programs\Opera GX\launcher.exe  --scheduledautoupdate $(Arg0) (Нет файла)
Task: {25EAF518-03CC-473A-A69A-F5497BDAF9B4} - System32\Tasks\operao => "C:\MSOCache\All Users\opera.exe"  (Нет файла)
Task: {B014ABF7-70F8-4805-8F4C-7E2BFE3D43F2} - System32\Tasks\service_update => "C:\Program Files (x86)\Windows Photo Viewer\ru-RU\service_update.exe"  (Нет файла)
Task: {317214AB-E927-4FF2-BEDE-94A0D16CF2CF} - System32\Tasks\service_updates => "C:\Program Files (x86)\Windows Photo Viewer\ru-RU\service_update.exe"  (Нет файла)
Task: {C26DD361-2761-4F2B-93FC-3B23B1135DAA} - System32\Tasks\TextInputHost => "C:\Program Files (x86)\Windows Media Player\TextInputHost.exe"  (Нет файла)
Task: {5A041358-BEE2-41ED-BA0E-24617D585267} - System32\Tasks\TextInputHostT => "C:\Program Files (x86)\Windows Media Player\TextInputHost.exe"  (Нет файла)
Task: {FD3AF40F-5CCF-4543-A2C9-DE14D924E93C} - System32\Tasks\WmiPrvSE => "C:\componentwebfontwin\WmiPrvSE.exe"  (Нет файла) <==== ВНИМАНИЕ
Task: {1F3C5705-9A91-4189-A9FF-7CD5598FD938} - System32\Tasks\WmiPrvSEW => "C:\componentwebfontwin\WmiPrvSE.exe"  (Нет файла) <==== ВНИМАНИЕ
Task: {3BB0D997-D4F2-4E8E-BA3C-0420CF0477B8} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.7.3.831\service_update.exe  --repair (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
S2 Avira.ServiceHost; "C:\Program Files (x86)\Avira\Launcher\Avira.ServiceHost.exe" [X]
S2 CloudflareWARP; "C:\Program Files\Cloudflare\Cloudflare WARP\warp-svc.exe" [X]
S2 HitmanPro38CrusaderBoot; "C:\Users\dom\Desktop\HitmanPro_x64.exe" /crusader:boot [X]
S2 RvControlSvc; "C:\Program Files (x86)\Radmin VPN\RvControlSvc.exe" /service [X]
S3 TouchVPN Management Service; "C:\Program Files (x86)\TouchVPN\Hydra.Sdk.Windows.Service.exe" [X]
S2 TouchVPN Update Service; "C:\Program Files (x86)\TouchVPN\Mystique.Update.Service.exe" -pipeServerName TouchVPN_Update_Service -applicationPipeServerName TouchVPN_Update_Listener [X]
S2 WindscribeService; "C:\Program Files\Windscribe\WindscribeService.exe" [X]
2024-05-18 23:08 - 2024-05-18 23:08 - 000000852 _____ C:\Users\dom\Desktop\Мир танков.lnk
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Users\dom\Downloads\AV_block_remover
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Users\dom\Downloads\AutoLogger
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Users\dom\Desktop\AV_block_remover
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Users\dom\Desktop\AutoLogger
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Users\dom\AppData\Roaming\Sysfiles
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\ProgramData\WavePad
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\ProgramData\RobotDemo
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\ProgramData\PuzzleMedia
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\ProgramData\princeton-produce
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\ProgramData\Norton
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\ProgramData\McAfee
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\ProgramData\grizzly
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\ProgramData\FingerPrint
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\ProgramData\Evernote
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\ProgramData\ESET
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\ProgramData\BookManager
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files\Transmission
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files\SUPERAntiSpyware
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files\Ravantivirus
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files\Rainmeter
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files\QuickCPU
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files\Process Lasso
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files\Process Hacker 2
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files\NETGATE
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files\Loaris Trojan Remover
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files\HitmanPro
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files\ESET
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files\EnigmaSoft
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files\DrWeb
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files\Common Files\Doctor Web
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files\Common Files\AV
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files\Cezurity
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files\Bitdefender Agent
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files (x86)\Transmission
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files (x86)\SpeedFan
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files (x86)\Moo0
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files (x86)\IObit
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files (x86)\GPU Temp
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 __SHD C:\Program Files (x86)\AVG
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 ____D C:\ProgramData\Doctor Web
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 ____D C:\ProgramData\Avira
2024-05-18 23:05 - 2024-05-18 23:05 - 000000000 ____D C:\Program Files (x86)\MSI
2024-05-18 23:04 - 2024-05-31 10:30 - 000000000 __SHD C:\ProgramData\Windows Tasks Service
2024-05-18 23:04 - 2024-05-18 23:04 - 000000000 __SHD C:\ProgramData\MB3Install
2024-05-18 23:04 - 2024-05-18 23:04 - 000000000 __SHD C:\ProgramData\Malwarebytes
2024-05-18 23:04 - 2024-05-18 23:04 - 000000000 __SHD C:\ProgramData\AVAST Software
2024-05-18 23:04 - 2024-05-18 23:04 - 000000000 __SHD C:\ProgramData\360safe
2024-05-18 23:04 - 2024-05-18 23:04 - 000000000 __SHD C:\Program Files\SpyHunter
2024-05-18 23:04 - 2024-05-18 23:04 - 000000000 __SHD C:\Program Files\Malwarebytes
2024-05-18 23:04 - 2024-05-18 23:04 - 000000000 __SHD C:\Program Files\Enigma Software Group
2024-05-18 23:04 - 2024-05-18 23:04 - 000000000 __SHD C:\Program Files\COMODO
2024-05-18 23:04 - 2024-05-18 23:04 - 000000000 __SHD C:\Program Files\ByteFence
2024-05-18 23:04 - 2024-05-18 23:04 - 000000000 __SHD C:\Program Files\AVG
2024-05-18 23:04 - 2024-05-18 23:04 - 000000000 __SHD C:\Program Files\AVAST Software
2024-05-18 23:04 - 2024-05-18 23:04 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
2024-05-18 23:04 - 2024-05-18 23:04 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2024-05-18 23:04 - 2024-05-18 23:04 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2024-05-18 23:04 - 2024-05-18 23:04 - 000000000 __SHD C:\Program Files (x86)\360
2024-05-18 23:04 - 2024-05-18 23:04 - 000000000 __SHD C:\KVRT2020_Data
2024-05-18 23:04 - 2024-05-18 23:04 - 000000000 __SHD C:\KVRT_Data
2024-05-18 23:04 - 2024-05-18 23:04 - 000000000 __SHD C:\AdwCleaner
2024-05-18 23:04 - 2024-05-18 23:04 - 000000000 ___HD C:\Program Files\RDP Wrapper
2024-05-18 23:04 - 2024-05-18 23:04 - 000000000 ____D C:\Windows\speechstracing
2024-05-18 23:04 - 2024-05-18 23:04 - 000000000 ____D C:\Users\dom\AppData\Roaming\RMS_settings
2024-05-18 23:03 - 2024-05-31 10:30 - 000000000 __SHD C:\ProgramData\WindowsTask
2024-05-18 23:03 - 2024-05-31 10:30 - 000000000 __SHD C:\ProgramData\ReaItekHD
2024-05-18 23:03 - 2024-05-19 11:01 - 000000000 __SHD C:\ProgramData\Setup
2024-05-18 23:03 - 2024-05-18 23:05 - 000000000 __SHD C:\ProgramData\Install
2024-05-18 23:03 - 2024-05-18 23:03 - 000000000 __SHD C:\ProgramData\RunDLL
C:\Program Files\Google\Libs\WR64.sys
CustomCLSID: HKU\S-1-5-21-928225382-2692603466-794178181-1002_Classes\CLSID\{D5C4136A-93E5-4678-A6F8-0B2D9BB10999}\localserver32 -> C:\Windows\System32\RunDll32.exe "E:\games\Reg Organizer\Notifications.dll",Activate -ToastActivated => Нет файла
CustomCLSID: HKU\S-1-5-21-928225382-2692603466-794178181-1002_Classes\CLSID\{d936918b-9c4b-555e-074a-c79314be04e1}\localserver32 -> "C:\Program Files (x86)\Proton Technologies\ProtonVPN\ProtonVPN.exe" -ToastActivated => Нет файла
CustomCLSID: HKU\S-1-5-21-928225382-2692603466-794178181-1002_Classes\CLSID\{f9517764-05a4-a748-620a-95087d06a241}\localserver32 -> "C:\Program Files\Cloudflare\Cloudflare WARP\Cloudflare WARP.exe" -ToastActivated => Нет файла
C:\Users\dom\Desktop\Мир танков.lnk
C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Повторы боев.lnk
C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Скриншоты.lnk
C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wargaming.net\World_of_Tanks_RU\Удалить World of Tanks RU.lnk
C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lesta Games\Tanki (3)\Мир танков (3).lnk
C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lesta Games\Tanki (3)\Удалить Мир танков (3).lnk
C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lesta Games\Tanki\Мир танков.lnk
C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lesta Games\Tanki\Удалить Мир танков.lnk
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TechPowerUp GPU-Z.lnk:718E15FDE8 [2594]
AlternateDataStreams: C:\Users\dom\Application Data:NT [40]
AlternateDataStreams: C:\Users\dom\AppData\Roaming:NT [40]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[kkid]

Всё понял.
Готово. 
AV_block_remove_2024.08.03-12.34.log

Fixlog.txt

Изменено 3 августа пользователем kkid

[thyrex]

Что с проблемой?

[kkid]

Всё так же весит.

 

[thyrex]

Удалите старые логи Farbar и сделайте новые