Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Пару дней назад, при открытии диспетчера задач, обратила внимание, что загруженность процессора с 99% резко падает на стандартные 3-4%. Плюс замечено откровенное торможение в ресурсоемких процессах. Так же в процессах висит три dwm.exe.
Утилиты cureIt и касперский не помогли.
Логи прилагаю. Очень надеюсь на помощь.
image.thumb.png.4a455400626c63c724fcb2bb4e4e3bd9.png

CollectionLog-2025.03.26-21.31.zip

Опубликовано

Здравствуйте.

 

Логи сделаны устаревшей версией Autologger. Скачайте актуальную по ссылке в правилах и соберите новые логи.

Опубликовано

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\user\AppData\Local\Temp\HotspotUpdater.exe','');
 DeleteFile('C:\Users\user\AppData\Local\Temp\HotspotUpdater.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HotspotUpdater','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HotspotUpdater','x64');
 DeleteSchedulerTask('IObit B5Sale (One-time)');
 DeleteSchedulerTask('IObit DB2024B5 (One-Time)');
 DeleteSchedulerTask('MaintenanceUninstalledSystemApps');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;

ExecuteRepair(9);
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\ DisallowedCertificates: 47D92D49E6F7F296260DA1AF355F941EB25360C4 (U)
HKLM\ DisallowedCertificates: EE45853E5C81DB8FDBB7F92C18B20972C744911C (U)
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {E329901E-47F1-4027-B9EB-382F64B71187} - System32\Tasks\Microsoft\Windows\WindowsUpdate\RUXIM\PLUGScheduler => "%ProgramFiles%\RUXIM\PLUGscheduler.exe"  (Нет файла)
Task: {1C09CBD9-13CE-4843-A377-EBF2425575C6} - System32\Tasks\ModifyLinkUpdate => C:\Program Files\AMD\CIM\Bin64\InstallManagerApp.exe  -UpdateCurrentUser (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{E5D7C8C4-3932-4CC4-86F6-73C47E4E61F9}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.105.3214.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{BB5D4EE5-1DF9-46BC-A150-8C21C0CB470A}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.105.3214.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{3F0B4A81-9858-460F-99A8-CFB6E783CAD2}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.105.3214.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{8A305D46-E0CE-4C23-9640-28CD82497458}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.105.3214.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{FDE75435-8971-4CFC-AB51-82CD6E0A7013}] => (Allow) C:\Users\user\AppData\Local\Temp\SmartFix\wget.exe => Нет файла
FirewallRules: [TCP Query User{1A428A9F-CAA3-463C-98F5-5A77A6C08454}F:\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Block) F:\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [UDP Query User{C23C5EE9-54B4-417C-AA49-01D89531F8CF}F:\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Block) F:\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{374EC8EA-B5BF-4A09-BBB0-5BD9FB506B27}] => (Allow) C:\Program Files (x86)\EaseUS\EaseUS Todo PCTrans\bin\DataChannelUI.exe => Нет файла
FirewallRules: [TCP Query User{8C5EF65D-DE89-41ED-9982-4AF02D668883}C:\users\user\desktop\anydesk.exe] => (Allow) C:\users\user\desktop\anydesk.exe => Нет файла
FirewallRules: [UDP Query User{E0D9F27F-7F7B-4AD5-B5C2-F43C8375DBCF}C:\users\user\desktop\anydesk.exe] => (Allow) C:\users\user\desktop\anydesk.exe => Нет файла
FirewallRules: [{E352EADD-4367-48A2-8DA8-46C7547A434B}] => (Allow) F:\Ubisoft Game Launcher\games\Tom Clancy's Rainbow Six Siege RUS\RainbowSix_BE.exe => Нет файла
FirewallRules: [{0556D253-D151-432E-9B8A-FACD85B63E1D}] => (Allow) F:\Ubisoft Game Launcher\games\Tom Clancy's Rainbow Six Siege RUS\RainbowSix_BE.exe => Нет файла
FirewallRules: [{DB022591-D033-4FF3-8DC3-3D78D9E096C3}] => (Allow) F:\Ubisoft Game Launcher\games\Tom Clancy's Rainbow Six Siege RUS\RainbowSix.exe => Нет файла
FirewallRules: [{7B9EAE6E-A5C6-40EE-9C8D-2004AC60AA19}] => (Allow) F:\Ubisoft Game Launcher\games\Tom Clancy's Rainbow Six Siege RUS\RainbowSix.exe => Нет файла
FirewallRules: [{1E491B9A-6F41-42A4-93BA-D2B7DEC89769}] => (Allow) F:\Ubisoft Game Launcher\games\Tom Clancy's Rainbow Six Siege RUS\RainbowSix_DX11.exe => Нет файла
FirewallRules: [{7C319EB5-035E-498E-8C41-859B303AD133}] => (Allow) F:\Ubisoft Game Launcher\games\Tom Clancy's Rainbow Six Siege RUS\RainbowSix_DX11.exe => Нет файла
FirewallRules: [{C07EBA28-0146-4BED-A4C6-3D41B231CBAC}] => (Allow) F:\Purple\2.25.305.10\cefsharp.browsersubprocess.exe => Нет файла
FirewallRules: [{B23C04FB-16D3-469C-9B3A-837C81440E5A}] => (Allow) F:\Purple\yeti\yeti_v2.1.506.2502_global\purpleon.exe => Нет файла
FirewallRules: [TCP Query User{6F743A11-4E8C-4F8D-9462-D5B0EEC247F3}F:\resident.evil.4.(2023)-insaneramzes\re4.exe] => (Block) F:\resident.evil.4.(2023)-insaneramzes\re4.exe => Нет файла
FirewallRules: [UDP Query User{0C005BE6-E6F6-4540-8A96-DE4F52BC4C03}F:\resident.evil.4.(2023)-insaneramzes\re4.exe] => (Block) F:\resident.evil.4.(2023)-insaneramzes\re4.exe => Нет файла
FirewallRules: [TCP Query User{52828B68-EF33-4FA1-8F4C-5E8706E321D3}C:\program files (x86)\planetvpn\bin\xray\xray.exe] => (Allow) C:\program files (x86)\planetvpn\bin\xray\xray.exe => Нет файла
FirewallRules: [UDP Query User{CFEE4211-5094-4493-B5FA-2E668FA2C9E8}C:\program files (x86)\planetvpn\bin\xray\xray.exe] => (Allow) C:\program files (x86)\planetvpn\bin\xray\xray.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Garguha
      Автор Garguha
      Заметил что в простое происходит сильный нагрев и съедается около 20% процессора. После поисков проблем обнаружил 2 dwm.exe процесса один из которых и берёт на себя нагрузку. После прочтения нескольких статей форума не смог лично разобраться в решении проблемы.
      CollectionLog-2025.07.18-20.40.zip
    • iamgroot
      Автор iamgroot
      Вечер добрый, вчера через программу System Informer обнаружил то, что у меня два процесса dwm.exe, один из них грузит процессор на +-30%, потребляет 2 гб ОЗУ и запущен от имени системы, вместо DWM-1. При открытии диспетчера задач нагрузка снижается постепенно, процесс можно завершить, но после перезагрузки он вновь появляется. На данном форуме уже видел темы с идентичными моим симптомами.
      Проблему заметил после того, как установил обновление KB5058499 через центр обновлений, до этого подобного не наблюдал.
      Проверка системы KVRT не дала результатов, ниже прилагаю скриншот с процессом и файл логов автологгера.

      CollectionLog-2025.05.30-17.44.zip
    • Vovkaproshka
      Автор Vovkaproshka
      После установки лоадера впнов появился процесс setup нагружает только оперативку.
      Doctor  web antivirus удаляет три трояна, после сетап пропадает из процессов, после перезагрузки процесс снова появляется, думаю прикрепился к какому-то приложению, через безопасный режим также после удаления и перезагрузки загружается,  находится по пути AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC
    • GlibZabiv
      Автор GlibZabiv
      Здравствуйте, ЦП AMD Ryzen 5 3600 в простое греется до 65-75 градусов, ГП AMD Radeon RX 570 Series до 48-50 градусов. Насколько я знаю, в простое такая температура ненормальна. По диспетчеру задач нагрузка небольшая. Kaspersky Internet Security, Dr.Web CurIt! майнера не видят. Прошу вас сказать, заражен ли мой компьютер (данные брал из программы AIDA 64).
      CollectionLog-2025.05.31-12.01.zip
    • ShadowIce449
      Автор ShadowIce449
      игры упали в производ, вертушки начали шуметь просто так, испол drweb ничего не обнаружил, а также запустил avz. Cкачивал игры с торрент игрухе и т.д
       
      CollectionLog-2025.06.12-21.38.zip
×
×
  • Создать...