Появился процесс "Телефон Microsoft Windows" нагружающий процессор и оператику.

[Sergant1983]

Добрый день.Стал замечать падение производительности ПК в играх. В программе Advanced SystemCare в мониторе производительности увидел процесс Телефон Microsoft Windows сильно грузящий оперативку и процессор.В диспетчере задач этого процесса нет,и при открытии диспетчера задач,заметил,что этот процесс может исчезнуть,но потом все равно выскакивает.При закрытии этото процесса вылетает Синий экран!

CollectionLog-2025.06.16-00.50.zip

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Загрузитесь в безопасном режиме.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Сергей\AppData\Local\Programs\com.brotorrent.torrent-client-utorrent\uTorrent-v2.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\wex.vbs','');
 QuarantineFile('C:\Program Files\Game\game.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\wext.vbs','');
 QuarantineFile('C:\ProgramData\nalfdgwigwyg\lhhsgwktkatl.exe','');
 SetServiceStart('HROCVUWC', 4);
 DeleteService('HROCVUWC');
 DeleteFile('C:\ProgramData\nalfdgwigwyg\lhhsgwktkatl.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs','64');
 DeleteFile('C:\Program Files\Game\game.exe','64');
 DeleteSchedulerTask('GameUpdate');
 DeleteSchedulerTask('EdgeUpdateTaskUser');
 DeleteSchedulerTask('EdgeUpdate');
 DeleteFile('C:\ProgramData\Microsoft\wex.vbs','64');
 DeleteSchedulerTask('OperaUpdateTask');
 DeleteSchedulerTask('OperaUpdate');
 DeleteSchedulerTask('UpdateUTorrentV4');
 DeleteFile('C:\Users\Сергей\AppData\Local\Programs\com.brotorrent.torrent-client-utorrent\uTorrent-v2.exe','64');
 DeleteSchedulerTask('uTorrent_v2UpdaterV5_t1737914387375');
 DeleteSchedulerTask('uTorrent_v2UpdaterV6_t1737914389492');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Загрузитесь в нормальном режиме.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

После скрипта

Цитата

Client Helper 6.1.6

uTorrent 8.2.9

удалите через Установку программ или принудительно с помощью Geek Uninstaller

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Sergant1983]

Все сделал как сказали.Вируса больCollectionLog-2025.06.16-21.04.zipше нет!!!!  Спасибо !!!

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Sergant1983]

FRST.zip

[thyrex]

Не дождались окончания сбора логов. 

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2022-11-16] (Microsoft Windows -> Microsoft Corporation)
S3 dosvc_bkp; C:\Windows\system32\dosvc.dll [1503232 2022-11-16] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [570368 2022-11-16] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\system32\WaasMedicSvc.dll [427520 2022-11-16] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3405824 2022-11-16] (Microsoft Windows -> Microsoft Corporation)
2025-04-14 20:07 - 2025-06-16 16:21 - 000000000 ____D C:\ProgramData\nalfdgwigwyg
2024-11-02 15:25 - 2024-11-02 15:25 - 000000264 _____ () C:\Users\Сергей\uTorrentPro.dat
2022-12-24 21:16 - 2022-12-24 21:16 - 000000001 _RHOT () C:\Users\Сергей\AppData\Roaming\SysFiles
ContextMenuHandlers1_S-1-5-21-1157759947-370023152-2453387108-1001: [          kwpsshellext] -> {28A80003-18FD-411D-B0A3-3C81F618E22B} => C:\Users\Сергей\AppData\Local\Kingsoft\WPS Office\12.2.0.21546\office6\kwpsmenushellext64.dll -> Нет файла
ContextMenuHandlers4_S-1-5-21-1157759947-370023152-2453387108-1001: [          kwpsshellext] -> {28A80003-18FD-411D-B0A3-3C81F618E22B} => C:\Users\Сергей\AppData\Local\Kingsoft\WPS Office\12.2.0.21546\office6\kwpsmenushellext64.dll -> Нет файла
C:\Users\Сергей\AppData\Local\Programs\FireFox\Мир Кораблей.lnk
C:\Users\Сергей\AppData\Local\Programs\FireFox\Мир Танков.lnk
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

После скрипта

Цитата

Advanced SystemCare

gt-launcher 5.2.1
IObit Uninstaller 14

удалите через Панель управления – Программы и компоненты или принудительно с помощью Geek Uninstaller

 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

 

Удалите старые логи FRST.txt и Addition.txt, соберите новые, дождавшись окончания сканирования (при сканировании Другие области программа не зависает, а продолжает работу!!!)

[Sergant1983]

Fixlog.txt

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы

 

при переходе по ссылке ошибка 

Error 1005

Ray ID: 9514cefdc9fe4e14 • 2025-06-17 19:03:43 UTC

Access denied

[thyrex]

10 минут назад, Sergant1983 сказал:

при переходе по ссылке ошибка

проверил, никаких ошибок

[Sergant1983]

Что это как не ошибка?

[safety]

Подтверждаю, страница доступна из России. Хотя возможно не у всех провайдеров.

[Sandor]

@Sergant1983 залил на облако, выполняйте.