[РЕШЕНО] 2 процесса dwm.exe, один из которых нагружает процессор

[zeiclish]

Несколько дней назад начал замечать, что при загрузке W11 через несколько минут после старта начинат сильно крутиться кулер ЦП. 

Запуск монитора ресурсов, диспетчера задач и т.п. программ сразу снижает нагрузку и температуру ЦП и обороты кулера ЦП.

Сделал мониторинг с msert.exe, увидел, что dwm.exe сильно загружает ЦП, пока не запущены монитор ресурсов, диспетчер задач и т.п.

 

На форуме нашел схожие темы, но не нашел какого-то универсального решения.

 

Во вложеиях логи AutoLogger и FRST, т.к. в каждой теме рекомендация собрать логи этой программой.

 

Прошу помочь избавиться от вредоносного процесса.

 

Спасибо.

CollectionLog-2025.09.25-14.09.zip FRST out.rar

Изменено 25 сентября пользователем zeiclish
Отпарвилось преждевременно

[safety]

Унииверсального решения может не быть.

 

+

дополнительно сделайте образ автозапуска системы в uVS с отслеживанием процессов и задач.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

[zeiclish]

Здравствуйте!

 

Прикладываю.LOCAL-PC2_2025-09-25_14-23-17_v5.0.1v x64.7z

[safety]

По очистке системы:

 

Если антивирусная программа будет мешать запуску, временно отключите защиту.

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES\PROCESS HACKER 2\PROCESSHACKER.EXE
icsuspend
delfake
hide D:\SOFT\CLEAN\AUTOLOGGER\AUTOLOGGER\RSIT\RSITX64.EXE
;------------------------autoscript---------------------------

zoo %SystemDrive%\USERS\FEDOR\APPDATA\ROAMING\MICROSOFT\DISM64\APPCORE\APPS64.EXE
addsgn BA6F9BB21DE14977E1ABAE7664C912052562660B76058FE8CD40019493D96E4C6B942F7F76DE98ACC2FF8458461649FA7D37928FAA2520BC65F4600704093D73 8 DWM 7

chklst
delvir

apply

; Bonjour
exec MsiExec.exe /X{56DDDFB8-7F79-4480-89D5-25E1F52AB28F} /quiet

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\GBTECSERVICE\OLEDDISPLAYSERVICE.EXE
delref %SystemDrive%\USERS\FEDOR\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\139.0.7258.67\RESOURCES\WEB_STORE\WEB STORE
delref %SystemDrive%\USERS\FEDOR\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\139.0.7258.67\RESOURCES\NETWORK_SPEECH_SYNTHESIS\MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\USERS\FEDOR\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\139.0.7258.67\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\USERS\FEDOR\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\139.0.7258.67\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\WEB_STORE\WEB STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\139.0.3405.86\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref H:\AUTORUNMORROWIND.EXE
delref H:\SETUP.EXE
delref J:\OINSTALL.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Добавьте архив CZOO_дата_время.7z из папки, откуда был запущен uVS,

Если файл большой, загрузите его на облачный диск и дайте ссылку на скачивание здесь.

+

добавьте новые логи FRST для контроля

[zeiclish]

Ссылка на ZOO_2025-09-25_14-35-50.7z: https://disk.yandex.ru/d/jvWwj7Jvp9A7vA

 

Логи во вложениях.

 

Вроде второго dwm больше нет в процессах.

Глупый вопрос: что было сделано скриптом? И возможно ли самостоятельное удаление таких майнеров?

2025-09-25_14-36-44_log.txt FRST out2.rar

[safety]

13 минут назад, zeiclish сказал:

что было сделано скриптом? И возможно ли самостоятельное удаление таких майнеров?

Заморозка внедренных потоков в системные процессы, выгрузка всех модифицированных процессов (в вашем случае, как раз один из процессов dwm был мождифицированным), чтобы не влияли на очистку системы + удаления виновника создания модифицированного процесса,

%SystemDrive%\USERS\FEDOR\APPDATA\ROAMING\MICROSOFT\DISM64\APPCORE\APPS64.EXE

который запускался при загрузке системы через этот ключ:

HKEY_USERS\S-1-5-21-3508228404-3671738435-1962663307-1002\Environment\UserInitMprLogonScript

-----------

Чтобы самостоятельно решать такие прблемы надо иметь некоторые навыки работы с программами, которые мы используем:

avz, uVS, FRST.

Или анализировать список процессов через Process Hacker, Process Explorer, список автозапуска через Autoruns

 

Цитата

Вроде второго dwm больше нет в процессах.

Да, файл удален из автозапуска.

Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 1 из 1

 

Логи FRST сейчас проверю.

да, в логах FRST его уже нет.

 

Если других проблем и вопросов не осталось:

 

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Изменено 25 сентября пользователем safety

[zeiclish]

13 минут назад, safety сказал:

Или анализировать список процессов через Process Hacker, Process Explorer, список автозапуска через Autoruns

Process Hacker скачал/смотрел, но дальше понимания, что второй процесс не из сторонней папки - не ушел.

В стандартной автозагрузке диспетчера задач ничего не увидел подозрительного. В Autoruns оно было бы?

 

А есть понимание, откуда и когда я мог это подцепить?

 

И почему стандартный чекап (ни полный, ни оффлайн) не находит эту штуку \DISM64\APPCORE\APPS64.EXE? Судя по другим темам, оно по этому пути не только у меня.

 

SecurityCheck лог прикладываю.

 

SecurityCheck.txt

Изменено 25 сентября пользователем zeiclish

[safety]

Трудно сказать откуда.

Большая часть майнеров здесь ставится или с левыми установочными пакетами, или средствами обхода блокировок.

 

-----------

По возможности, обновите данное ПО:

 

Process Hacker 2.39 (r124) v.2.39.0.124 Warning! This software is no longer supported. Please uninstall it, download and install System Informer.

NVIDIA App 11.0.4.526 v.11.0.4.526 Warning! Download Update
Среда выполнения Microsoft Edge WebView2 Runtime v.140.0.3485.81
Notepad++ (32-bit x86) v.8.8.3 Warning! Download Update

7-Zip 21.07 (x64) v.21.07 Warning! Download Update
Uninstall old version and install new one.
Total Commander 64-bit (Remove or Repair) v.8.51a Warning! Download Update
WinRAR 4.20 (64-разрядная) v.4.20.0 Warning! Download Update

foobar2000 v2.24.6 (x64) v.2.24.6 Warning! Download Update
Spotify v.1.2.10.760.g52970952 Warning! Download Update
K-Lite Mega Codec Pack 10.3.5 v.10.3.5 Warning! Download Update
------------------------------- [ Browser ] -------------------------------
Google Chrome v.140.0.7339.186 Warning! Download Update

 

Изменено 25 сентября пользователем safety

[safety]

Еще один момент упустил. Надо будет отключить отслеживание процессов и задач. т.е. опять так же запустить uVS, только вместо твика 39, выполните твик 40. После этого uVS можно звкрыть, и дополнительное логирование событий прекратится.

------------------------

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Изменено 25 сентября пользователем safety