несколько проводников одновременно

[Клинник]

Здравствуйте! С недавнего времени перестали запускаться некоторые программы,в основном связанные
 с обновлением софта,перестали запускаться установочные файлы, не запускается редактор реестра. 
одновременно в диспетчере задач запускаются два и более проводников, которые грузят ЦП до 100%, из-за
чего плохо работают запущенные приложения и очень греется ноутбук. При попытках перезапустить или остановить 
хотя бы один из проводников через диспетчер задач ноутбук перезагружается через синее окно. При этом при открытом 
ДЗ нагрузка на ЦП показывается на минимуме,но как только ДЗ закрывается, сразу нагрузка возрастает. Проверил 
ноутбук с помощью KVRT, Про32, они обнаружили штук 5 троянов и несколько других вредоносных файлов, удалили, пролечили, но  
проблема осталась.Соответственно перепробовал и другие способы (восстановление реестра, установка прав и прочую
ерунду, что нашел в интернете), ничего не помогло. Иногда можно успеть запустить редактор реестра или какую-нибудь 

программу в первые секунды работы ноутбука после перезагрузки, видимо, пока не подключился вирус (думаю,что вирус).

CollectionLog-2026.01.07-04.01.zip

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 DeleteService('Update');
 DeleteService('Network');
 QuarantineFile('C:\ProgramData\logdata..\Index.exe','');
 QuarantineFile('C:\ProgramData\diaglogs..\Index.exe','');
 DeleteFile('C:\ProgramData\diaglogs..\Index.exe','64');
 DeleteFile('C:\ProgramData\logdata..\Index.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O25 - WMI Event:  (no consumer) - MCS - Event="__InstanceModificationEvent WITHIN 200 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", 
O25 - WMI Event:  (no consumer) - SCM - Event="__InstanceModificationEvent WITHIN 180 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", 
O26 - Office Addin: HKLM\..\NativeShim - (exefile) -> (no file)

 

Цитата

Advanced SystemCare

Driver Booster 13
IObit Software Updater
IObit Uninstaller 13

удалите через Панель управления – Программы и компоненты или принудительно с помощью Geek Uninstaller

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Клинник]

Добрый день! Спасибо за внимание и помощь! Выполнил действия  по Вашей инструкции.  Прикрепляю новые логи. В диспетчере задач по-прежнему находятся два проводника.

CollectionLog-2026.01.07-10.48.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).

• Будьте внимательны: при сканировании секции Другие области программа не зависает, а продолжает работать, нужно просто немного подождать.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Клинник]

Добрый вечер. Спасибо, выполнил, прикрепил

Addition.rar

[thyrex]

Вы про вот эти несколько проводников?

Цитата

(explorer.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\Taskmgr.exe
(explorer.exe ->) (OpenVPN Technologies, Inc. -> ) C:\Program Files\OpenVPN\bin\openvpn-gui.exe
(explorer.exe ->) (Sophos Ltd -> Sophos B.V.) C:\Program Files\HitmanPro\HitmanPro.exe
(explorer.exe ->) (YANDEX LLC -> YANDEX LLC) C:\Users\818\AppData\Local\Yandex\YandexBrowser\Application\browser.exe

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3551685047-1023452039-2297907215-1001\...\RunOnce: [Uninstall 25.216.1104.0002] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\818\AppData\Local\Microsoft\OneDrive\25.216.1104.0002" [0 2026-01-07] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
ProxyServer: [S-1-5-21-3551685047-1023452039-2297907215-1001] => 127.0.0.1:10809
S3 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [570368 2023-12-04] (Microsoft Windows -> Microsoft Corporation)
S2 Configuration; C:\Windows\System32\cmd.exe /c start info.exe [X]
S2 Performance; C:\Windows\System32\cmd.exe /c start install.exe [X]
S4 IUFileFilter; \??\C:\Program Files (x86)\IObit\IObit Uninstaller\drivers\win10_amd64\IUFileFilter.sys [X]
S3 IUProcessFilter; \??\C:\Program Files (x86)\IObit\IObit Uninstaller\drivers\win10_amd64\IUProcessFilter.sys [X]
S3 IURegistryFilter; \??\C:\Program Files (x86)\IObit\IObit Uninstaller\drivers\win10_amd64\IURegistryFilter.sys [X]
ShellIconOverlayIdentifiers: [       tdpico] -> {c88d4dbb-d890-40b6-bcc7-bca43c1eb5ee} => C:\Program Files (x86)\IObit\Advanced SystemCare\ASCSafeFolderShlExt.dll -> Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

[Клинник]

Добрый день. 

12 часов назад, thyrex сказал:

Вы про вот эти несколько проводников?

Нет, на тот момент именно в диспетчере задач  было два имени "проводник" одновременно, .  Но при этом комп стал чувствовать себя намного лучше - все программы и файлы, редактор реестра стали запускаться. Нагрузка на ЦП стала  меньше, но продолжались  краткосрочные скачки, иногда до 100%. Через какое-то время (и я несколько раз перезагружал комп) нагрузка снизилась к 2-3% в режиме фоновой работы нескольких приложений,  значительно снизилась температура, вентилятор стал работать тихо. И в диспетчере задач остался только один проводник. Есть ощущение, что "излечение" произошло не сразу, а постепенно. Сейчас все просто замечательно,  давно не было так комфортно работать (это все произошло еще до запуска последнего скрипта в FRST). И есть потребность отблагодарить Вас каким-либо удобным для Вас способом🙏.  

Fixlog.txt