Подозрение на вирусную активность. Что-то грузит проц на 100% пока не запустишь диспетчер задач

[bojenina]

Что-то грузит проц на 100% пока не запустишь диспетчер задач, после запуска диспетчера задач загрузка резко падает. Так же на экране входа в систему появились дополнительные пользователи

некоторое время назад был заражен вирусом BTCminer
проводилось сканирование и чистка drweb cureIt

 

CollectionLog-2017.07.31-14.10.zip

[Sandor]

Здравствуйте!

 

проводилось сканирование и чистка drweb cureIt

Судя по логам, не только им

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteRepair(13);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[bojenina]

отчеты

Addition.txt

FRST.txt

Shortcut.txt

Изменено 31 июля, 2017 пользователем bojenina

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{a57040b4-9a59-4c6e-b736-632f3e3408b2} <==== ATTENTION (Restriction - IP)
  StandardProfile\AuthorizedApplications: [C:\Program Files\Spybot - Search & Destroy 2\SDTray.exe] => Enabled:Spybot - Search & Destroy tray access
  StandardProfile\AuthorizedApplications: [C:\Program Files\Spybot - Search & Destroy 2\SDFSSvc.exe] => Enabled:Spybot-S&D 2 Scanner Service
  StandardProfile\AuthorizedApplications: [C:\Program Files\Spybot - Search & Destroy 2\SDUpdate.exe] => Enabled:Spybot-S&D 2 Updater
  StandardProfile\AuthorizedApplications: [C:\Program Files\Spybot - Search & Destroy 2\SDUpdSvc.exe] => Enabled:Spybot-S&D 2 Background update service
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[bojenina]

отчет

Fixlog.txt

[Sandor]

Панель управления - Учетные записи пользователей:

отключите

ASP.USER

geust

Гость

[bojenina]

Учетные записи отключила. А проблема с загрузкой процессора (пока не запустишь Диспетчер задач) осталась

[Sandor]

Скачайте Malwarebytes' Anti-Malware. Установите.

На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".

На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.

Самостоятельно ничего не удаляйте!!!

Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".

Отчёт прикрепите к сообщению.

Подробнее читайте в руководстве.

[bojenina]

результаты

scan.txt

[Sandor]

Повторите сканирование в MBAM если уже его закрыли, удалите все найденное - нажмите "Поместить выделенные объекты в карантин" ("Quarantine Selected").

 

Подробнее читайте в руководстве.

 

 

 

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

[bojenina]

результаты

 проблема с загрузкой процессора (пока не запустишь Диспетчер задач) по-прежнему присутствует. Что подскажете? 

new scan.txt

[Sandor]

Посмотрим еще такой лог:

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

• Подробнее читайте в руководстве Как подготовить лог UVS.

[bojenina]

лог UVS

USER-PC_2017-08-01_12-27-48.7z

[Sandor]

Загрузите систему в безопасном режиме и проверьте наблюдается ли подобное.

[bojenina]

да, так же что-то грузит проц на 100% пока не запущен диспетчер задач