Перейти к содержанию

Нагружается процессор на 100 процентов и лагает в играг attrib.exe


Рекомендуемые сообщения

attrib.exe отключается сразу как включу диспетчер и нагрузка прекращается, dr web cureit удалил btc.mine цифры не помню , но все равно осталась attrib.exe

CollectionLog-2017.11.10-18.14.zip

Ссылка на сообщение
Поделиться на другие сайты

О пропущенном шаге я знаю. Логов в архиве все еще не хватает. Для того, чтоб понять почему:

Выполните скрипт в AVZ (Файл - Выполнить скрипт) (утилита находится в папке ...\Autologger\AVZ):

 

var PathAutoLogger, CMDLine : string;

 begin
 clearlog;
 PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
 AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
 SaveLog(PathAutoLogger+'report3.log');
 if FolderIsEmpty(PathAutoLogger+'CrashDumps')
    then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
    else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
 AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
 end.
архив Report.7z из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.
Ссылка на сообщение
Поделиться на другие сайты

О пропущенном шаге я знаю. Логов в архиве все еще не хватает. Для того, чтоб понять почему:

Выполните скрипт в AVZ (Файл - Выполнить скрипт) (утилита находится в папке ...\Autologger\AVZ):

 

var PathAutoLogger, CMDLine : string;

 begin
 clearlog;
 PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
 AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
 SaveLog(PathAutoLogger+'report3.log');
 if FolderIsEmpty(PathAutoLogger+'CrashDumps')
    then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
    else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
 AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
 end.
архив Report.7z из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.

 

Report.7z

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, не цитируйте полностью сообщение, используйте форму "Ответить" внизу темы.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\Users\John Sannikov\AppData\Roaming\Microsoft\Windows\Helper.exe');
 QuarantineFile('C:\PROGRA~3\2cf9f308\17bd0f57.dll', '');
 QuarantineFile('C:\ProgramData\system32\SystemHost.exe', '');
 QuarantineFile('C:\Users\John Sannikov\AppData\Roaming\Microsoft\Windows\Helper.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{60B5DF8A-0DD8-1954-D1E7-F2F97328676A}" /F', 0, 15000, true);
 DeleteFile('C:\PROGRA~3\2cf9f308\17bd0f57.dll', '32');
 DeleteFile('C:\ProgramData\system32\SystemHost.exe', '32');
 DeleteFile('C:\Users\John Sannikov\AppData\Roaming\Microsoft\Windows\Helper.exe', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, не цитируйте полностью сообщение, используйте форму "Ответить" внизу темы.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\Users\John Sannikov\AppData\Roaming\Microsoft\Windows\Helper.exe');
 QuarantineFile('C:\PROGRA~3\2cf9f308\17bd0f57.dll', '');
 QuarantineFile('C:\ProgramData\system32\SystemHost.exe', '');
 QuarantineFile('C:\Users\John Sannikov\AppData\Roaming\Microsoft\Windows\Helper.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{60B5DF8A-0DD8-1954-D1E7-F2F97328676A}" /F', 0, 15000, true);
 DeleteFile('C:\PROGRA~3\2cf9f308\17bd0f57.dll', '32');
 DeleteFile('C:\ProgramData\system32\SystemHost.exe', '32');
 DeleteFile('C:\Users\John Sannikov\AppData\Roaming\Microsoft\Windows\Helper.exe', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:

Helper.exe - not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

еще раз сделал

CollectionLog-2017.11.10-19.05.zip

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

вот


откатил драйвер видеокарты , теперь работает все нормально


и процессор больше не нагружается 

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction <==== ATTENTION
    2017-09-18 03:33 - 2017-09-18 03:33 - 007327744 _____ () C:\Users\John Sannikov\AppData\Local\agent.dat
    2017-09-18 03:33 - 2017-09-18 03:33 - 000070800 _____ () C:\Users\John Sannikov\AppData\Local\Config.xml
    2017-09-18 03:31 - 2017-09-18 03:31 - 000140800 _____ () C:\Users\John Sannikov\AppData\Local\installer.dat
    2017-09-18 03:33 - 2017-09-18 03:33 - 000005568 _____ () C:\Users\John Sannikov\AppData\Local\md.xml
    2017-09-18 03:33 - 2017-09-18 03:33 - 000126464 _____ () C:\Users\John Sannikov\AppData\Local\noah.dat
    2017-09-18 03:33 - 2017-09-18 03:33 - 000278508 _____ () C:\Users\John Sannikov\AppData\Local\Santrax.bin
    2017-09-18 03:33 - 2017-09-18 03:33 - 001899389 _____ () C:\Users\John Sannikov\AppData\Local\Zummaplus.tst
    Task: {B007F318-6FF3-45EC-86DC-4EB56CAEE31B} - \{7E0C0A47-7809-047A-7D11-0C787804110D} -> No File <==== ATTENTION
    Task: {CF22CAF0-07D4-4657-9806-D7CFB2FCA056} - \{74F2754B-C359-C2E0-3C09-9462A0AED1D8} -> No File <==== ATTENTION
    Task: {FED12161-2661-4060-A908-D01DEBFE3D16} - System32\Tasks\System\SystemCheck => C:\Users\John Sannikov\AppData\Roaming\Microsoft\Windows\Helper.exe
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, не пропадайте. Появятся разработчики Autologger и уточнят некоторые моменты.

 

В завершение:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты
SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 10.11.2017 20:05:23

Path starting: C:\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: John Sannikov

VersionXML: 4.74is-05.11.2017

___________________________________________________________________________

 

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)

Дата установки ОС: 06.09.2017 17:49:07

Статус лицензии: Windows® 7, Ultimate edition Постоянная активация прошла успешно.

Режим загрузки: Normal

Браузер по умолчанию: C:\Users\John Sannikov\AppData\Local\Yandex\YandexBrowser\Application\browser.exe

Системный диск: C: ФС: [NTFS] Емкость: [465.7 Гб] Занято: [336.2 Гб] Свободно: [129.5 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.18792 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен (Уровень 1)

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Автоматическое обновление отключено

Дата установки обновлений: 2017-09-15 09:39:54

Центр обновления Windows (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

------------------------------- [ HotFix ] --------------------------------

HotFix KB3156013 Внимание! Скачать обновления

HotFix KB3153171 Внимание! Скачать обновления

HotFix KB3178034 Внимание! Скачать обновления

HotFix KB3185911 Внимание! Скачать обновления

HotFix KB3184122 Внимание! Скачать обновления

HotFix KB3192391 Внимание! Скачать обновления

HotFix KB3197867 Внимание! Скачать обновления

HotFix KB3205394 Внимание! Скачать обновления

HotFix KB4012212 Внимание! Скачать обновления

HotFix KB4019263 Внимание! Скачать обновления

HotFix KB4022722 Внимание! Скачать обновления

HotFix KB4015546 Внимание! Скачать обновления

HotFix KB4025337 Внимание! Скачать обновления

HotFix KB4034679 Внимание! Скачать обновления

HotFix KB4041678 Внимание! Скачать обновления

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Windows Defender (выключен и устарел)

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.50 (64-разрядная) v.5.50.0

TeamViewer 12 v.12.0.83369

TeamViewer 12 (TeamViewer) - Служба работает

--------------------------------- [ P2P ] ---------------------------------

BitTorrent v.7.10.0.43917 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 27 PPAPI v.27.0.0.183

------------------------------- [ Browser ] -------------------------------

Yandex v.17.9.1.768 Внимание! Скачать обновления

^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Google Chrome v.61.0.3163.100 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

--------------------------- [ RunningProcess ] ----------------------------

C:\Users\John Sannikov\AppData\Local\Yandex\YandexBrowser\Application\browser.exe v.17.9.1.768

browser.exe

------------------ [ AntivirusFirewallProcessServices ] -------------------

Защитник Windows (WinDefend) - Служба работает

----------------------------- [ End of Log ] ------------------------------
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • SKINKS
      От SKINKS
      Пробовал удалять через DrWeb.Cureit ничего не помогло, вирус снова появляется через некоторое время
    • KL FC Bot
      От KL FC Bot
      Тавис Орманди, исследователь безопасности из Google, опубликовал детали аппаратной уязвимости в процессорах AMD. Уязвимость актуальна для процессоров серии Zen 2, впервые они были представлены в 2019 году. Хотя это и уже устаревшая архитектура, процессоры на ее основе выпускались вплоть до начала 2021 года. В их число входят как модели для персональных компьютеров (например популярный Ryzen 5 3600), так и для ноутбуков, а самое главное — для серверов (процессоры AMD EPYC «Rome» ). Полный список серий процессоров подверженных Zenbleed есть в статье издания Ars Technica.
      Уязвимость образовалась из комбинации достаточно безобидных особенностей работы процессоров AMD. Оказывается, определенный способ взаимодействия с процессорными регистрами и вполне нормальная система спекулятивного выполнения инструкций в комбинации могут приводить к утечке секретных данных. Теоретически кражу информации с использованием этой уязвимости (получившей универсальный идентификатор CVE-2023-20593) достаточно легко организовать, и происходить она будет с довольно высокой скоростью — до 30 килобайт в секунду для каждого из процессорных ядер. Случаев реальной эксплуатации проблемы пока не зафиксировано, но и патчи (обновления микрокода процессоров) пока доступны не для всех затронутых процессоров. AMD обещает полностью решить проблему до конца 2023 года.
       
      View the full article
    • Mandarin4ek
      От Mandarin4ek
      Здравствуйте, сильно грузит приложение: attrib.exe. Прошёл все этапы по этой инструкции(ссылка https://forum.kasperskyclub.ru/topic/64784-resheno-utilita-atributov-attribexe/):

      Прикрепляю текущий лог моей Windows 10.
      Нужна ваша помощь, заранее спасибо.
      WIN-GN88BLCCRBV_2023-01-09_12-20-43_v4.12.3.7z
    • Iskander Fayziev
      От Iskander Fayziev
      Здравствуйте, процесс Attrib.exe грузит CPU на 70%. При запуске диспетчера задач процесс завершается. Ни kaspersky, ни dr.web вирус не видят. 

      CollectionLog-2022.10.31-17.59.zip
    • SuspendS
      От SuspendS
      Здравствуйте, уважаемые читатели данного поста!
      У нас появился интерес создать единую базу крипто-адресов шифровальщиков для их дальнейшего исследования.
      У нас уже есть большая база адресов, которую мы собирали не один год, но бывают и уникальные случаи, когда шифровальщики направляют адрес вам на почту.
      Если вы когда-нибудь выплачивали или планируете выплатить за декриптор создателям вымогателя - напишите ниже известный вам адрес криптокошелька.
      Если вы знаете какие-либо адреса, которые были уже раньше в сети - нам это тоже поможет, мы могли что-то пропустить.
      Если вашу сеть заразили прямо сейчас и вы обратились за помощью, то я надеюсь, что вам смогут помочь.
      Всем спасибо!
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в борьбе с шифровальщиками-вымогателями  
×
×
  • Создать...