Перейти к содержанию
Правила раздела

Странные процессы .tmp в диспетчере задач

Славик123

От Славик123
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Славик123 Новичок

Славик123

Опубликовано
Опубликовано

Доброго времени суток, столкнулся с такой проблемой:

Заметил, что когда я долго не совершаю действий с компьютером, а он включен (смотрю видео на YouTube, например), он начинает шуметь чуть сильнее, т.е. сис-ма охлаждения начинает работать активнее, значит на ПК действует какая-то нагрузка. Я зашёл в диспетчер задач, и обнаружил там процесс g1033.tmp, который нагружал процессор на 70%, но почти сразу после открытия диспетчера, он мгновенно перестал нагружать ПК, но после закрытия диспетчера, он заново начинает свою деятельность и нагружает ПК. Windows 8.1. Надеюсь на вашу помощь.

Ссылка на комментарий
Поделиться на другие сайты
Славик123 Новичок

Славик123

Опубликовано
  • Автор
Опубликовано (изменено)

Как прикрепить файл с логами на этом форуме? Прошу прощения за лишний вопрос.

Изменено пользователем Славик123
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

DriverPack Notifier

Unity Web Player

Чистилка

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('CansuckSU');
 StopService('ColdmaySU');
 QuarantineFile('C:\Program Files (x86)\Wufospromigh Core\local64spl.dll', '');
 QuarantineFile('C:\Users\2C82~1\AppData\Local\Temp\1\ttff.exe', '');
 QuarantineFile('C:\Users\Вячеслав\AppData\Local\SNARE\Snare.dll', '');
 QuarantineFile('C:\Windows\svchost.exe', '');
 QuarantineFile('C:\Windows\System32\ihctrl32.dll', '');
 QuarantineFile('C:\Windows\TEMP\nsiA054.tmp\ttff.exe', '');
 QuarantineFileF('c:\users\вячеслав\appdata\local\snare', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Program Files (x86)\Wufospromigh Core\local64spl.dll', '32');
 DeleteFile('C:\Users\2C82~1\AppData\Local\Temp\1\ttff.exe', '32');
 DeleteFile('C:\Users\Вячеслав\AppData\Local\SNARE\Snare.dll', '32');
 DeleteFile('C:\Windows\svchost.exe', '32');
 DeleteFile('C:\Windows\System32\ihctrl32.dll', '32');
 DeleteFile('C:\Windows\TEMP\nsiA054.tmp\ttff.exe', '32');
 DeleteService('CansuckSU');
 DeleteService('ColdmaySU');
 DeleteFileMask('c:\users\вячеслав\appdata\local\snare', '*', true);
 DeleteDirectory('c:\users\вячеслав\appdata\local\snare');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Policies\System', 'Shell');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', 'EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Ссылка на комментарий
Поделиться на другие сайты
Славик123 Новичок

Славик123

Опубликовано
  • Автор
Опубликовано

 

 

В антивирусных базах информация по присланным вами файлам отсутствует:

quarantine.zip

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано (изменено)

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('CansuckSU');
 StopService('ColdmaySU');
 StopService('ed2kidle');
 StopService('gupdatem');
 StopService('iSafeKrnlMon');
 QuarantineFile('C:\Program Files (x86)\Wufospromigh Core\local64spl.dll', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\2C82~1\AppData\Local\Temp\1\ttff.exe', '');
 QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Вячеслав\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Вячеслав\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Вячеслав\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\c1d1c5711b1e8409\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Вячеслав\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\fa5993066b43d4e4\Google Chrome.lnk', '');
 QuarantineFile('C:\Windows\svchost.exe', '');
 QuarantineFile('C:\Windows\System32\ihctrl32.dll', '');
 QuarantineFile('C:\Windows\TEMP\nsiA054.tmp\ttff.exe', '');
 DeleteFile('C:\Program Files (x86)\Wufospromigh Core\local64spl.dll', '32');
 DeleteFile('C:\Users\2C82~1\AppData\Local\Temp\1\ttff.exe', '32');
 DeleteFile('C:\Windows\svchost.exe', '32');
 DeleteFile('C:\Windows\System32\ihctrl32.dll', '32');
 DeleteFile('C:\Windows\TEMP\nsiA054.tmp\ttff.exe', '32');
 DeleteService('CansuckSU');
 DeleteService('ColdmaySU');
 DeleteService('ed2kidle');
 DeleteService('gupdatem');
 DeleteService('iSafeKrnlMon');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Policies\System', 'Shell');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'background_fault');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Codec Pack Update Checker');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'World of Tanks');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Codec Settings UAC Manager');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', 'EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll');
 ExecuteRepair(3);
 ExecuteRepair(4);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:


begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - HKCU\..\Run: [World of Tanks] D:\Parasha\WargamingGameUpdater.exe  (file missing)
O4 - HKCU\..\Run: [background_fault] C:\Users\Вячеслав\AppData\Local\background_fault\aswRD.exe "C:\Users\Вячеслав\AppData\Local\background_fault\bf.dll",background_fault_collector (file missing)
O4 - HKCU\..\StartupApproved\Run: [Browser Manager] (2017/05/05) C:\Users\Вячеслав\AppData\Local\Yandex\BrowserManager\MBLauncher.exe  (file missing)
O4 - HKCU\..\StartupApproved\Run: [Codec Pack Update Checker] (2017/03/11) C:\Windows\system32\Codecs\UpdateChecker.exe  (file missing)
O4 - HKLM\..\StartupApproved\Run32: [Codec Settings UAC Manager] (2017/03/26) C:\Windows\system32\Codecs\CodecUACManager.exe  (file missing)
O8 - HKCU\..\Extra context menu item: &Отправить в OneNote - G:\Microsoft Office 2013\Office15\ONBttnIE.dll (file missing)
O21 - ShellExecuteHooks: (no name) - {7AE915BA-F77B-11E6-9977-64006A5CFC23} - C:\Program Files (x86)\Chalering\Atoosekheght.dll (file missing) (disabled)
O22 - Task: DriverPack Notifier - C:\Program Files (x86)\DriverPack Notifier\DriverPackNotifier.exe (file missing)
O22 - Task: GoogleUpdateTaskMachineCore - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c (file missing)
O22 - Task: GoogleUpdateTaskMachineUA - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (file missing)
O22 - Task: \Microsoft\Windows\Media Center\VCore - C:\ProgramData\vCore\VCore.exe /check (file missing)

- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.


+ смените браузер по умолчанию.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Sapfira
      Kaspersky 21.18 повлиял на диспетчер задач.
      От Sapfira
      Тема для тех, кто уже обновился до версии 21.18
      Пишу в беседке, а не в помощи по продуктам, так как не считаю это за проблему, просто интересное явление.
      В общем, вот:
       
    • Mrak
      Как с помощью Siri создать задачи в Google tasks
      От Mrak
      Всем привет!
       
      Подскажите пожалуйста, как с помощью Siri создать задачу в Google tasks?
       
      Мотивировка:
      Голосовой помощник идеально справляется с добавлением задач (напоминаний) во встроенные напоминания. Говоришь: привет сири, напомни мне завтра сходить за хлебом в 14 часов. Будет создано напоминание. Можно сказать "добавь в семейные напоминания на завтра сходить за хлебом". И он добавит в синхронизируемые общие напоминания семьи, чтобы кто-то сходил. В мире обеспеченных людей всё это должно работать идеально, ведь напоминания синхронизируются на всех устройствах эпл. Но на работе комп с виндой. Нет на нём эпловских напоминаний. Зато есть гугловый календарь и задачи. Они работают и на айфоне. И календарь идеально синхронизируется с айфоном (просто пользуешься учёткой гугла во встроенном календаре). Однако, с задачами так не выйдет. Ручками добавляются. Через гугл календарь добавляются. А голосом по любому быстрее. Прям намного. Раз этак в 10. Поэтому хочется научиться голосом на айфоне создавать задачи в гугл календаре. Если это технически возможно, конечно. Прошу помощи. 
       
    • ГГеоргий
      KSC не запускает задачу корректно
      От ГГеоргий
      Добрый день
      Речь и дет о связке KSC + KICS for Win
      уже не первый раз фиксируем следующую проблему -
      некоторые функции не настраиваются с KSC, однако настраиваются в локальной консоли управления KICS
      Впервые столкнулись с этой проблемой когда настраивали защиту usb устройств - при настройке с KSC, задача компонента не отрабатывает как нужно. Она запускается, и затем сразу завершается со статусом "успешно". Предположительно она должна находится в статусе "запущено" для контроля usb.
      Затем мы настраиваем всё то же самое с консоли локальной КИКСа - и получаем уже нужный нам результат. Задача переходит в состояние "выполняется" и блочит\пропускает флешки.
      Настройки абсолютно идентичные. KSC видит то, что мы на локальной делаем. Локальная тоже видит настройки которые мы на KSC делаем. То есть они буквально идентичны.
      Теперь столкнулись с такой же проблемой при задаче "контроль целостности на основе эталона"
      задача с KSC каждый раз запускается по новой (заново снимая перечень файлов)
      Вто время как задача с локальной консоли уже отрабатыывает хорошо - первый запуск снимает эталон, а второй уже мониторит изменения
      Как это должно работать?
      события эти были в разные дни и на разных уСкрины.zipстройствах, но проблема общая
      KSC всегда стоял на линукс а KICS на вин 10
    • amt1111
      Три проводника в диспетчере задач
      От amt1111
      В диспетчере  задач присутствуют три проводника и они не снимаются при завершении задачи а так же есть и другие приложения которые дублируются Windows 10 Можно ли это исправить?
    • KL FC Bot
      ИБ-процессы, эффективно автоматизируемые с помощью ИИ
      От KL FC Bot
      Хотя автоматизация и машинное обучения используются в ИБ почти 20 лет, эксперименты в этой области не останавливаются ни на минуту. Защитникам нужно бороться с более сложными киберугрозами и большим числом атак без существенного роста бюджета и численности ИБ-отделов. ИИ помогает значительно разгрузить команду аналитиков и ускорить многие фазы работы с инцидентом — от обнаружения до реагирования. Но ряд очевидных, казалось бы, сценариев применения машинного обучения оказываются недостаточно эффективными.
      Автоматическое обнаружение киберугроз с помощью ИИ
      Предельно упрощая эту большую тему, рассмотрим два основных и давно протестированных способа применения машинного обучения:
      Поиск атак. Обучив ИИ на примерах фишинговых писем, вредоносных файлов и опасного поведения приложений, можно добиться приемлемого уровня обнаружения похожих угроз. Основной подводный камень — эта сфера слишком динамична, злоумышленники постоянно придумывают новые способы маскировки, поэтому модель нужно очень часто обучать заново, чтобы поддерживать ее эффективность. При этом нужен размеченный набор данных, то есть большой набор свежих примеров доказанного вредоносного поведения. Обученный таким образом алгоритм не эффективен против принципиально новых атак, которые он «не видел» раньше. Кроме того, есть определенные сложности при обнаружении атак, целиком опирающихся на легитимные ИТ-инструменты (LOTL). Несмотря на ограничения, этот способ применяется большинством производителей ИБ-решений, например, он весьма эффективен для анализа e-mail, поиска фишинга, обнаружения определенных классов вредоносного программного обеспечения. Однако ни полной автоматизации, ни 100%-ной надежности он не обещает. Поиск аномалий. Обучив ИИ на «нормальной» деятельности серверов и рабочих станций, можно выявлять отклонения от этой нормы, когда, например, бухгалтер внезапно начинает выполнять административные действия с почтовым сервером. Подводные камни — этот способ требует собирать и хранить очень много телеметрии, переобучать ИИ на регулярной основе, чтобы он поспевал за изменениями в ИТ-инфраструктуре. Но все равно ложных срабатываний будет немало, да и обнаружение атак не гарантировано. Поиск аномалий должен быть адаптирован к конкретной организации, поэтому применение такого инструмента требует от сотрудников высокой квалификации как в сфере кибербезопасности, так и в анализе данных и машинном обучении. И подобные «золотые» кадры должны сопровождать систему на ежедневной основе. Подводя промежуточный философский итог, можно сказать, что ИИ прекрасно подходит для решения рутинных задач, в которых предметная область и характеристики объектов редко и медленно меняются: написание связных текстов, распознавание пород собак и тому подобное. Когда за изучаемыми данными стоит активно сопротивляющийся этому изучению человеческий ум, статично настроенный ИИ постепенно становится менее эффективен. Аналитики дообучают и настраивают ИИ вместо того, чтобы писать правила детектирования киберугроз, — фронт работ меняется, но, вопреки распространенному заблуждению, экономии человеческих сил не происходит. При этом стремление повысить уровень ИИ-детектирования угроз (True Positive, TP) неизбежно приводит к увеличению и числа ложноположительных срабатываний (False Positive, FP), а это напрямую увеличивает нагрузку на людей. Если же попытаться свести FP почти к нулю, то понижается и TP, то есть растет риск пропустить кибератаку.
      В результате ИИ занимает свое место в ансамбле инструментов детектирования, но не способен стать «серебряной пулей», то есть окончательно решить проблемы детектирования в ИБ или работать целиком автономно.
      ИИ-напарник аналитика SOC
      ИИ нельзя целиком доверить поиск киберугроз, но он может снизить нагрузку на человека, самостоятельно разбирая простые предупреждения SIEM и подсказывая аналитикам в остальных случаях:
      Фильтрация ложных срабатываний. Обучившись на предупреждениях из SIEM-системы и вердиктах команды аналитиков, ИИ способен достаточно надежно фильтровать ложноположительные срабатывания (FP) — в практике сервиса Kaspersky MDR это снижает нагрузку на команду SOC примерно на 25%. Подробности реализации «автоаналитика» мы опишем в отдельном посте. Приоритизация предупреждений. Тот же механизм машинного обучения может не только фильтровать ложные срабатывания, но и оценивать вероятность того, что обнаружен признак серьезной вредоносной активности. Такие серьезные предупреждения передаются для приоритетного анализа экспертам. Альтернативно «вероятность угрозы» может быть просто визуальным индикатором, помогающим аналитику обрабатывать наиболее важные оповещения с наибольшим приоритетом. Поиск аномалий. ИИ может быстро предупреждать об аномалиях в защищаемой инфраструктуре, отслеживая такие явления, как всплеск количества предупреждений, резкое увеличение или уменьшение потока телеметрии с конкретных сенсоров или изменение ее структуры. Поиск подозрительного поведения. Хотя сложности поиска произвольных аномалий в сети значительны, некоторые частные сценарии хорошо автоматизируются и машинное обучение работает в них эффективней статичных правил. Примеры: поиск несанкционированного использования учетных записей из необычных подсетей, детектирование аномального обращения к файловым серверам и их сканирования, поиск атак с использованием чужих билетов TGS (атаки Pass-the-Ticket). Большие языковые модели в ИБ
      Наиболее модная тема ИИ-индустрии, большие языковые модели (LLM), тоже многократно опробована ИБ-компаниями. Оставляя полностью за скобками такие темы, как написание фишинговых писем и ВПО при помощи GPT, отметим многочисленные интересные эксперименты по привлечению LLM к рутинным работам:
      генерация расширенных описаний киберугроз; подготовка черновиков отчетов по расследованию инцидентов; нечеткий поиск в архивных данных и логах через чат; генерация тестов, тест-кейсов, кода для фаззинга; первичный анализ декомпилированного исходного кода при реверс-инжиниринге; снятие обфускации и объяснение длинных командных строк (такая технология уже используется нашим сервисом MDR); генерация подсказок и рекомендаций при написании детектирующих правил и скриптов. Большинство перечисленных по ссылке работ и статей являются нишевыми внедрениями или научными экспериментами, поэтому они не дают измеримой оценки эффективности. Более того, имеющиеся исследования эффективности квалифицированных работников, которым в помощь выданы LLM, показывают противоречивые результаты. Поэтому внедрение подобных решений должно проводиться медленно и поэтапно, с предварительной оценкой потенциала экономии, детальной оценкой вложенного времени и качества результата.
      View the full article
×
×
  • Создать...