Перейти к содержанию
Правила раздела

Странные процессы .tmp в диспетчере задач

Славик123

От Славик123
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Славик123 Новичок

Славик123

Опубликовано
Опубликовано

Доброго времени суток, столкнулся с такой проблемой:

Заметил, что когда я долго не совершаю действий с компьютером, а он включен (смотрю видео на YouTube, например), он начинает шуметь чуть сильнее, т.е. сис-ма охлаждения начинает работать активнее, значит на ПК действует какая-то нагрузка. Я зашёл в диспетчер задач, и обнаружил там процесс g1033.tmp, который нагружал процессор на 70%, но почти сразу после открытия диспетчера, он мгновенно перестал нагружать ПК, но после закрытия диспетчера, он заново начинает свою деятельность и нагружает ПК. Windows 8.1. Надеюсь на вашу помощь.

Ссылка на комментарий
Поделиться на другие сайты
Славик123 Новичок

Славик123

Опубликовано
  • Автор
Опубликовано (изменено)

Как прикрепить файл с логами на этом форуме? Прошу прощения за лишний вопрос.

Изменено пользователем Славик123
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

DriverPack Notifier

Unity Web Player

Чистилка

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('CansuckSU');
 StopService('ColdmaySU');
 QuarantineFile('C:\Program Files (x86)\Wufospromigh Core\local64spl.dll', '');
 QuarantineFile('C:\Users\2C82~1\AppData\Local\Temp\1\ttff.exe', '');
 QuarantineFile('C:\Users\Вячеслав\AppData\Local\SNARE\Snare.dll', '');
 QuarantineFile('C:\Windows\svchost.exe', '');
 QuarantineFile('C:\Windows\System32\ihctrl32.dll', '');
 QuarantineFile('C:\Windows\TEMP\nsiA054.tmp\ttff.exe', '');
 QuarantineFileF('c:\users\вячеслав\appdata\local\snare', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Program Files (x86)\Wufospromigh Core\local64spl.dll', '32');
 DeleteFile('C:\Users\2C82~1\AppData\Local\Temp\1\ttff.exe', '32');
 DeleteFile('C:\Users\Вячеслав\AppData\Local\SNARE\Snare.dll', '32');
 DeleteFile('C:\Windows\svchost.exe', '32');
 DeleteFile('C:\Windows\System32\ihctrl32.dll', '32');
 DeleteFile('C:\Windows\TEMP\nsiA054.tmp\ttff.exe', '32');
 DeleteService('CansuckSU');
 DeleteService('ColdmaySU');
 DeleteFileMask('c:\users\вячеслав\appdata\local\snare', '*', true);
 DeleteDirectory('c:\users\вячеслав\appdata\local\snare');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Policies\System', 'Shell');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', 'EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Ссылка на комментарий
Поделиться на другие сайты
Славик123 Новичок

Славик123

Опубликовано
  • Автор
Опубликовано

 

 

В антивирусных базах информация по присланным вами файлам отсутствует:

quarantine.zip

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано (изменено)

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('CansuckSU');
 StopService('ColdmaySU');
 StopService('ed2kidle');
 StopService('gupdatem');
 StopService('iSafeKrnlMon');
 QuarantineFile('C:\Program Files (x86)\Wufospromigh Core\local64spl.dll', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\2C82~1\AppData\Local\Temp\1\ttff.exe', '');
 QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Вячеслав\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Вячеслав\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Вячеслав\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\c1d1c5711b1e8409\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Вячеслав\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\fa5993066b43d4e4\Google Chrome.lnk', '');
 QuarantineFile('C:\Windows\svchost.exe', '');
 QuarantineFile('C:\Windows\System32\ihctrl32.dll', '');
 QuarantineFile('C:\Windows\TEMP\nsiA054.tmp\ttff.exe', '');
 DeleteFile('C:\Program Files (x86)\Wufospromigh Core\local64spl.dll', '32');
 DeleteFile('C:\Users\2C82~1\AppData\Local\Temp\1\ttff.exe', '32');
 DeleteFile('C:\Windows\svchost.exe', '32');
 DeleteFile('C:\Windows\System32\ihctrl32.dll', '32');
 DeleteFile('C:\Windows\TEMP\nsiA054.tmp\ttff.exe', '32');
 DeleteService('CansuckSU');
 DeleteService('ColdmaySU');
 DeleteService('ed2kidle');
 DeleteService('gupdatem');
 DeleteService('iSafeKrnlMon');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Policies\System', 'Shell');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'background_fault');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Codec Pack Update Checker');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'World of Tanks');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Codec Settings UAC Manager');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', 'EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll');
 ExecuteRepair(3);
 ExecuteRepair(4);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:


begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - HKCU\..\Run: [World of Tanks] D:\Parasha\WargamingGameUpdater.exe  (file missing)
O4 - HKCU\..\Run: [background_fault] C:\Users\Вячеслав\AppData\Local\background_fault\aswRD.exe "C:\Users\Вячеслав\AppData\Local\background_fault\bf.dll",background_fault_collector (file missing)
O4 - HKCU\..\StartupApproved\Run: [Browser Manager] (2017/05/05) C:\Users\Вячеслав\AppData\Local\Yandex\BrowserManager\MBLauncher.exe  (file missing)
O4 - HKCU\..\StartupApproved\Run: [Codec Pack Update Checker] (2017/03/11) C:\Windows\system32\Codecs\UpdateChecker.exe  (file missing)
O4 - HKLM\..\StartupApproved\Run32: [Codec Settings UAC Manager] (2017/03/26) C:\Windows\system32\Codecs\CodecUACManager.exe  (file missing)
O8 - HKCU\..\Extra context menu item: &Отправить в OneNote - G:\Microsoft Office 2013\Office15\ONBttnIE.dll (file missing)
O21 - ShellExecuteHooks: (no name) - {7AE915BA-F77B-11E6-9977-64006A5CFC23} - C:\Program Files (x86)\Chalering\Atoosekheght.dll (file missing) (disabled)
O22 - Task: DriverPack Notifier - C:\Program Files (x86)\DriverPack Notifier\DriverPackNotifier.exe (file missing)
O22 - Task: GoogleUpdateTaskMachineCore - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c (file missing)
O22 - Task: GoogleUpdateTaskMachineUA - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (file missing)
O22 - Task: \Microsoft\Windows\Media Center\VCore - C:\ProgramData\vCore\VCore.exe /check (file missing)

- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.


+ смените браузер по умолчанию.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • kirill1
      диспетчер окон рабочего стола грузит видеокарту
      От kirill1
      Диспетчер окон рабочего стола грузит видеокарту, переустанавливал виндовс много раз также форматировал полностью диск, проверял на вирусы. Ничего не помогает. Хелп пожалуйста. 

    • Little_Wound
      Сбой задачи и проблема с поиском устройств
      От Little_Wound
      Здравствуйте!
      1. Установил KSC 15. Задаю поиск устройств (на машинах нет агента или кес) по диапазону ip адресов. Находит как то выборочно (машины часть на винде, часть на астре). По какому принципу идёт поиск и что может мешать ему "увидеть" машину в сети?
      2. Сделал Инсталляционные пакеты Kaspersky Network Agent for Linux aarch64 deb (Русский)_15.1.0.20748 и Kaspersky Endpoint Security 12.2 для Linux (Русский)_12.2.0.2412, создал задачу Задача удаленной установки приложения, но она отрабатывает с ошибкой: Удаленная установка на устройстве завершена с ошибкой: Installation script error. Чем вызвана данная ошибка?
       

    • Cococanuth
      [РЕШЕНО] Вирус не даёт переустановить виндовс, закрывает все сайты с решениями проблемы, не даёт запуститься антивирусам, закрывает диспетчер задач
      От Cococanuth
      Обнаружилось вчера вечером. Вирус закрывает диспетчер задач (иногда все таки пропускает и он открывается). При поиске в браузерах сайтов с решением проблемы автоматически закрывает их. Закрывает exe-установщики, анитивирусники, автологгеры и подобные программы. Подозреваю о наличии скрытыго пользователя - администратора (некоторые папки с закрытым доступом, некоторые функции недоступны к выполнению). Решение похожей проблемы здесь от 8 мая 2022 не помогло, так как не удаётся установить ни одно приложение (при изменении имени файлов, они не запускаются) 
    • Silverqt
      Восстановление доступа к Планировщику задач и gpedit.msc после майнера
      От Silverqt
      Добрый день Уважаемые форумчане, недавно обнаружил у себя майнер на ПК, понял это по характерной "усиленной" работе пк в простое и загрузке ЦП в 99%. Самостоятельно в безопасном режиме прошел проверку через VRT от Kaspersky и ESET Online Scanner. Так же самостоятельно попытался отыскать необычный процесс через  Farbar Recovery Scan Tool но к сожалению ничего не обнаружил. ПК работает в штатном режиме, но мне не доступны такие команды как: gpedit.msc и Планировщику задач Windows. Помогите пожалуйста вернуть к ним доступ. FRST.txt и Addition.txt от FRST прикрепляю FRST.txtAddition.txt
    • --GoSSaMeR--
      Скачал "Nanominer"-майнер + ещё "ddxdiag"-троян хочу удалить, но они восстанавливаются, в диспетчере задач отображается как "системные прерывания, нужна помощь, пожалуйста
      От --GoSSaMeR--
      скачал обход дискорда от PeekBot а там майнер, Cureit нашел exe файл и удалил его но он восстановился
×
×
  • Создать...