Утилита атрибутов (32 бита) "attrib.exe" грузит процессор

[nevcon]

Добрый день! 
Не помню когда, но минимум пол года назад, утилита атрибутов начала грузить процессор при включении ПК. Иногда их появляется сразу две штуки (в диспетчере задач видно) и каждая грузит 20-30% процессора. Еще я обратил внимание что, если при включении ПК не работает интернет, то эта "attrib.exe" ни как себя не проявляет, но в диспетчере висит, а при подключении интернета она начинает грузить ЦП. После отключения ее в диспетчере задач, по новой она не появляется, конечно же, до следующего включения ПК.

 

PS: согласно этой инструкции все выполнил (https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]). Файл логов в добавил, но не понимаю почему его не видно.

Сейчас разбираюсь как его можно добавить в сообщении.

Изменено 20 декабря, 2017 пользователем nevcon

[Mark D. Pearlstone]

Я же вам в предыдущей теме написал ссылку на правила. Прочтите и выполните порядок оформления запроса о помощи

[nevcon]

Ссылка на архив с логами (загрузка файла начнется сразу):

 

http://my-files.ru/Save/1d0rxw/CollectionLog-2017.12.20-23.35.zip

 

PS: Уж извините, но я так и не понял почему файл не прикрепился  (теперь понял, не нажал кнопку "загрузить", честно сказать, впервые такое встречаю, надо хотя бы эту кнопку напротив кнопки "Выберите файл" поставить, что-бы интуитивно было понятно), а так же не нашел как его можно добавить в сообщении, поэтому на сторонний ресурс его выгрузил..

Я же вам в предыдущей теме написал ссылку на правила. Прочтите и выполните порядок оформления запроса о помощи

Удалите тогда тему, я пересоздам. И считаю все таки кнопку "загрузить" лишней.

Изменено 20 декабря, 2017 пользователем nevcon

[nevcon]

Добрый день! 
Не помню когда, но минимум пол года назад, утилита атрибутов начала грузить процессор при включении ПК. Иногда их появляется сразу две штуки (в диспетчере задач видно) и каждая грузит 20-30% процессора. Еще я обратил внимание что, если при включении ПК не работает интернет, то эта "attrib.exe" ни как себя не проявляет, но в диспетчере висит, а при подключении интернета она начинает грузить ЦП. После отключения ее в диспетчере задач, по новой она не появляется, конечно же, до следующего включения ПК.

CollectionLog-2017.12.20-23.35.zip

[Soft]

@nevcon, 

Сообщение от модератора Soft

Не надо создавать кучу одинаковых тем, решайте всё в одной!

[regist]

Здравствуйте!

1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

2)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('c:\programdata\sswtool\app\xservice.exe', '');
 QuarantineFileF('c:\programdata\sswtool', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('c:\programdata\sswtool\app\xservice.exe');
 ExecuteFile('schtasks.exe', '/delete /TN "SSW" /F', 0, 15000, true);
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

3)  - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

4) Деинсталируйте "Advanced SystemCare 11".

 

5) - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

6)  Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
 

[nevcon]

1. http://virusinfo.info/virusdetector/report.php?md5=A67EA7E087078CAC9A6AAB7899C2B254

 

2. Выполнено

 

3. KLAN-7385244179

Thank you for contacting Kaspersky Lab
The files have been scanned in automatic mode.
No information about the specified files can be found in the antivirus databases:
xservice.exe
We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.
This is an automatically generated message. Please do not reply to it.
Anti-Virus Lab, Kaspersky Lab HQ
"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com https://www.securelist.com"

 

4. Выполнено (хотя ставил ее ,на днях, тупо для попытки удалит принудительно Attrib).

 

5. ClearLNK by Alex Dragokas                                 ver. 2.9.0.11

 

OS:       x64 Windows 10 Pro, 10.0.15063, Service Pack: 0

Time:     21.12.2017 - 22:25

Language: OS: RU (0x419). Display: RU (0x419). Non-Unicode: RU (0x419)

Elevated: Yes

User:     ksuno (group: Administrator)

 

_____________________________ Начало отчёта ____________________________

.

[sKIP] 1  "C:\Users\ksuno\Desktop\Программы\Игровой центр Mail.Ru.lnk"    (ярлык не найден)

[sKIP] 2  "C:\Users\ksuno\Desktop\Программы\DAEMON Tools Lite.lnk"    (ярлык не найден)

[sKIP] 3  "C:\Users\ksuno\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Crossout\ Форум игры Crossout.lnk"    (ярлык не найден)

[sKIP] 4  "C:\Users\ksuno\AppData\Roaming\Microsoft\Excel\Дефектовка2%20(1)305513463729600174\Дефектовка2%20(1).xlsx.lnk"    (ярлык не найден)

[sKIP] 5  "C:\Users\ksuno\Desktop\Программы\ГРАНД Смета (вер. 7.1).lnk"    (ярлык не найден)

[sKIP] 6  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Бордель Разбитое сердце\Разбитое сердце 3.01.lnk"    (ярлык не найден)

[sKIP] 7  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Бордель Разбитое сердце\Деинсталлировать Бордель Разбитое сердце.lnk"    (ярлык не найден)

[sKIP] 8  "C:\Users\ksuno\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Crossout\ Сайт игры Crossout.lnk"    (ярлык не найден)

[sKIP] 9  "C:\Users\ksuno\Desktop\Программы\GeForce Experience.lnk"    (ярлык не найден)

[sKIP] 10 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Бордель Разбитое сердце\Разбитое сердце 4.01.lnk"    (ярлык не найден)

[sKIP] 11 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Звёздный Канал 34\Звёздный Канал 34.lnk"    (ярлык не найден)

[sKIP] 12 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Воспитание Принцессы Золотая Версия\Воспитание Принцессы.lnk"    (ярлык не найден)

[sKIP] 13 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Воспитание Принцессы Золотая Версия\Деинсталлировать Воспитание Принцессы Золотая Версия.lnk"    (ярлык не найден)

[sKIP] 14 "C:\Users\ksuno\Desktop\Программы\BIMx для ArchiCAD 19.lnk"    (ярлык не найден)

[sKIP] 15 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Звёздный Канал 34\Деинсталлировать Звёздный Канал 34.lnk"    (ярлык не найден)

[sKIP] 16 "C:\Users\ksuno\Desktop\Программы\FlylinkDC++ x64.lnk"    (ярлык не найден)

[sKIP] 17 "C:\Users\ksuno\Desktop\Программы\OpenOffice 4.1.2.lnk"    (ярлык не найден)

[sKIP] 18 "C:\Users\ksuno\Desktop\Программы\A360 Desktop.lnk"    (ярлык не найден)

[sKIP] 19 "C:\Users\ksuno\Desktop\Программы\Uplay.lnk"    (ярлык не найден)

[sKIP] 20 "C:\Users\ksuno\AppData\Roaming\Microsoft\Windows\SendTo\Viber.lnk"    (ярлык не найден)

[sKIP] 21 "C:\Users\Public\Desktop\Skyrim The Journey Repack.exe.lnk"    (ярлык не найден)

.

______________________________ Статистика ______________________________

Лечение запущено: 2 раза за сегодня.

 

Всего обработано: 21

 

  Пропущено:      21

____________________________ Конец отчёта ______________________________CRC32: E75BC921

 

 

6. Сейчас приступаю.

[regist]

3) Просьба продублируйте мне в ЛС, залейте на файлообменник и пришлите ссылку.

5) Лучше было просто прикрепить лог, вместо того чтобы вставлять в сообщение.

6) Жду .

[nevcon]

3. Отправил

5. Знающие поймут, не знающие может быть и не догадаются)

6. http://my-files.ru/Save/daop4x/CollectionLog-2017.12.21-23.46.zip

 

PS: И мне на будущее, как тут относятся к активным ссылкам на сторонние ресурсы, типа файлообменников? Или лучше просто текстом ссыль вставлять.

И кстати, забыл добавить, сейчас перезагружал ПК, и пока что проблема не появляется. завтра еще пару раз проверю.

[regist]

 

 

PS: И мне на будущее, как тут относятся к активным ссылкам на сторонние ресурсы, типа файлообменников? Или лучше просто текстом ссыль вставлять.

Нормально относятся, этим идиотизмом с запретом всех внешних не страдают. Только логи лучше прикреплять через вложения. Это и удобней и заодно никто посторонний не увидит их. Доступ к скачиванию вложений в этом разделе только у хелперов и модераторов/администраторов.

 

Логи сейчас гляну, а пока посмотрите в папке\подпапках

c:\programdata\sswtool

файлы есть?

1) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O8 - HKCU\..\Extra context menu item: &Экспорт в Microsoft Excel - C:\Program Files (x86)\Microsoft Office\Office12\EXCEL.EXE (file missing)
O22 - Task: (disabled) \Microsoft\Windows\Xserv\SSW - C:\ProgramData\sswtool\app\xservice.exe (file missing)

 

2) Если в папке

c:\programdata\sswtool

файлов нет, то можете просто удалить вручную эту папку. Если есть, то просьба заархивировать и прислать в ЛС, После этого можете удалить.

 

3) Повторите логи Автологером для контроля.

[nevcon]

1. Выполнил

 

2. c:\programdata\sswtool - в личку отправил, там были файлы, удалил.

 

3. http://my-files.ru/Save/ejqw6c/CollectionLog-2017.12.22-20.15.zip

[regist]

Что с проблемой?
 

[nevcon]

Все, помогло! Спасибо огромное! В диспетчере даже не появляется. Минимум пол года с ней жил (моя лень была слишком велика, чтобы куда то обращаться).

 

PS: А в чем была проблема, можно вкратце? 

Изменено 22 декабря, 2017 пользователем nevcon

[regist]

Вкратце: Майнер.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[nevcon]

Скрипт выполнил, найдена одна уязвимость, в итоге установил Adobe Reader. Еще раз выполнил скрипт, уязвимостей не найдено. По рекомендациям все подчистил. 

 

Спасибо (◕‿‿◕) !!!