как избавиться от процесса, который грузит систему?

[Ягор Касцюкоў]

Добрый вечер! Недавно заметил у себя на ноуте подозрительную активность. Когда он простаивает или не запущено никаких программ, то процессор всё равно работает по полной. Сперва подумал, что надо разобрать ноут и почистить от пыли, но потом случайно заметил процесс, который грузит ЦПУ на 12-50% в зависимости от разных ситуаций. При этом всём, сам процесс закрывается, когда запускаю Диспетчер задач, AIDA или любую другую программу, которой можно посмотреть текущие процессы и работа ноута становится нормальное. А самое главное, что Диспетчер задач или другие программы для просмотра процессов закрываются сами по себе спустя некоторое время (от 5 до 10 минут) и запускается этот процесс. Обнаружил его абсолютно случайно, оставив открытым монитор ресурсов. Называется "TiWorker.exe". 2 дня гуглил, проверял компьютер различными антивирусами, программами для поиска троянов и всего прочего. Ничего не не вышло. Прочитал, что этот процесс отвечает за обновления Windows, пробовал остановить запуск его, но у меня уже было остановлено, но процесс есть. 

Прикрепляю ссылку на процесс из Монитора ресурсов. Помогите, люди добрые.CollectionLog-2018.11.07-22.12.zip

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Ягор Касцюкоў]

Спасибо. Отредактировал тему. добавил архив с логами

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
 DeleteFile('C:\Users\User\AppData\Roaming\googlecool\ssok.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\koss');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\ex');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[Ягор Касцюкоў]

Выполните скрипт в AVZ из папки Autologger

begin
 DeleteFile('C:\Users\User\AppData\Roaming\googlecool\ssok.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\koss');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\ex');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

 

 

а куда необходимо вставить эту часть кода? или просто запустить avz.exe? 

[thyrex]

https://forum.kasperskyclub.ru/index.php?showtopic=7607

[Ягор Касцюкоў]

Выполнил всё, вот логи

CollectionLog-2018.11.08-21.20.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Ягор Касцюкоў]

Готово.

FRST64.rar

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
IFEO\appvlp.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
IFEO\excel.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
IFEO\hamachi-2-ui.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
IFEO\msoev.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
IFEO\msotd.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
IFEO\msoxmled.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
IFEO\outlook.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
IFEO\powerpnt.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
IFEO\PresentationHost.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
IFEO\setlang.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
IFEO\steam.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
IFEO\teamviewer.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
IFEO\visio.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
IFEO\winword.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
CHR HKLM-x32\...\Chrome\Extension: [enafhpjmlnpmbdnbpjkihmadnkfnpiim] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
2018-11-07 19:39 - 2018-06-14 19:02 - 000000000 ____D C:\Users\User\AppData\Roaming\.ACEStream
2018-11-07 19:39 - 2018-06-14 19:00 - 000000000 ____D C:\Users\User\AppData\Roaming\ACEStream
2018-11-07 21:07 - 2018-11-07 21:07 - 000187712 _____ () C:\Users\User\AppData\Local\Temp\downloader.exe
Task: {21EE7896-EAF7-481F-B831-D248A83A3C22} - \Microsoft\Windows\Google\GoogleUpdateTaskMachineUP -> No File <==== ATTENTION
ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> No File
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Ягор Касцюкоў]

Готово

Fixlog.txt

[thyrex]

Что с проблемой?

[Ягор Касцюкоў]

Что с проблемой?

После последнего запуска скрипта и сьора логов этой проблему не обнаружено.

Спасибо большое за помощь.

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Ягор Касцюкоў]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 09.11.2018 21:03:23

Path starting: C:\Users\User\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: User

VersionXML: 5.64is-05.11.2018

___________________________________________________________________________

 

Windows 10(6.3.17134) (x64) CoreSingleLanguage Версия: 1803 Lang: Russian(0419)

Дата установки ОС: 07.06.2018 06:07:34

Статус лицензии: Office 16, Office16VisioProVL_KMS_Client edition Срок истечения многопользовательской активации: 80562 мин.

Статус лицензии: Office 16, Office16ProPlusR_Grace edition Windows находится в режиме уведомления

Статус лицензии: Windows®, CoreSingleLanguage edition Срок истечения многопользовательской активации: 58990 мин.

Статус лицензии: Office 16, Office16ProPlusVL_KMS_Client edition Срок истечения многопользовательской активации: 253389 мин.

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

Системный диск: C: ФС: [NTFS] Емкость: [149.4 Гб] Занято: [35.8 Гб] Свободно: [113.6 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.345.17134.0

Контроль учётных записей пользователя включен (Уровень 3)

Центр обновления Windows (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

Вкладка "Безопасность" отключена

---------------------------- [ Antivirus_WMI ] ----------------------------

Avast Antivirus (включен и обновлен)

Windows Defender (выключен и обновлен)

---------------------------- [ Firewall_WMI ] -----------------------------

Avast Antivirus (включен)

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Windows Defender (выключен и обновлен)

Avast Antivirus (включен и обновлен)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Avast Internet Security v.18.7.2354

-------------------------- [ SecurityUtilities ] --------------------------

GridinSoft Anti-Malware v.4.0.1

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.60 (64-bit) v.5.60.0 Внимание! Скачать обновления

TeamViewer 12 v.12.0.83369 Внимание! Скачать обновления

TeamViewer 12 (TeamViewer) - Служба остановлена

--------------------------------- [ IM ] ----------------------------------

Viber v.6.9.6.16 Внимание! Скачать обновления

^Необязательное обновление.^

Skype, версия 8.33 v.8.33

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.4.44632 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 151 v.8.0.1510.12 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u192-windows-i586.exe)^

Java 8 Update 172 v.8.0.1720.11 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u192-windows-i586.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 31 PPAPI v.31.0.0.122

------------------------------- [ Browser ] -------------------------------

Google Chrome v.70.0.3538.77

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.70.0.3538.77

------------------ [ AntivirusFirewallProcessServices ] -------------------

Avast Antivirus (avast! Antivirus) - Служба работает

C:\Program Files\AVAST Software\Avast\AvastSvc.exe v.18.7.4041.0

aswbIDSAgent (aswbIDSAgent) - Служба работает

C:\Program Files\AVAST Software\Avast\AvastUI.exe v.18.7.4041.389

C:\Program Files\AVAST Software\Avast\afwServ.exe v.18.7.4041.0

aswbIDSAgent (aswbIDSAgent) - Служба работает

C:\Program Files\AVAST Software\Avast\x64\aswidsagenta.exe v.18.7.4.992

Avast Firewall Service (avast! Firewall) - Служба работает

C:\Program Files\Windows Defender\MSASCuiL.exe v.4.13.17134.1

Антивирусная программа "Защитника Windows" (WinDefend) - Служба остановлена

Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена

----------------------------- [ End of Log ] ------------------------------