Вирус грузит ЦП

29 марта, 2019

Здравствуйте!

Проблема заключается в загрузке ЦП в простое, происходит это без запуска каких-либо программ или приложений. Загрузка процессора i7 8750H на 40-70 %, что соответствует запуску требовательной игры, отследил через MSI Afterburner. При отключении интернета, при запуске диспетчера задач либо при запуске аналогичного process explorer, загрузка проца восстанавливается до нормальных значений около 5-10 %. При отключении диспетчера или process explorer, процессор вновь нагружается.

Произошла эта проблема скорее всего после установки какой-то программы, не могу сказать какой именно, потому что не сразу обнаружил данную проблему.

Не знаю поможет или нет, но при запуске process explorer обнаружил несколько недавно закрытых процессов backgroundTaskHost.exe:17732 и WmiPrvSE.exe:18036, пути отсутствуют, подписей скорее всего тоже нет, может вирус маскируется под эти службы, хотя может быть они стандартные.

Логи прикрепляю.

CollectionLog-2019.03.29-19.58.zip

Изменено 29 марта, 2019 пользователем Андрей Дорожкин

29 марта, 2019

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\User\AppData\Roaming\WinRAR_Tools\winrar_tool_update.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\WinRAR_Tools\winrar_get.exe','');
 TerminateProcessByName('c:\users\user\appdata\local\temp\evbd0ce.tmp');
 QuarantineFile('c:\users\user\appdata\local\temp\evbd0ce.tmp','');
 DeleteFile('c:\users\user\appdata\local\temp\evbd0ce.tmp','32');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 DeleteSchedulerTask('WinRARHelperGet');
 DeleteFile('C:\Users\User\AppData\Roaming\WinRAR_Tools\winrar_get.exe','64');
 DeleteSchedulerTask('WinRARHelperUpdate');
 DeleteFile('C:\Users\User\AppData\Roaming\WinRAR_Tools\winrar_tool_update.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

29 марта, 2019

Отлично!!!! Спасибо! Проблема ушла. ЦП вернулась к нормальной работе. Логи новые прикрепил. Архив загрузил.

При повторной ситуации возможно ли использовать данный скрипт повторно?

CollectionLog-2019.03.29-22.46.zip

29 марта, 2019

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

29 марта, 2019

Прикрепляю

FRST-Addition.rar

29 марта, 2019

1. Выделите следующий код:

Start::
CreateRestorePoint:
File: C:\Windows\System32\Configuration\S-1-5-20\TiWorker.exe
File: C:\Windows\System32\en-US\S-1-5-97\TiWorker.exe
File: C:\Windows\System32\Microsoft\Protect\S-1-94-78\data.dll
File: C:\Windows\System32\Microsoft\Protect\S-1-94-78\RB_1.3.94.98.exe
File: C:\Windows\System32\mr-IN\S-1-5-64\TiWorker.exe
File: C:\Windows\System32\ru-RU\S-1-4-97\TiWorker.exe
File: C:\Windows\System32\zh-TW\S-1-5-16\Riched32.dll
File: C:\Windows\System32\zh-TW\S-1-5-16\TiWorker.exe
File: C:\Windows\SysWOW64\Configuration\S-1-5-20\TiWorker.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
S3 45832D99BC4BBD14; \??\C:\Users\Viktor\AppData\Local\Temp\7FE27018-168B1C14-CCC5F04-BB226B70\c6566e161.sys [X] <==== ATTENTION
2019-03-22 21:19 - 2019-03-29 22:12 - 000000000 ____D C:\Users\User\AppData\Roaming\WinRAR_Tools
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> No File
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
Task: {03EDDAB5-B1FA-4291-88E2-0D7AB53B8F23} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Cleanup => C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1902.2-0\MpCmdRun.exe (Microsoft Corporation -> Microsoft Corporation)
"C:\Windows\System32\Tasks\Microsoft\Windows\Google" could not be unlocked Error: 5. <==== ATTENTION
"C:\Windows\System32\Tasks\Microsoft\Windows\Google\GoogleUpdateTaskMachineUP" was unlocked. <==== ATTENTION
Task: {06B63E7D-4FCB-4501-99B8-BB36EE3289C6} - System32\Tasks\Microsoft\Windows\Google\GoogleUpdateTaskMachineUP => C:\WINDOWS\SysWOW64\Microsoft\Protect\S-1-94-78\RB_1.3.94.98.exe <==== ATTENTION
FirewallRules: [{91F5744F-E20A-4B4D-9F11-6499F9043514}] => (Allow) D:\Program Files (x86)\Steam\Steam.exe No File
FirewallRules: [{DCF26DFE-022A-43F0-BD7F-ABBB40C9079A}] => (Allow) D:\Program Files (x86)\Steam\Steam.exe No File
FirewallRules: [{CA00D1C9-3045-4DE3-86CA-B206ADBFBB1B}] => (Allow) D:\Program Files (x86)\Steam\steamapps\common\ProjectZomboid\ProjectZomboid64.exe No File
FirewallRules: [{EF4B4F1E-CE80-4C63-B0A8-AEB45B9A35B9}] => (Allow) D:\Program Files (x86)\Steam\steamapps\common\ProjectZomboid\ProjectZomboid64.exe No File
FirewallRules: [{AA686EBB-1F91-4079-99A5-148023CD6834}] => (Allow) D:\Program Files (x86)\Steam\steamapps\common\SCP Secret Laboratory\SCPSL.exe No File
FirewallRules: [{8CB23FFA-BD17-443A-A1CE-33FBF83B1D5D}] => (Allow) D:\Program Files (x86)\Steam\steamapps\common\SCP Secret Laboratory\SCPSL.exe No File
FirewallRules: [{2A194CE4-C4F3-4C7D-AD4B-50715BDB35F8}] => (Allow) D:\Program Files (x86)\Steam\steamapps\common\SCP Secret Laboratory\LocalAdmin.exe No File
FirewallRules: [{3FF7C0B5-4043-44DE-8DF9-AE8D8253FEAB}] => (Allow) D:\Program Files (x86)\Steam\steamapps\common\SCP Secret Laboratory\LocalAdmin.exe No File
FirewallRules: [{69FCC8C5-6E12-42AE-A6BF-DD6554F68B7A}] => (Allow) D:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe No File
FirewallRules: [{66646C9B-6F3B-47EC-BE85-AE21FAC145B0}] => (Allow) D:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe No File
FirewallRules: [TCP Query User{3D7E3C0D-6361-4C8F-95F8-A9C5679E6698}D:\games\starcraft ii\support64\sc2editor_x64.exe] => (Block) D:\games\starcraft ii\support64\sc2editor_x64.exe No File
FirewallRules: [UDP Query User{5EC7F12E-8271-4CB5-9CB1-34C372EB1E34}D:\games\starcraft ii\support64\sc2editor_x64.exe] => (Block) D:\games\starcraft ii\support64\sc2editor_x64.exe No File
FirewallRules: [{EEBD3DDE-3D58-4594-B49B-76E46E0B29F6}] => (Allow) C:\Users\Viktor\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{3D684223-96A9-47DC-9D98-8F49679ED22A}] => (Allow) C:\Users\Viktor\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{5F79DACD-0CD4-410E-B465-D682E2A63931}] => (Allow) C:\Users\Viktor\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{139A9CC4-E8B4-4A53-BBC1-A7B555D98EB0}] => (Allow) C:\Users\Viktor\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{1B4FB0BA-6A3E-43CA-85C8-A77EB08F588F}] => (Allow) C:\Users\Viktor\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{278502FA-4D4F-42E2-B198-24689BEF7A97}] => (Allow) C:\Users\Viktor\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{BE7176F0-58C9-4D31-9FA3-36A1939EA144}] => (Allow) D:\Games\Grand Theft Auto V\GTA5.exe No File
FirewallRules: [{3A9A698C-CA6D-483A-B7AD-5AD5B0578444}] => (Allow) D:\Games\Grand Theft Auto V\GTA5.exe No File
FirewallRules: [TCP Query User{BA4CA570-64C7-4280-A6D6-C6CBDBD3535E}D:\games\starcraft ii\versions\base71061\sc2_x64.exe] => (Allow) D:\games\starcraft ii\versions\base71061\sc2_x64.exe No File
FirewallRules: [UDP Query User{8F2032F6-F130-4577-99FE-8E4320BC5DFE}D:\games\starcraft ii\versions\base71061\sc2_x64.exe] => (Allow) D:\games\starcraft ii\versions\base71061\sc2_x64.exe No File
FirewallRules: [{AF9BB605-ACA8-4600-9241-6DC3A01EA9CD}] => (Allow) C:\Program Files\BlueStacks\HD-Player.exe No File
FirewallRules: [{61921D21-848B-45A7-977C-0F4A584EF579}] => (Allow) D:\Program Files (x86)\Steam\steamapps\common\DayZ\DayZ_BE.exe No File
FirewallRules: [{664FABFA-70D5-4F6F-B664-A7866616696B}] => (Allow) D:\Program Files (x86)\Steam\steamapps\common\DayZ\DayZ_BE.exe No File
FirewallRules: [{8C38E00C-31EB-4F44-BD0A-8BFBF64FF89F}] => (Allow) D:\Program Files (x86)\Steam\steamapps\common\DayZ\DayZLauncher.exe No File
FirewallRules: [{7B66D133-1058-4FD8-A5A7-D97AA1E7E6EC}] => (Allow) D:\Program Files (x86)\Steam\steamapps\common\DayZ\DayZLauncher.exe No File
FirewallRules: [{7538E29F-771E-45B4-8DFD-887D34CCF09B}] => (Allow) D:\Program Files (x86)\Steam\steamapps\common\DayZ\DayZ_x64.exe No File
FirewallRules: [{0E46CB01-E76C-4D0B-ABFA-D01D1251FD20}] => (Allow) D:\Program Files (x86)\Steam\steamapps\common\DayZ\DayZ_x64.exe No File
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

30 марта, 2019

Скопированный код не нужно никуда вставлять было?

Fixlog.txt

30 марта, 2019

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
Процитируйте содержимое файла в своем следующем сообщении.

30 марта, 2019

Просканировал

SecurityCheck.txt

30 марта, 2019

---------------------- [ AntiVirusFirewallInstall ] -----------------------
ESET Security v.11.2.49.0 Внимание! Скачать обновления

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.00 (64-разрядная) v.5.00.0 Внимание! Скачать обновления

NVIDIA GeForce Experience 3.17.0.126 v.3.17.0.126 Внимание! Скачать обновления

K-Lite Codec Pack 8.6.0 (Standard) v.8.6.0 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------

Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

выполните рекомендованное, и на этом закончим.

Вирус грузит ЦП

Рекомендуемые сообщения

Андрей Дорожкин

thyrex

Андрей Дорожкин

thyrex

Андрей Дорожкин

thyrex

Андрей Дорожкин

thyrex

Андрей Дорожкин

thyrex

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum