Вирус грузит ЦП

[Андрей Дорожкин]

Здравствуйте! 

Проблема заключается в загрузке ЦП в простое, происходит это без запуска каких-либо программ или приложений. Загрузка процессора i7 8750H на 40-70 %, что соответствует запуску требовательной игры, отследил через MSI Afterburner. При отключении интернета, при запуске диспетчера задач либо при запуске аналогичного process explorer, загрузка проца восстанавливается до нормальных значений около 5-10 %. При отключении диспетчера или process explorer, процессор вновь нагружается.

Произошла эта проблема скорее всего после установки какой-то программы, не могу сказать какой именно, потому что не сразу обнаружил данную проблему.

Не знаю поможет или нет, но при запуске process explorer обнаружил несколько недавно закрытых процессов backgroundTaskHost.exe:17732 и WmiPrvSE.exe:18036, пути отсутствуют, подписей скорее всего тоже нет, может вирус маскируется под эти службы, хотя может быть они стандартные.

Логи прикрепляю.

CollectionLog-2019.03.29-19.58.zip

Изменено 29 марта, 2019 пользователем Андрей Дорожкин

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\User\AppData\Roaming\WinRAR_Tools\winrar_tool_update.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\WinRAR_Tools\winrar_get.exe','');
 TerminateProcessByName('c:\users\user\appdata\local\temp\evbd0ce.tmp');
 QuarantineFile('c:\users\user\appdata\local\temp\evbd0ce.tmp','');
 DeleteFile('c:\users\user\appdata\local\temp\evbd0ce.tmp','32');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 DeleteSchedulerTask('WinRARHelperGet');
 DeleteFile('C:\Users\User\AppData\Roaming\WinRAR_Tools\winrar_get.exe','64');
 DeleteSchedulerTask('WinRARHelperUpdate');
 DeleteFile('C:\Users\User\AppData\Roaming\WinRAR_Tools\winrar_tool_update.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[Андрей Дорожкин]

Отлично!!!! Спасибо! Проблема ушла. ЦП вернулась к нормальной работе. Логи новые прикрепил. Архив загрузил.

При повторной ситуации возможно ли использовать данный скрипт повторно?

CollectionLog-2019.03.29-22.46.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Андрей Дорожкин]

Прикрепляю

FRST-Addition.rar

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
File: C:\Windows\System32\Configuration\S-1-5-20\TiWorker.exe
File: C:\Windows\System32\en-US\S-1-5-97\TiWorker.exe
File: C:\Windows\System32\Microsoft\Protect\S-1-94-78\data.dll
File: C:\Windows\System32\Microsoft\Protect\S-1-94-78\RB_1.3.94.98.exe
File: C:\Windows\System32\mr-IN\S-1-5-64\TiWorker.exe
File: C:\Windows\System32\ru-RU\S-1-4-97\TiWorker.exe
File: C:\Windows\System32\zh-TW\S-1-5-16\Riched32.dll
File: C:\Windows\System32\zh-TW\S-1-5-16\TiWorker.exe
File: C:\Windows\SysWOW64\Configuration\S-1-5-20\TiWorker.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
S3 45832D99BC4BBD14; \??\C:\Users\Viktor\AppData\Local\Temp\7FE27018-168B1C14-CCC5F04-BB226B70\c6566e161.sys [X] <==== ATTENTION
2019-03-22 21:19 - 2019-03-29 22:12 - 000000000 ____D C:\Users\User\AppData\Roaming\WinRAR_Tools
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> No File
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
Task: {03EDDAB5-B1FA-4291-88E2-0D7AB53B8F23} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Cleanup => C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1902.2-0\MpCmdRun.exe (Microsoft Corporation -> Microsoft Corporation)
"C:\Windows\System32\Tasks\Microsoft\Windows\Google" could not be unlocked Error: 5. <==== ATTENTION
"C:\Windows\System32\Tasks\Microsoft\Windows\Google\GoogleUpdateTaskMachineUP" was unlocked. <==== ATTENTION
Task: {06B63E7D-4FCB-4501-99B8-BB36EE3289C6} - System32\Tasks\Microsoft\Windows\Google\GoogleUpdateTaskMachineUP => C:\WINDOWS\SysWOW64\Microsoft\Protect\S-1-94-78\RB_1.3.94.98.exe <==== ATTENTION
FirewallRules: [{91F5744F-E20A-4B4D-9F11-6499F9043514}] => (Allow) D:\Program Files (x86)\Steam\Steam.exe No File
FirewallRules: [{DCF26DFE-022A-43F0-BD7F-ABBB40C9079A}] => (Allow) D:\Program Files (x86)\Steam\Steam.exe No File
FirewallRules: [{CA00D1C9-3045-4DE3-86CA-B206ADBFBB1B}] => (Allow) D:\Program Files (x86)\Steam\steamapps\common\ProjectZomboid\ProjectZomboid64.exe No File
FirewallRules: [{EF4B4F1E-CE80-4C63-B0A8-AEB45B9A35B9}] => (Allow) D:\Program Files (x86)\Steam\steamapps\common\ProjectZomboid\ProjectZomboid64.exe No File
FirewallRules: [{AA686EBB-1F91-4079-99A5-148023CD6834}] => (Allow) D:\Program Files (x86)\Steam\steamapps\common\SCP Secret Laboratory\SCPSL.exe No File
FirewallRules: [{8CB23FFA-BD17-443A-A1CE-33FBF83B1D5D}] => (Allow) D:\Program Files (x86)\Steam\steamapps\common\SCP Secret Laboratory\SCPSL.exe No File
FirewallRules: [{2A194CE4-C4F3-4C7D-AD4B-50715BDB35F8}] => (Allow) D:\Program Files (x86)\Steam\steamapps\common\SCP Secret Laboratory\LocalAdmin.exe No File
FirewallRules: [{3FF7C0B5-4043-44DE-8DF9-AE8D8253FEAB}] => (Allow) D:\Program Files (x86)\Steam\steamapps\common\SCP Secret Laboratory\LocalAdmin.exe No File
FirewallRules: [{69FCC8C5-6E12-42AE-A6BF-DD6554F68B7A}] => (Allow) D:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe No File
FirewallRules: [{66646C9B-6F3B-47EC-BE85-AE21FAC145B0}] => (Allow) D:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe No File
FirewallRules: [TCP Query User{3D7E3C0D-6361-4C8F-95F8-A9C5679E6698}D:\games\starcraft ii\support64\sc2editor_x64.exe] => (Block) D:\games\starcraft ii\support64\sc2editor_x64.exe No File
FirewallRules: [UDP Query User{5EC7F12E-8271-4CB5-9CB1-34C372EB1E34}D:\games\starcraft ii\support64\sc2editor_x64.exe] => (Block) D:\games\starcraft ii\support64\sc2editor_x64.exe No File
FirewallRules: [{EEBD3DDE-3D58-4594-B49B-76E46E0B29F6}] => (Allow) C:\Users\Viktor\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{3D684223-96A9-47DC-9D98-8F49679ED22A}] => (Allow) C:\Users\Viktor\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{5F79DACD-0CD4-410E-B465-D682E2A63931}] => (Allow) C:\Users\Viktor\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{139A9CC4-E8B4-4A53-BBC1-A7B555D98EB0}] => (Allow) C:\Users\Viktor\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{1B4FB0BA-6A3E-43CA-85C8-A77EB08F588F}] => (Allow) C:\Users\Viktor\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{278502FA-4D4F-42E2-B198-24689BEF7A97}] => (Allow) C:\Users\Viktor\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{BE7176F0-58C9-4D31-9FA3-36A1939EA144}] => (Allow) D:\Games\Grand Theft Auto V\GTA5.exe No File
FirewallRules: [{3A9A698C-CA6D-483A-B7AD-5AD5B0578444}] => (Allow) D:\Games\Grand Theft Auto V\GTA5.exe No File
FirewallRules: [TCP Query User{BA4CA570-64C7-4280-A6D6-C6CBDBD3535E}D:\games\starcraft ii\versions\base71061\sc2_x64.exe] => (Allow) D:\games\starcraft ii\versions\base71061\sc2_x64.exe No File
FirewallRules: [UDP Query User{8F2032F6-F130-4577-99FE-8E4320BC5DFE}D:\games\starcraft ii\versions\base71061\sc2_x64.exe] => (Allow) D:\games\starcraft ii\versions\base71061\sc2_x64.exe No File
FirewallRules: [{AF9BB605-ACA8-4600-9241-6DC3A01EA9CD}] => (Allow) C:\Program Files\BlueStacks\HD-Player.exe No File
FirewallRules: [{61921D21-848B-45A7-977C-0F4A584EF579}] => (Allow) D:\Program Files (x86)\Steam\steamapps\common\DayZ\DayZ_BE.exe No File
FirewallRules: [{664FABFA-70D5-4F6F-B664-A7866616696B}] => (Allow) D:\Program Files (x86)\Steam\steamapps\common\DayZ\DayZ_BE.exe No File
FirewallRules: [{8C38E00C-31EB-4F44-BD0A-8BFBF64FF89F}] => (Allow) D:\Program Files (x86)\Steam\steamapps\common\DayZ\DayZLauncher.exe No File
FirewallRules: [{7B66D133-1058-4FD8-A5A7-D97AA1E7E6EC}] => (Allow) D:\Program Files (x86)\Steam\steamapps\common\DayZ\DayZLauncher.exe No File
FirewallRules: [{7538E29F-771E-45B4-8DFD-887D34CCF09B}] => (Allow) D:\Program Files (x86)\Steam\steamapps\common\DayZ\DayZ_x64.exe No File
FirewallRules: [{0E46CB01-E76C-4D0B-ABFA-D01D1251FD20}] => (Allow) D:\Program Files (x86)\Steam\steamapps\common\DayZ\DayZ_x64.exe No File
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Андрей Дорожкин]

Скопированный код не нужно никуда вставлять было?
 

Fixlog.txt

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Андрей Дорожкин]

Просканировал

SecurityCheck.txt

[thyrex]

---------------------- [ AntiVirusFirewallInstall ] -----------------------

ESET Security v.11.2.49.0 Внимание! Скачать обновления

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.00 (64-разрядная) v.5.00.0 Внимание! Скачать обновления

NVIDIA GeForce Experience 3.17.0.126 v.3.17.0.126 Внимание! Скачать обновления

K-Lite Codec Pack 8.6.0 (Standard) v.8.6.0 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------

Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

выполните рекомендованное, и на этом закончим.