Перейти к содержанию

[РЕШЕНО] VMware процесс цп грузил 100% и сами dns меняются


Рекомендуемые сообщения

Здравствуйте! Грузился в диспетчере задач процесс VMware цп 100%, но не придавал особо значения, так как компьютер не смотря на 100% цп загрузку не тормозил и случайно обнаружил процесс что грузит и закрыл его, потом всё равно он появлялся, вчера по рекомендациям на вашем форуме в одной из веток устранил эту проблему с помощью Farbar Recovery Scan Tool, больше в диспетчере задач этот процесс не грузит, также и с папки C:\ProgramData\VMware\VMware Tools  тоже было удалено. DNS были dns1 185.192.111.210 и dns2 37.59.58.122. Поменял в ручную от гугла dns, но сегодня вновь поменялись на прежние. Помогите устранить проблему, чтобы DNS не менялись больше.

CollectionLog-2020.08.09-11.09.zip

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 35
  • Created
  • Последний ответ

Top Posters In This Topic

  • Adrian

    19

  • Sandor

    17

Top Posters In This Topic

Здравствуйте!

 

1 час назад, Adrian сказал:

по рекомендациям на вашем форуме в одной из веток устранил эту проблему

Рекомендации пишутся индивидуально, поэтому выполнять их не нужно. Можете повредить систему.

 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

 

Excel 2013, версия null

MediaGet

Orbitum

 

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\user\appdata\local\temp\dotnetbrowser-chromium\69.0.3497.12.2.0.0.165\x64\browsercore64.exe');
 QuarantineFile('c:\users\user\appdata\local\temp\dotnetbrowser-chromium\69.0.3497.12.2.0.0.165\x64\browsercore64.exe', '');
 DeleteFile('c:\users\user\appdata\local\temp\dotnetbrowser-chromium\69.0.3497.12.2.0.0.165\x64\browsercore64.exe', '');
 DeleteFile('c:\users\user\appdata\local\temp\dotnetbrowser-chromium\69.0.3497.12.2.0.0.165\x64\browsercore64.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. 
Прикрепите к следующему сообщению свежий CollectionLog.
 

 

Ссылка на сообщение
Поделиться на другие сайты

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Предустановленное ПО не трогайте, остальное чистим:

1.

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    
    HKU\S-1-5-21-3695973999-999978805-733528151-1000\...\Run: [Orbitum Update] => "C:\Users\User\AppData\Local\Orbitum\Update\GoogleUpdate.exe" /c
    GroupPolicy-Firefox: Restriction <==== ATTENTION
    Task: {44034DB1-AB65-4240-8F21-CC5470C5E77E} - System32\Tasks\OrbitumUpdateTaskUserS-1-5-21-3695973999-999978805-733528151-1000Core => C:\Users\User\AppData\Local\Orbitum\Update\GoogleUpdate.exe
    Task: {9A4B8353-F5C9-4E48-934D-7CCC2716D1CB} - System32\Tasks\OrbitumUpdateTaskUserS-1-5-21-3695973999-999978805-733528151-1000UA => C:\Users\User\AppData\Local\Orbitum\Update\GoogleUpdate.exe
    Tcpip\..\Interfaces\{26b11a49-585f-4b43-a90c-9af3c3d7b25b}: [NameServer] 185.192.111.210,37.59.58.122
    Tcpip\..\Interfaces\{81043844-f270-4a21-8635-810b6926a3af}: [NameServer] 185.192.111.210,37.59.58.122
    Tcpip\..\Interfaces\{be8a12c6-7502-4ad0-a7ab-908384611a70}: [NameServer] 185.192.111.210,37.59.58.122
    FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\local-settings.js [2019-11-29] <==== ATTENTION (Points to *.cfg file)
    FF ExtraCheck: C:\Program Files\mozilla firefox\umbrella.cfg [2020-05-21] <==== ATTENTION
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [133]
    AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [143]
    EmptyTemp:
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Dns 185.192.111.210,37.59.58.122 на данный момент сбросились. Как я понимаю проблема решилась и больше не появится. Порекомендуйте, как предотвратить, чтобы подобное больше не происходило при замене dns, так и не словить больше майнер VMware? Спасибо большое за помощь.

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Для этого финальные рекомендации:

 

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 69.0.3 (x64 ru) v.69.0.3 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
 

 

Установите антивирус. Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Тема открыта по просьбе ТС (DNS по-прежнему меняется).

 

К сети подключаетесь через роутер? Если да, подключено одно устройство?

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
  • Sandor changed the title to VMware процесс цп грузил 100% и сами dns меняются
  • Sandor unlocked this тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Dan4es
      От Dan4es
      Добрый день.
       
      KSC 14.0.0.10902 разрешает имена ПК в неверные IP. На хосте на котором установлен сервер делал ipconfig /flushdns - не помогло. DNS стоит на контроллере домена Windows srv 19. В чем может быть причина такого поведения?
       
    • Galem333
      От Galem333
      Допустим, возьмём Vmware Workstation Pro, и будем мы запускать в ней вредоносное ПО. Из мер безопасности приняты (отсутствие общих папок), всё, гостевые дополнения установлены, Интернет включен. Также вопрос к любителям побаловаться на виртуальной машине: бывало ли у вас такое, что вирус выбирался из виртуальной среды и наносил урон основной системе?
    • ska79
      От ska79
      Правильно ли я понимаю что автоматическое получение dns возможно только если ip адрес тоже выставлен назначатться автоматически?

    • ska79
      От ska79
      Хочу попробовать сделать на базе старого смартфона свой dns сервер (в локальной сети) как это организовать? В сети ничего не нашёл 
    • Teplovchik
      От Teplovchik
      Проблема появилась после установки "народного" фотошопа.
      В настройках сетевого адаптера автоматически начали прописываться адреса DNS 8.8.8.8,8.8.4.4 из за чего пропадает интернет на компьютере.
      Поскольку компьютер подключен к роутеру со статическим ip все остальные устройства подключенные к роутеру продолжают работать в обычном режиме. Помогает изменение  настроек адаптера на компьютере на первоначальные путем установки значения на "Получить адрес DNS-сервера автоматически" в настройках адаптера во вкладке TCP/IPv4.
      Проверка Касперским на вирусы результатов не дала. Через Process Monitor был выявлен процесс который меняет запись в реестре на установку DNS NameServer REG_SZ 8.8.8.8,8.8.4.4 это файл wmiprvse.exe
      Приложение 1,3 - скрин с указанием процесса который внёс изменение в реестр.
      Приложение 2 -скрин реестра где появляется запись с адресом DNS.
      Фотошоп был удалён но проблема осталась. Обнуление значение в строчке реестра NameServer возвращают интернет, но через некоторое время (всегда по разному может через десять минут, может через несколько часов) запись опять появляется.
      Помогите решить проблему. По найденной информации wmiprvse.exe является системным файлом и удалить его просто нельзя.
      До этого поста размещал вопрос на офф. сайте касперского. https://forum.kaspersky.com/topic/произвольная-смена-адресов-dns-процессом-wmiprvseexe-38450/#comment-155188 От туда отправили сюда. 



      CollectionLog-2024.01.12-18.37.zip

×
×
  • Создать...