Vmare tools

[Ynicman]

Здравствуйте, у меня появилась такая проблема, что я заметил, когда открыл диспетчер задач и увидел, что какое-то приложение VMware tools core service грузит мой ЦП на 100 процентов. Искал решение этой проблемы, так и не нашел и пытался удалять самому через диспетчер задач, хотел еще удалять через пуск - удаление программ, но этого приложение нету. Прошу помогите, у меня такое чувство, что я поймал майнинг, помогите решить эту проблему. Заранее буду очень сильно благодарен. 

отчеты из FRST64 Fixlog.txtFRST.txt

[Sandor]

Здравствуйте!

 

Скрипты, написанные для других пользователей выполнять не нужно. В лучшем случае они просто не помогут.

 

Порядок оформления запроса о помощи

[Ynicman]

7 минут назад, Sandor сказал:

Здравствуйте!

 

Скрипты, написанные для других пользователей выполнять не нужно. В лучшем случае они просто не помогут.

 

Порядок оформления запроса о помощи

что мне сейчас нужно сделать, чтоб вы помогли мне?

[Sandor]

Фраза "кликабельна". Там подробная инструкция.

Полученный в результате диагностики архив прикрепите к следующему вашему сообщению в этой же теме.

[Ynicman]

CollectionLog-2020.08.12-16.44.zip

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

 

Malwarebytes

McAfee Safe Connect

McAfee Security Scan Plus

 

 

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\malwarebytes\mbam.exe');
 StopService('MBAMSvc');
 DeleteFile('c:\program files (x86)\malwarebytes\mbam.exe', '32');
 DeleteService('MBAMSvc');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. 
Прикрепите к следующему сообщению свежий CollectionLog.
 

[Ynicman]

27 минут назад, Sandor сказал:

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. 
Прикрепите к следующему сообщению свежий CollectionLog.

 

CollectionLog-2020.08.12-17.24.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Ynicman]

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  
  HKU\S-1-5-21-2939937101-2075788859-709684024-1001\...\MountPoints2: {1daf0488-9ebf-11e9-9f91-001a7dda710c} - "H:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2939937101-2075788859-709684024-1001\...\MountPoints2: {b8208e91-e637-11e9-9f9e-88d7f67cac19} - "H:\HiSuiteDownLoader.exe" 
  GroupPolicy: Restriction - Windows Defender <==== ATTENTION
  CHR StartupUrls: Default -> "hxxps://www.google.ru/search?newwindow=1&source=hp&ei=kGgVWpbHGIqd6ASf54qoBQ&q=%D0%BA%D0%B0%D0%BA+%D1%83%D0%B1%D1%80%D0%B0%D1%82%D1%8C+%D0%BC%D0%B0%D0%B9%D0%BB+%D0%B8%D0%B7+%D0%B1%D1%80%D0%B0%D1%83%D0%B7%D0%B5%D1%80%D0%B0&oq=%D0%BA%D0%B0%D0%BA+%D1%83%D0%B1%D1%80%D0%B0%D1%82%D1%8C+%D0%BC%D0%B5%D0%B9%D0%B9%D0%BB+&gs_l=psy-ab.3.2.0i13k1l10.3306.6221.0.9166.18.12.0.5.5.0.105.959.10j2.12.0....0...1c.1.64.psy-ab..1.17.973.0..0j35i39k1j0i131k1j0i10k1j0i22i10i30k1.0.BCSn9HGP_rU","hxxp://xn----qtbefdidj.xn--p1ai/udalyaem-mail-ru-iz-brauzerov-mozilla-firefox-i-chrome/"
  CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
  2020-08-12 15:55 - 2020-08-12 15:55 - 000000000 ____D C:\ProgramData\VMware
  bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden
  ph (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name) Hidden
  AlternateDataStreams: C:\Users\Public\AppData:CSM [476]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [482]
  FirewallRules: [{CC2B6806-3727-43C0-ADE1-F7D1B6117D7A}] => (Allow) C:\Program Files (x86)\Malwarebytes\mbam.exe => No File
  FirewallRules: [{F5B0784B-EFAA-4446-8BD3-596C26E76C20}] => (Allow) C:\Program Files (x86)\Malwarebytes\mbam.exe => No File
  FirewallRules: [{06512135-C1CB-4F57-8228-29DBAB4410A3}] => (Allow) C:\Program Files (x86)\Malwarebytes\mbam.exe => No File
  FirewallRules: [{EBE73673-F0F1-4761-ACF1-D6D149CBA807}] => (Allow) C:\Program Files (x86)\Malwarebytes\mbam.exe => No File
  EmptyTemp:
  Reboot:
  End::

  
  
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
  

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

[Ynicman]

Fixlog.txt

[Sandor]

Проблема решена?

[Ynicman]

Вроде как, пока не появлялось. Спасибо вам большое!

[Sandor]

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.