Перейти к содержанию

Vmware tools core service грузит ЦП


Рекомендуемые сообщения

Добрый день. Обнаружил, что после включения компьютера в диспетчере задач появляется процесс Vmware tools core service, который грузит ЦП на 99%. Расположен в папке  C:\ProgramData\VMware\VMware Tools\vm3dservice.exe  . Несмотря на удаление папки после перезагрузки компьютера появляется снова. Проверку компьютера Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt!  провел. 

 

CollectionLog-2020.08.15-21.14.zip

Ссылка на сообщение
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Удалите MBAM в безопасном режиме с помощью утилиты  https://www.comss.ru/page.php?id=2152

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
	RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
	RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
	RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
	RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
	RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
	RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
	SetServiceStart('MBAMSvc', 4);
	 DeleteService('FairplayKD');
	 DeleteService('MBAMSvc');
	 TerminateProcessByName('c:\programdata\vmware\vmware tools\vm3dservice.exe');
	 QuarantineFile('c:\programdata\vmware\vmware tools\vm3dservice.exe','');
	 TerminateProcessByName('c:\program files (x86)\malwarebytes\mbam.exe');
	 DeleteFile('c:\program files (x86)\malwarebytes\mbam.exe','32');
	 DeleteFile('c:\programdata\vmware\vmware tools\vm3dservice.exe','32');
	 DeleteFile('C:\ProgramData\NextRP\Common\temp\FairplayKD.sys','64');
	ExecuteSysClean;
	RebootWindows(true);
	end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).


 

O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

 

Сделайте новые логи Автологгером. 
 

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    
    virustotal: C:\Users\Миша\AppData\Local\Gaijin\Program Files (x86)\NetAgent\gjagent.exe
    
    2020-08-14 16:14 - 2020-08-15 21:06 - 000000476 __RSH C:\Users\Все пользователи\ntuser.pol
    2020-08-14 16:14 - 2020-08-15 21:06 - 000000476 __RSH C:\ProgramData\ntuser.pol
    
    2020-08-12 22:43 - 2020-08-15 22:25 - 000000000 ____D C:\Program Files (x86)\Malwarebytes
    2020-07-20 16:03 - 2020-07-20 16:03 - 000921160 _____ (Python Software Foundation) C:\Windows\pyw.exe
    2020-07-20 16:03 - 2020-07-20 16:03 - 000920648 _____ (Python Software Foundation) C:\Windows\py.exe
    2020-06-08 09:24 - 2020-07-09 15:19 - 000000000 ____D C:\Users\Все пользователи\Avast Software
    2020-06-08 09:24 - 2020-07-09 15:19 - 000000000 ____D C:\ProgramData\Avast Software
    
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [648]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [648]
    AlternateDataStreams: C:\Users\Все пользователи:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи:NT2 [648]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [648]
    AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [648]
    AlternateDataStreams: C:\Users\Миша\Application Data:NT [40]
    AlternateDataStreams: C:\Users\Миша\Application Data:NT2 [648]
    AlternateDataStreams: C:\Users\Миша\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\Миша\AppData\Roaming:NT2 [648]
    
    FirewallRules: [{B3B35A65-2708-406F-A78C-3AA307BCE9A8}] => (Allow) C:\Program Files (x86)\Malwarebytes\mbam.exe => No File
    FirewallRules: [{2B39F01D-6512-4CE2-B9F3-FC0317A3DFCC}] => (Allow) C:\Program Files (x86)\Malwarebytes\mbam.exe => No File
    
    
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...