Перейти к содержанию
Правила раздела
Задай вопрос Алексею Тодирашу!

Неизвестный вирус нагружает процесор через процес "Система прерывания"

Phantom581

От Phantom581
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Phantom581 Новичок

Phantom581

Опубликовано
Опубликовано

Недавно я заметил что какая то программа сильно грузит мой процессор. Когда я открыл "диспетчер задач" я увидел на 2 секунды что процес под названием "Система прерывания" грузит мой компьютер а именно процессор на 100%, затем нагрузка на процессор резко понизилась а сам процесс исчез из моего поля зрения. Сам процесс не появляется и нагрузка на процессор не возникает пока открыт диспетчер задач, после закрытия "диспетчера задач" процесс появляется снова спустя некоторое время и начинает грузить мой пк. Проблем с драйверами точно нету.....
Добрый люди пожалуйста помогите мне!
Также забыл уточнить что я сканировал свой компьютер с помощью таких программ как Kaspersky Internet Security, Malwarebytes, HitmanPro. Программы вирус не нашли!

CollectionLog-2021.10.20-17.54.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт): 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\programdata\windowstask', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\ProgramData\windowstask\amd.exe', '');
 DeleteFile('C:\ProgramData\windowstask\amd.exe', '');
 DeleteFileMask('c:\programdata\windowstask', '*', true);
 DeleteDirectory('c:\programdata\windowstask');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Для повторной диагностики запустите снова AutoLogger. 

Ссылка на комментарий
Поделиться на другие сайты
Phantom581 Новичок

Phantom581

Опубликовано
  • Автор
Опубликовано
12 минут назад, Sandor сказал:

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт): 


begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\programdata\windowstask', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\ProgramData\windowstask\amd.exe', '');
 DeleteFile('C:\ProgramData\windowstask\amd.exe', '');
 DeleteFileMask('c:\programdata\windowstask', '*', true);
 DeleteDirectory('c:\programdata\windowstask');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: 


begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Для повторной диагностики запустите снова AutoLogger. 

Я не понял на счёт почтового ящика. Можете попроще объяснить? 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Phantom581 Новичок

Phantom581

Опубликовано
  • Автор
Опубликовано
49 минут назад, Sandor сказал:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Вот архив с документами, но во время сканирования дополнительных областей процес сканирования замер. Я подождал 40 мин процес сканирования не сдвинулся с места. Так-что вот скидываю архив с файлами FRST.txt и Addition.txt

FRST-Addition.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новые логи FRST.txt и Addition.txt (старые предварительно удалите).

Ссылка на комментарий
Поделиться на другие сайты
Phantom581 Новичок

Phantom581

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новые логи FRST.txt и Addition.txt (старые предварительно удалите).

Мне кажется антивирус нашёл ту тварь которая использовала мой процесор. Вот отчёт можете его посмотреть?
Заранее спасибо!
Вот ссылка на облако mail.ru с отчётом- СКАЧАТЬ

Ссылка на комментарий
Поделиться на другие сайты
Phantom581 Новичок

Phantom581

Опубликовано
  • Автор
Опубликовано
1 минуту назад, Sandor сказал:

Если вы планируете продолжать самостоятельно, сообщите и закроем тему.

Нет, я просто отправил дополнительную информацию. Извините если я вас обидел.
Отчёты AV_block_remove.log, FRST.txt и Addition.txt отправлю в ближайшие время!

Ссылка на комментарий
Поделиться на другие сайты
Phantom581 Новичок

Phantom581

Опубликовано
  • Автор
Опубликовано
2 минуты назад, Sandor сказал:

Я не обиделся :)

Вы запускаете утилиты наугад, а я даю рекомендации на основе полученных отчётов.

Отчёты AV_block_remove.log, FRST.txt и Addition.txt отправлю в ближайшие время!

 

25 минут назад, Sandor сказал:

Я не обиделся :)

Вы запускаете утилиты наугад, а я даю рекомендации на основе полученных отчётов.

Вот архив с отчётами. Во время сканирования дополнительных областей в утилите FRST64.exe процес сканирования опять завис.

Отчёты.zip

Вот архив с отчётами. Во время сканирования дополнительных областей в утилите FRST64.exe процес сканирования опять завис.

Отчёты.zip

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • yukawaii
      Зависает Проводник и системные прерывания нагружают ЦП
      От yukawaii
      Здравствуйте!

      Помогите, пожалуйста, решить две проблемы:

      1) Появилась недавно. Зависает периодически Проводник (не реагирует нижняя панель проводника, альт+таб и кнопка Виндоуз на клавиатуре не реагируют) секунд на 5. При этом компьютер не висит: браузер, игры, мышь - всё работает.
      Началось около недели назад, не понимаю из-за чего.
      2) Появилась давно. Системные прерывания периодически нагружают ЦП на 100% на несколько секунд.  Если через программу Process Lasso заблокировать запуск процесса RuntimeBroker.exe, то это явление пропадает. Но тогда нельзя выключить компьютер, пока запущена Process Lasso (просто не выключается при нажатии Завершить работу).

      Проверки антивирусами ничего не находят. 
       
      CollectionLog-2024.10.14-22.01.zip
    • yare4kaa
      Вирусные заражения системы, торможения
      От yare4kaa
      Здравствуйте, был в рейсе и не чистил пк от вирусов, заразился много фигней, нужна помощь специалистов.
      Логи ниже CollectionLog-2024.11.25-18.32.zip
    • JAZZ and JAZZ
      [РЕШЕНО] Процесс fc.exe нагружает ЦП и GPU.
      От JAZZ and JAZZ
      При включении ноутбука и загрузки ОС через 2-5мин начинается нагрев ЦП до 92 градусов GPU до 63 градусов.
      При этом сам запускается процесс fc.exe в видеокарте NVIDIA хотя она должна быть не активной, проблему поймал день назад ноут уходит в сильный перегрев.
      Пробовал лечить, результата нет.
      CollectionLog-2024.10.07-23.37.zip
    • KL FC Bot
      Недекларированная функциональность в системах Machine Learning
      От KL FC Bot
      Риски применения ИИ-систем человечество будет изучать и устранять десятилетиями. Одним из наименее изученных на сегодня является риск троянизации модели, когда полезная и на первый взгляд верно работающая система машинного обучения содержит скрытую функциональность или намеренно внесенные ошибки. Создать такого «троянского коня» можно несколькими способами, которые отличаются уровнем сложности и сферой применения. И это не прогнозы на будущее, а реальные кейсы.
      Вредоносный код в модели
      Некоторые форматы хранения ML-моделей могут содержать исполняемый код. Например, произвольный код может быть выполнен при загрузке файла в формате pickle — стандартном для Python формате сериализации (приведения к форме, подходящей для сохранения и передачи) данных, используемом, в частности, в библиотеке для глубокого обучения PyTorch. В другой популярной библиотеке для машинного обучения TensorFlow модели в форматах .keras и HDF5 могут содержать «лямбда-слой», тоже по сути выполняющий произвольные команды на Python. В этом коде легко спрятать вредоносную функциональность.
      В документации TensorFlow можно найти предупреждение, что модель в TensorFlow при исполнении может читать и записывать файлы, получать и отправлять данные по сети и даже запускать дочерние процессы. В общем, является по сути полноценной программой.
      Вредоносный код может срабатывать сразу же при загрузке ML-модели. В популярнейшем репозитории публичных моделей Hugging Face в феврале 2024 года было обнаружено около ста моделей с вредоносной функциональностью. Из них 20% создавали на зараженном устройстве оболочку для удаленного доступа (Reverse Shell), а 10% запускали дополнительное ПО.
       
      View the full article
    • Pomka.
      Рейтинговая система мотивации участников клуба: обсуждение
      От Pomka.
      короче простым клубням тут не место ?
×
×
  • Создать...