[РЕШЕНО] Процесс нагружает комп

[BaronADA]

Начал замечать подвисания компьютера, но считал, что это обновившаяся прога... сегодня в диспетчере задач наткнулся на процесс MicrosoftHost.exe, который нагружал память и процессор... и через пару секунд исчез. Потом диспетчер задач сам закрылся и опять начались подвисания, открыл диспетчер - всё повторилось...

Unlocker'ом переименовал файл, который располагался в C:\ProgramData\WindowsTask, подвисания прекратились, но что-то не даёт мне установить Касперского. Помогите, пожалуйста.

CollectionLog-2021.10.24-01.18.zip

[BaronADA]

нашёл скрытые папки Kaspersky Lab Setup Files и Kaspersky Lab в  C:\ProgramData, удалил Unlocker'ом... установка запустилась.... Так же были скрытые папки других антивирусов (их тоже удалил)..... Осталось найти "концы" и почистить их, запустил проверку Касперским, что Вы можете ещё порекомендовать? 

Изменено 23 октября, 2021 пользователем BaronADA

[SQ]

Здравствуйте,

Если выпонили уже какие-то манипуляции приложите новые логи.
У Вас скорее всего был майнер, который блокирует установку антвирусного софта и доступ на сайты AV компаний. Проверьте если существует учетная запись John.

[BaronADA]

11 часов назад, SQ сказал:

Проверьте если существует учетная запись John.

Нет, лишних учётных записей не появлялось

 

Вот логи

CollectionLog-2021.10.24-13.39.zip

 

11 часов назад, SQ сказал:

доступ на сайты AV компаний

Сайты не блокировались

[BaronADA]

на ноутбуке сейчас обнаружил тоже самое..... создать новую тему или можно продолжить после решения этой проблемы в этой теме? (там пользователь John был, работу сайтов не проверял)

[SQ]

Здравствуйте,

54 minutes ago, BaronADA said:

на ноутбуке сейчас обнаружил тоже самое..... создать новую тему или можно продолжить после решения этой проблемы в этой теме? (там пользователь John был, работу сайтов не проверял)

Да создавайте новую тему.

 

Что касается  данной темы:

Следующие рекомендации написаны только для данного ПК, не применяйте их на длругих ПК.

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = AVbr.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

 

 

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\rundll\libeay32.dll','');
 QuarantineFile('C:\ProgramData\rundll\libxml2.dll','');
 DeleteFile('C:\ProgramData\rundll\libxml2.dll','32');
 DeleteFile('C:\ProgramData\rundll\libeay32.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

 

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

 

[BaronADA]

 

12 минут назад, SQ сказал:

Да создавайте новую тему.

Спасибо, сейчас займусь.

 

Вот логи

 

AdwCleaner[S00].txt

Изменено 24 октября, 2021 пользователем BaronADA

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[BaronADA]

38 minutes ago, SQ said:

quarantine.zip из папки AVZ загрузите этот архив

 

 

 

AdwCleaner[C01].txt

[SQ]

Пожалуйста не прикрепляйте карантин к сообщениям.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

1. Нажмите кнопку Scan.
2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[BaronADA]

Addition.txt FRST.txt

[SQ]

1. Закройте и сохраните все открытые приложения.
2. Выделите следующий код::

   Start::
   CreateRestorePoint:
   CloseProcesses:
   File: C:\Windows\system32\wuaueng2.dll
   2021-10-19 15:44 - 2021-10-24 17:16 - 000000000 __SHD C:\AdwCleaner
   2021-10-19 15:44 - 2021-10-24 17:04 - 000000000 __SHD C:\ProgramData\RunDLL
   2021-10-19 15:44 - 2021-10-24 03:43 - 000000000 __SHD C:\ProgramData\WindowsTask
   Folder: C:\ProgramData\Setup
   Folder: C:\ProgramData\RealtekHD
   2021-10-19 15:44 - 2021-10-19 15:45 - 000000000 __SHD C:\ProgramData\Install
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 __SHD C:\ProgramData\Norton
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 __SHD C:\ProgramData\McAfee
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 __SHD C:\ProgramData\grizzly
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 __SHD C:\ProgramData\360safe
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 __SHD C:\Program Files\SpyHunter
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 __SHD C:\Program Files\Malwarebytes
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 __SHD C:\Program Files\Kaspersky Lab
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 __SHD C:\Program Files\ESET
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 __SHD C:\Program Files\Enigma Software Group
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 __SHD C:\Program Files\COMODO
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 __SHD C:\Program Files\Common Files\McAfee
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 __SHD C:\Program Files\Cezurity
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 __SHD C:\Program Files\ByteFence
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 __SHD C:\Program Files\AVG
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 __SHD C:\Program Files\AVAST Software
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 __SHD C:\Program Files (x86)\Panda Security
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 __SHD C:\Program Files (x86)\Cezurity
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 __SHD C:\Program Files (x86)\AVG
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 __SHD C:\Program Files (x86)\360
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 __SHD C:\KVRT_Data
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 ____D C:\Windows\speechstracing
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 ____D C:\ProgramData\System32
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 ____D C:\ProgramData\MB3Install
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 ____D C:\ProgramData\Malwarebytes
   2021-10-19 15:44 - 2021-10-19 15:44 - 000000000 ____D C:\ProgramData\Avira
   AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [314]
   HKU\S-1-5-21-628252114-1645442353-2580515398-1000\Software\Classes\exefile:  <==== ВНИМАНИЕ
   FirewallRules: [{8A251DE5-BC56-48B7-B25D-6D2EDFE8B30B}] => (Allow) D:\Games\Steam\steamapps\common\AF2\AFCGame.exe => Нет файла
   FirewallRules: [{14D05455-3554-4119-B4B4-F192C5ED408E}] => (Allow) D:\Games\Steam\steamapps\common\AF2\AFCGame.exe => Нет файла
   FirewallRules: [{B2BAEF8B-8C17-443D-9577-C0FFC9ADEF1C}] => (Allow) D:\Games\Steam\steamapps\common\theFisher Online\theFisher.exe => Нет файла
   FirewallRules: [{A61B44B2-3A36-4C13-980F-850F21FFDF37}] => (Allow) D:\Games\Steam\steamapps\common\theFisher Online\theFisher.exe => Нет файла
   FirewallRules: [{0EE0E1C0-42AA-42E7-B71C-794772F9977A}] => (Allow) C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klnagwds.exe => Нет файла
   FirewallRules: [{F77310BF-0444-4F6C-A8AA-8631981DEAF7}] => (Allow) C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klnagwds.exe => Нет файла
   FirewallRules: [{D17D74D4-D41B-4C12-A26C-F159ABE0E95A}] => (Allow) C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klnagwds.exe => Нет файла
   FirewallRules: [{0D64F544-DE01-46C6-AA09-53A960C115BC}] => (Allow) C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klnagwds.exe => Нет файла
   FirewallRules: [{16713217-3D18-4840-9624-5FC6DA952E0B}] => (Allow) C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klnagwds.exe => Нет файла
   FirewallRules: [{3FB0A70D-5124-4C91-B472-748504A54E16}] => (Allow) C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klnagwds.exe => Нет файла
   FirewallRules: [{203AAF81-6F54-4974-8E42-A3725BD39C01}] => (Allow) D:\Games\Steam\steamapps\common\MyLands\ClientAir.exe => Нет файла
   FirewallRules: [{ABB6CA77-7882-47A5-9E0C-3D7F60690101}] => (Allow) D:\Games\Steam\steamapps\common\MyLands\ClientAir.exe => Нет файла
   FirewallRules: [{A44F2A53-7163-4901-8ED8-A7E537451356}] => (Allow) D:\Games\Steam\steamapps\common\Dreadnought\DreadnoughtLauncher.exe => Нет файла
   FirewallRules: [{CC6BB30F-AC35-4AEF-A46B-4872516800EA}] => (Allow) D:\Games\Steam\steamapps\common\Dreadnought\DreadnoughtLauncher.exe => Нет файла
   FirewallRules: [{83F60299-E0F8-4C37-9C7B-AC92A487EA66}] => (Allow) C:\Users\Александр\Downloads\AnyDesk.exe => Нет файла
   FirewallRules: [{7C0EC247-636C-4ED7-9939-9A2925AFFE8D}] => (Allow) C:\Users\Александр\Downloads\AnyDesk.exe => Нет файла
   FirewallRules: [{0F90099A-ADF1-494D-B389-8C50581B0D85}] => (Allow) C:\Users\Александр\Downloads\AnyDesk.exe => Нет файла
   FirewallRules: [{E7A749BF-3F58-46A0-83B0-65DD008A497B}] => (Allow) C:\Users\Александр\Downloads\AnyDesk.exe => Нет файла
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
6. Обратите внимание, что компьютер будет возможно перезагружен.

[BaronADA]

Fixlog.txt

[SQ]

1. Закройте и сохраните все открытые приложения.
2. Выделите следующий код::

   Start::
   CreateRestorePoint:
   C:\ProgramData\Setup
   C:\ProgramData\RealtekHD
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
6. Обратите внимание, что компьютер будет возможно перезагружен.

Сообщите, что с проблемой?

[BaronADA]

Fixlog.txt