Перейти к содержанию

Powershell процесс грузит ЦПУ


Рекомендуемые сообщения

Добрый день, есть проблема с процессом Powershell.exe, который грузит ЦПУ на 100%. При запуске диспетчера задач он пропадает, после закрытия диспетчера появляется вновь, потому невозможно определить где он находится. CureIt и другие утилиты ничего не находят. Пожалуйста, помогите разобраться.

CollectionLog-2021.11.23-16.17.zip

Изменено пользователем guts
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Default\AppData\Roaming\Flash\FlashPlayerUpdate.exe', '');
 QuarantineFileF('c:\users\default\appdata\roaming\flash', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteSchedulerTask('Adobe Flash Player PPAPI Notifer');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinNAT');
 DeleteSchedulerTask('Microsoft\Windows\MUI\1268763998');
 DeleteSchedulerTask('Microsoft\Windows\PI\PI');
 DeleteFile('C:\Users\Default\AppData\Roaming\Flash\FlashPlayerUpdate.exe', '64');
 DeleteFileMask('c:\users\default\appdata\roaming\flash', '*', true);
 DeleteDirectory('c:\users\default\appdata\roaming\flash');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Arthur', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Arthur', '64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

Ссылка на сообщение
Поделиться на другие сайты
21 минуту назад, Sandor сказал:

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog

Ждём.

Ссылка на сообщение
Поделиться на другие сайты

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

+

Соберите, пожалуйста, отчёт GSI, закачайте архив на файлообменник и дайте ссылку на скачивание.

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-1166415121-127411018-3577246701-1002\...\MountPoints2: {90f59413-a7a1-11e6-95bf-3052cbd8ac79} - "E:\autorun.exe" 
    HKU\S-1-5-21-1166415121-127411018-3577246701-1002\...\MountPoints2: {90f5947f-a7a1-11e6-95bf-3052cbd8ac79} - "F:\autorun.exe" 
    HKU\S-1-5-21-1166415121-127411018-3577246701-1002\...\MountPoints2: {993d7ee4-29e4-11e8-95f6-3052cbd8ac79} - "E:\autorun.exe" 
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    FirewallRules: [{040EB7C4-3F20-4F35-B3DA-A7D46DB47AE9}] => (Allow) LPort=12292
    FirewallRules: [{8CCE4039-5A4F-4C01-ACE0-DF2710BE58F9}] => (Allow) LPort=1433
    FirewallRules: [{DC06350F-A0F3-4E61-8F36-CDFE91C1EC9E}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
    FirewallRules: [{CFE8EAF4-A670-416B-811B-CB3958102E48}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
    FirewallRules: [{6BC8FC91-B40B-4732-92AF-AF34253A9C60}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
    FirewallRules: [{8DE7545B-DBF2-4679-94E0-A546034802AB}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
    FirewallRules: [{F050C610-3C81-4357-9BCB-3FB3883373E3}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
    FirewallRules: [{B44035BC-A9CB-4709-A7F3-386849FA75F6}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
    FirewallRules: [{6A82AEF9-EA6D-4D7B-A844-5069CB477A47}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
    FirewallRules: [{8B96717B-5A6C-4FD6-B113-CC3B288E4AE1}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
    FirewallRules: [{7AAFFFA9-3D47-4CA1-8354-E57A37E64A58}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
    FirewallRules: [{40D8F4BB-B951-4C70-981C-D4150FBAD46E}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
    FirewallRules: [{4194CF13-369D-4E58-9780-D1F9FB2451EC}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
    FirewallRules: [{DA83EA29-DB3D-42FB-9EAD-B2526AC46970}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
    FirewallRules: [{EFCC07C2-C067-4DEB-8544-1D4C60277A0C}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
    FirewallRules: [{654BB751-53C2-4D7D-A595-3DFA604F10D4}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
    FirewallRules: [{548EC870-B3B8-4D7F-B254-E85AEACB2746}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
    FirewallRules: [{31A1D982-463E-4C9E-9C80-B3E9038E56CF}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
    FirewallRules: [{48EA217F-0229-4417-8E90-80C476533C5B}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
    FirewallRules: [{B8C65D64-051B-49E3-AD84-252BDE772E7F}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
    FirewallRules: [{5445ABBD-C65E-4DAC-B7DA-93DF8CF01CED}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
    FirewallRules: [{A9F2D614-7AC7-4703-A2C0-0391C1C11564}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
    FirewallRules: [{0D6A8915-1520-4B74-BE1F-6C2C09248366}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
    FirewallRules: [{A6809946-2AA5-4329-87BD-CD55373C84C5}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
    FirewallRules: [{CF4925B0-4B33-4C52-87B9-12DE2D41930D}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
    FirewallRules: [{689A9D17-DAF2-4212-8EBC-32C2658E48AC}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
    FirewallRules: [{A8C0205D-ACF7-499B-9869-02AF4C20D832}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
    FirewallRules: [{AA6BD615-1696-42EE-BDBE-D418D0C523B7}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
    FirewallRules: [{F3189E87-E67F-446A-B51C-561200943510}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:

Соберите, пожалуйста, отчёт GSI, закачайте архив на файлообменник и дайте ссылку на скачивание.

Это, пожалуйста, сделайте.

 

Сообщите что с проблемой.

Ссылка на сообщение
Поделиться на другие сайты

Ссылка: https://www.getsysteminfo.com/report/26022a3d1a5ce15310f345c870558eb4

Процесс отсутствует уже 15 минут, вроде бы проблема решена, большое спасибо.

Изменено пользователем guts
Ссылка на сообщение
Поделиться на другие сайты

Хорошо, в завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Internet Explorer 11.471.17134.0 Внимание! Скачать обновления
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB5003174 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Python 3.6.6 (64-bit) v.3.6.6150.0 Внимание! Скачать обновления
FileZilla Client 3.34.0 v.3.34.0 Внимание! Скачать обновления
Notepad++ (32-bit x86) v.7.4.1 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.20513.0 Данная программа больше не поддерживается разработчиком.
--------------------------- [ OtherUtilities ] ----------------------------
Python 3.6.6 (64-bit) v.3.6.6150.0 Внимание! Скачать обновления
FileZilla Client 3.34.0 v.3.34.0 Внимание! Скачать обновления
Notepad++ (32-bit x86) v.7.4.1 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.20513.0 Данная программа больше не поддерживается разработчиком.
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Telegram Desktop version 3.1.8 v.3.1.8 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 74 (64-bit) v.8.0.740.2 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u311-windows-x64.exe)^
Java 8 Update 74 v.8.0.740.2 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u311-windows-i586.exe)^
 

 

Читайте Рекомендации после удаления вредоносного ПО

 

Пожалуйста, некоторое время последите за темой. Возможно у разработчика наших утилит будет вопрос.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Ahroh
      От Ahroh
      CollectionLog-2021.12.05-19.43.zip
      У меня на компьютере троян из-за того, что я скачал Adobe Acrobat с вирусного сайта. Он мне особо жить не мешал, до того момента как Windows Defender не заметил активность Trojan Miner. Я в основном пользуюсь браузером Opera GX, и как только я запускаю диспетчер задач мне пишет, что мой процессор нагружен на +- 60%, а потом через 1 секунд все пропадает и возвращается в норму. Помогите, пожалуйста.


    • Салават
      От Салават
      Скачивал видеоредактор с непроверенного сайта и подхватил набор вирусов. Большинство удалил, но из разрешенных угроз никак не удаляются опасные вирусы: сколько не убирай - все равно появляются

      CollectionLog-2021.12.04-15.18.zip
    • Gectar
      От Gectar
      Привет.
      Kaspersky Anti-Virus каждые 20 минут фиксирует попытку PowerShell перейти на вредоносный сайт

      Событие: Переход остановлен
      Пользователь: DESKTOP-HKUMLCG\gecta
      Тип пользователя: Активный пользователь
      Имя программы: powershell.exe
      Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: 66.248.206.176
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: update.php?i=bpj2fVZ_1380
      Путь к объекту: http://google.ru
      Причина: Kaspersky Security Network
      Дата выпуска баз: Сегодня, 27.11.2021 8:05:00

      Сканирование с помощью Kaspersky Anti-Virus и Kaspersky Virus Removal Tool ничего не обнаружило.
      Помогите пожалуйста решить проблему!
      Лог после работы AutoLogger прилагаю 
      CollectionLog-2021.11.27-11.27.zip
    • L4H
      От L4H
      Здравствуйте. Третий день Касперский блокирует переход PowerShell по вредоносной ссылке:
       
      Событие: Переход остановлен
      Пользователь: AMENO\Heller
      Тип пользователя: Активный пользователь
      Имя программы: powershell.exe
      Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: 66.248.206.176
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: update.php?i=g7LVNEq_1790
      Путь к объекту: http://google.ru
      Причина: Kaspersky Security Network
      Дата выпуска баз: Вчера, 23.11.2021 19:43:00

      Это происходит вне зависимости от того, открыт ли браузер. Сперва было каждые 20 минут, потом реже, но все равно регулярно.
      KVRT и CureIt ничего не нашли.

      Помогите решить проблему, пожалуйста.
      CollectionLog-2021.11.23-23.54.zip
    • Ark
      От Ark
      Добрый день.
       
      Появляется процесс powershell.exe, грузит ЦПУ и ГПУ.
       
      При открытии таск-менеджера прячется, приостанавливается вручную через process explorer, если прервать, возобновляется минут через 5.
       
      KVRT и CureIt ничего не находят, Malwarebytes - тоже. Возможно не связано, но перестал запускаться Outlook.
       
       
      CollectionLog-2021.11.22-12.32.zip
×
×
  • Создать...