Powershell процесс грузит ЦПУ

[guts 0]

Добрый день, есть проблема с процессом Powershell.exe, который грузит ЦПУ на 100%. При запуске диспетчера задач он пропадает, после закрытия диспетчера появляется вновь, потому невозможно определить где он находится. CureIt и другие утилиты ничего не находят. Пожалуйста, помогите разобраться.

CollectionLog-2021.11.23-16.17.zip

Изменено 23 ноября, 2021 пользователем guts

[Sandor 1 253]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Default\AppData\Roaming\Flash\FlashPlayerUpdate.exe', '');
 QuarantineFileF('c:\users\default\appdata\roaming\flash', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteSchedulerTask('Adobe Flash Player PPAPI Notifer');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinNAT');
 DeleteSchedulerTask('Microsoft\Windows\MUI\1268763998');
 DeleteSchedulerTask('Microsoft\Windows\PI\PI');
 DeleteFile('C:\Users\Default\AppData\Roaming\Flash\FlashPlayerUpdate.exe', '64');
 DeleteFileMask('c:\users\default\appdata\roaming\flash', '*', true);
 DeleteDirectory('c:\users\default\appdata\roaming\flash');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Arthur', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Arthur', '64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

[guts 0]

Готово, архив отправлен. Имя карантина:  2021.11.23_quarantine_f28d738233ddfad2a742704f79bd8b00.zip

[Sandor 1 253]

21 минуту назад, Sandor сказал:

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog

Ждём.

[guts 0]

Актуальные логи:

CollectionLog-2021.11.23-17.16.zip

[Sandor 1 253]

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

+

Соберите, пожалуйста, отчёт GSI, закачайте архив на файлообменник и дайте ссылку на скачивание.

[guts 0]

Отчеты: 

 

FRST.txt Addition.txt

Изменено 23 ноября, 2021 пользователем guts

[Sandor 1 253]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-1166415121-127411018-3577246701-1002\...\MountPoints2: {90f59413-a7a1-11e6-95bf-3052cbd8ac79} - "E:\autorun.exe" 
  HKU\S-1-5-21-1166415121-127411018-3577246701-1002\...\MountPoints2: {90f5947f-a7a1-11e6-95bf-3052cbd8ac79} - "F:\autorun.exe" 
  HKU\S-1-5-21-1166415121-127411018-3577246701-1002\...\MountPoints2: {993d7ee4-29e4-11e8-95f6-3052cbd8ac79} - "E:\autorun.exe" 
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  FirewallRules: [{040EB7C4-3F20-4F35-B3DA-A7D46DB47AE9}] => (Allow) LPort=12292
  FirewallRules: [{8CCE4039-5A4F-4C01-ACE0-DF2710BE58F9}] => (Allow) LPort=1433
  FirewallRules: [{DC06350F-A0F3-4E61-8F36-CDFE91C1EC9E}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
  FirewallRules: [{CFE8EAF4-A670-416B-811B-CB3958102E48}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
  FirewallRules: [{6BC8FC91-B40B-4732-92AF-AF34253A9C60}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  FirewallRules: [{8DE7545B-DBF2-4679-94E0-A546034802AB}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
  FirewallRules: [{F050C610-3C81-4357-9BCB-3FB3883373E3}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
  FirewallRules: [{B44035BC-A9CB-4709-A7F3-386849FA75F6}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  FirewallRules: [{6A82AEF9-EA6D-4D7B-A844-5069CB477A47}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
  FirewallRules: [{8B96717B-5A6C-4FD6-B113-CC3B288E4AE1}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
  FirewallRules: [{7AAFFFA9-3D47-4CA1-8354-E57A37E64A58}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  FirewallRules: [{40D8F4BB-B951-4C70-981C-D4150FBAD46E}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
  FirewallRules: [{4194CF13-369D-4E58-9780-D1F9FB2451EC}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
  FirewallRules: [{DA83EA29-DB3D-42FB-9EAD-B2526AC46970}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  FirewallRules: [{EFCC07C2-C067-4DEB-8544-1D4C60277A0C}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
  FirewallRules: [{654BB751-53C2-4D7D-A595-3DFA604F10D4}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
  FirewallRules: [{548EC870-B3B8-4D7F-B254-E85AEACB2746}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  FirewallRules: [{31A1D982-463E-4C9E-9C80-B3E9038E56CF}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
  FirewallRules: [{48EA217F-0229-4417-8E90-80C476533C5B}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
  FirewallRules: [{B8C65D64-051B-49E3-AD84-252BDE772E7F}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  FirewallRules: [{5445ABBD-C65E-4DAC-B7DA-93DF8CF01CED}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
  FirewallRules: [{A9F2D614-7AC7-4703-A2C0-0391C1C11564}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
  FirewallRules: [{0D6A8915-1520-4B74-BE1F-6C2C09248366}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  FirewallRules: [{A6809946-2AA5-4329-87BD-CD55373C84C5}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
  FirewallRules: [{CF4925B0-4B33-4C52-87B9-12DE2D41930D}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
  FirewallRules: [{689A9D17-DAF2-4212-8EBC-32C2658E48AC}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  FirewallRules: [{A8C0205D-ACF7-499B-9869-02AF4C20D832}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
  FirewallRules: [{AA6BD615-1696-42EE-BDBE-D418D0C523B7}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
  FirewallRules: [{F3189E87-E67F-446A-B51C-561200943510}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[guts 0]

Лог-файл: 

 

Лог-файл: 

Fixlog.txt

Изменено 23 ноября, 2021 пользователем guts

[Sandor 1 253]

1 час назад, Sandor сказал:

Соберите, пожалуйста, отчёт GSI, закачайте архив на файлообменник и дайте ссылку на скачивание.

Это, пожалуйста, сделайте.

 

Сообщите что с проблемой.

[guts 0]

Ссылка: https://www.getsysteminfo.com/report/26022a3d1a5ce15310f345c870558eb4

Процесс отсутствует уже 15 минут, вроде бы проблема решена, большое спасибо.

Изменено 23 ноября, 2021 пользователем guts

[Sandor 1 253]

Хорошо, в завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[guts 0]

SecurityCheck.txt

[Sandor 1 253]

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Internet Explorer 11.471.17134.0 Внимание! Скачать обновления
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB5003174 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Python 3.6.6 (64-bit) v.3.6.6150.0 Внимание! Скачать обновления
FileZilla Client 3.34.0 v.3.34.0 Внимание! Скачать обновления
Notepad++ (32-bit x86) v.7.4.1 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.20513.0 Данная программа больше не поддерживается разработчиком.
--------------------------- [ OtherUtilities ] ----------------------------
Python 3.6.6 (64-bit) v.3.6.6150.0 Внимание! Скачать обновления
FileZilla Client 3.34.0 v.3.34.0 Внимание! Скачать обновления
Notepad++ (32-bit x86) v.7.4.1 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.20513.0 Данная программа больше не поддерживается разработчиком.
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Telegram Desktop version 3.1.8 v.3.1.8 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 74 (64-bit) v.8.0.740.2 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u311-windows-x64.exe)^
Java 8 Update 74 v.8.0.740.2 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u311-windows-i586.exe)^
 

 

Читайте Рекомендации после удаления вредоносного ПО

 

Пожалуйста, некоторое время последите за темой. Возможно у разработчика наших утилит будет вопрос.

[guts 0]

Хорошо, большое спасибо.