Решена Загрузка ЦП более 40% процессами Antimalware Service Executable + Windows PowerShell (32 bit)

Статус
В этой теме нельзя размещать новые ответы.

s.l.klochko

Новый пользователь
Сообщения
15
Реакции
2
Доброго дня. С некоторого времени стал постоянно "шуметь" ноутбук. ЦП постоянно загружен. Антивирусы существенного нового не находят, но у меня подозрения на вирус. Помогите разобраться, пожалуйста. Заранее благодарна.
 

Вложения

Последнее редактирование:
В нагрузку нужны еще
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Повторите сканирование в Malwarebytes и удалите (поместите в карантин) всё, кроме ваших активаторов:
Раздел реестра: 3
Generic.Malware.AI.DDS, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\AAct, Проигнорировано пользователем, 1000002, 0, , , , , ,
Generic.Malware.AI.DDS, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{043449E3-C1B0-4EAD-8708-CC5391AC64EA}, Проигнорировано пользователем, 1000002, 0, , , , , ,
Generic.Malware.AI.DDS, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{043449E3-C1B0-4EAD-8708-CC5391AC64EA}, Проигнорировано пользователем, 1000002, 0, , , , , ,
Файл:
Generic.Malware.AI.DDS, C:\WINDOWS\SYSTEM32\TASKS\AAct, Проигнорировано пользователем, 1000002, 0, , , , , 8815E316B7EEC577F3733A60D85759AB, 9CB8D8DE036386219512D8E0E8FB9AE7155457A8355A3C1AAC7D773DDECDF62D
Generic.Malware.AI.DDS, C:\WINDOWS\AACT_TOOLS\AACT_X64.EXE, Проигнорировано пользователем, 1000002, 0, 1.0.80344, E042C0D1B516C229671703B0, dds, 02673636, 6B8049683F344BB43AC68E6A346D1ED6, 71B969B079BEBA0DB952399B918CDB6781AA5B5A1C3295129DF92A0DD0FA457F
HackTool.Crack, C:\USERS\SLKLO\APPDATA\ROAMING\Microsoft\Windows\Recent\avira_phantom_vpn_2.41.1.25731.lnk, Проигнорировано пользователем, 8697, 1173483, , , , , A23DDD16A04444C592E70D29EB88BB24, 4D922EA2A58945BF7DC4595CBA9E050FFB6AF8DB0298EBD7B74DA7E87F16C614
HackTool.Crack, C:\USERS\SLKLO\DOWNLOADS\AVIRA_PHANTOM_VPN_2.41.1.25731.ZIP, Проигнорировано пользователем, 8697, 1173483, 1.0.80344, , ame, , 853486084FC8B43CBBC58CA7AE02D66A, 50600D73ABC9FDF5F0F4D36158547265DB1B7F578DA994C1156BE0A09D8E9151
PUP.Optional.uTorrent.DDS, C:\USERS\SEKA\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\User Pinned\TaskBar\µTorrent.lnk, Проигнорировано пользователем, 1000002, 0, , , , , F4E92E7EA6174A113A42FB70190B4557, D3828BF3AD2FD0DEA8B7E2A836BC59FBC10E832ED6F4DAEE56FC93381ABED01B
PUP.Optional.uTorrent.DDS, C:\UTORRENT PRO\UTORRENT.EXE, Проигнорировано пользователем, 1000002, 0, 1.0.80344, B421CFC52FD1530FDE87CB99, dds, 02673636, 71208D2AA38F5F57E899DCBD483229F9, 64B1F446EC9362BBDCE49D7BA698BDDB70D0F1D2E8DFBF806074D93E33671DF0
После этого перезагрузите компьютер.

Далее:
  • Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Последнее редактирование:
1706816241875.webp
 
Предустановленное ПО не трогайте (не отмечайте галочками). Остальное чистим:
1.
  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • Убедитесь, что закрыты все браузеры.
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.

2. Удалите старые и соберите новые логи FRST.txt и Addition.txt
 
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-1623216869-4153753744-1734996442-1001\...\MountPoints2: {032c2921-8ab7-11ea-bcad-3c6aa7bceb29} - "F:\WD Drive Unlock.exe" autoplay=true
    HKU\S-1-5-21-1623216869-4153753744-1734996442-1001\...\MountPoints2: {1e13e39f-3a42-11ea-bc98-3c6aa7bceb29} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-1623216869-4153753744-1734996442-1001\...\MountPoints2: {7669d019-e921-11ea-bcb9-dd91af7f32f4} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-1623216869-4153753744-1734996442-1001\...\MountPoints2: {dbb40755-8a3e-11ea-bcac-3c6aa7bceb29} - "I:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-1623216869-4153753744-1734996442-1001\...\MountPoints2: {ef0ca27e-0f92-11ea-bc93-dfab1c3ea09c} - "E:\Lenovo_Suite.exe" 
    HKU\S-1-5-21-1623216869-4153753744-1734996442-1001\...\MountPoints2: {fddccaea-0bd2-11ea-bc92-81326992c6c5} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1623216869-4153753744-1734996442-1002\...\MountPoints2: {032c2921-8ab7-11ea-bcad-3c6aa7bceb29} - "F:\WD Drive Unlock.exe" autoplay=true
    HKU\S-1-5-21-1623216869-4153753744-1734996442-1002\...\MountPoints2: {061418f0-1bbd-11e9-bc31-34415d9f58ca} - "E:\SISetup.exe" 
    HKU\S-1-5-21-1623216869-4153753744-1734996442-1002\...\MountPoints2: {1e13e39f-3a42-11ea-bc98-3c6aa7bceb29} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-1623216869-4153753744-1734996442-1002\...\MountPoints2: {7669d019-e921-11ea-bcb9-dd91af7f32f4} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-1623216869-4153753744-1734996442-1002\...\MountPoints2: {dbb40755-8a3e-11ea-bcac-3c6aa7bceb29} - "I:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-1623216869-4153753744-1734996442-1002\...\MountPoints2: {fddccaea-0bd2-11ea-bc92-81326992c6c5} - "E:\AutoRun.exe" 
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [314]
    FirewallRules: [{52467BB0-057D-435B-BE5D-7473FEAA7514}] => (Allow) C:\Program Files (x86)\Zona\Zona.exe => Нет файла
    FirewallRules: [{FCDC4863-6E3F-4313-BDEA-220B22D3F436}] => (Allow) C:\Program Files (x86)\Zona\Zona.exe => Нет файла
    FirewallRules: [TCP Query User{FE4FF581-24BE-496A-8AD3-3A2695BD62AF}C:\program files (x86)\zona\jre\bin\javaw.exe] => (Allow) C:\program files (x86)\zona\jre\bin\javaw.exe => Нет файла
    FirewallRules: [UDP Query User{F336C57F-686B-42AE-A305-B47D86BBBDA9}C:\program files (x86)\zona\jre\bin\javaw.exe] => (Allow) C:\program files (x86)\zona\jre\bin\javaw.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
То есть, проблема сохраняется, я правильно понял?

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имякомпьютерадата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.
Подробнее читайте в руководстве Как подготовить лог UVS.
 
Спасибо. Некоторое время прошу для анализа.
 
1707065351795.webp

Может, поможет чем-то. Это после запуска установленного Malwarebytes.
 
В логах по-прежнему не видно ничего явно вредоносного.

Эта нагрузка постоянная или периодическая?
Проверьте то же самое в безопасном режиме.
 
В обычном режиме нагрузка постоянная.
В безопасном режиме нагрузка отсутствует.
 
Может, это после какого-то обновления?
 
Если в безопасном режиме проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу