Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Процесс powershell.exe грузит систему. (http://forum.oszone.net/showthread.php?t=349894)

GorNaDrak 28-10-2021 14:42 2969962
Процесс powershell.exe грузит систему.
 
Доброго дня! Заметил, что компьютер часто начинает безбожно тормозить. При проверке в диспетчере задач система приходит тут же в норму.
Сторонней программой (AnVir Task Manager) проверил, что систему начинает грузить процесс Powershell.exe (c:\windows\system32\windowspowershell\v1.0\powershell.exe).
Заблокировав его в том же AnVir Task Manager система приходит в норму, но понимаю, что это не нормально.
Так же, после этого, периодически стала виснуть "наглухо" вся система на 20-30 сек. (не реагируя вообще ни на что), приходя после этого в норму.
Прогонял систему в безопасном режиме через Dr. Web Cureit - всё в порядке.

Sandor 28-10-2021 15:40 2969973
Здравствуйте!

Нужны логи:
Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

GorNaDrak 28-10-2021 15:49 2969974
Вложений: 1
Готово.

Sandor 28-10-2021 15:57 2969981
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Windows\Profile\1.vbs', '');
 DeleteSchedulerTask('Microsoft\Windows\Diagnosis\Diagnosis');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinNAT');
 DeleteFile('C:\ProgramData\Windows\Profile\1.vbs', '64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

GorNaDrak 28-10-2021 16:18 2969985
Вложений: 1
Всё сделал.

Sandor 28-10-2021 16:24 2969986
Проблема решена?

GorNaDrak 28-10-2021 16:47 2969993
Вроде бы да, большое спасибо! Если что - напишу.

Sandor 28-10-2021 16:48 2969994
Проделайте завершающие шаги:

1. Выполните процедуру, описанную на этой странице.
Ссылку на результат анализа приведите здесь, пожалуйста.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

GorNaDrak 28-10-2021 17:14 2970000
Вложений: 1
Ссылка на результат анализа (пока не готов): https://defendium.info/aqs/qr_report...A780304E4FCFF3

Sandor 29-10-2021 08:53 2970052
------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (32-bit x86) v.8.1.5 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.80 (64-разрядная) v.5.80.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent Web v.1.2.3 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 291 (64-bit) v.8.0.2910.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u301-windows-x64.exe)^
Java SE Development Kit 8 Update 221 (64-bit) v.8.0.2210.11 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE Development Kit (jdk-16_windows-x64_bin.exe).
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.12 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Pale Moon 28.17.0 (x64 en-US) v.28.17.0 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Ace Stream Media 3.1.32 v.3.1.32 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!


Читайте Рекомендации после лечения.


Время: 12:26.

Время: 12:26.
© OSzone.net 2001-