Странная активность ПК

i-9980hk / ram 36gb

При работе в активном режиме , загрузка процессора не выше 5-10%
При выходе из пользователя и оставления ПК в неактивном режиме, через какое то время загрузка ПК вырастает до 30-50%
Все что можно убрано из автозагрузки, родной антивирус отключен принудительно.

ПК куплен в Китае, может быть это майнинг поставленный в китае ?
Что такое начинает происходить в неактивном режиме , что так грузит процессор ?
При входе в учетную запись , загрузка моментально падает до 2-5%

Заранее спасибо за помощь.
Все логи собрал.

Уважаемый(ая) [B]Stas105[/B], спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Отключите временно встроенный антивирус ("Защитник") - у него ложное срабатывание на компоненты используемой далее программы.
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].

Сделал полный образ автозапуска uVS

[QUOTE](!) Процесс нагружает CPU: C:\WINDOWS\SYSWOW64\DLLHOST.EXE
(!) Процесс нагружает CPU: C:\WINDOWS\SYSWOW64\WBEM\WMIC.EXE[/QUOTE]
Что-то есть, руткит или буткит.

Сделайте проверку с помощью [URL="https://www.kaspersky.ru/downloads/thank-you/free-virus-removal-tool"]KVRT[/URL]. Прикрепите упакованным в архив содержимое папки C:\KVRT_Data.

[ATTACH=CONFIG]683931[/ATTACH]

Сделал проверку - угроз не найдено.

Есть под рукой LiveCD/LiveUSB с Windows?

[QUOTE=Vvvyg;1517102]Есть под рукой LiveCD/LiveUSB с Windows?[/QUOTE]

К сожалению нет, ПК получил уже с предустановленной системой.

Проверьте систему с помощью [URL="https://free.drweb.ru/download+cureit+free/?lng=ru"]Dr. Web CureIt![/URL].
Если ничего не найдёт, ещё такой лог сделайте:

Скачайте и запустите TDSSKiller: [url]http://support.kaspersky.ru/viruses/disinfection/5350[/url].
Файл C:\TDSSKiller.***_log.txt приложите в архиве.
(где *** - версия программы, дата и время запуска.)

[QUOTE]Проверьте систему с помощью Dr. Web CureIt!.
Если ничего не найдёт, ещё такой лог сделайте:[/QUOTE]

Проверено, нашлось три угрозы:
2 x Tool.Nssm.6
1 x Hosts

Скриншот и лог прилагаю.

[ATTACH=CONFIG]683935[/ATTACH]

[QUOTE]Скачайте и запустите TDSSKiller: [url]http://support.kaspersky.ru/viruses/disinfection/5350[/url].
Файл C:\TDSSKiller.***_log.txt приложите в архиве.[/QUOTE]

Угроз не обнаружено.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Перезагрузил ПК, снова на всякий случай проверил др.вебом - чисто.

Через 20 минут, после того как вышел из windows сессии, нагрузка снова выросла до 30-50%
Значит найденные угрозы, не были причиной загрузки процессора.

Да, Nssm и hosts это не угрозы, на самом деле.
Ждём лог TDSSKillerб возможно, он что-то покажет, если даже явных угроз не найдёт.

[QUOTE]Ждём лог TDSSKillerб[/QUOTE]

Лог TDSSKiller приложил

Нет ничего подозрительного. Давайте так пробовать.

Загрузите и распакуйте образ диска [URL="https://yadi.sk/d/qW_7cFRD_Z8_lw"]winpe10uVS4.0.ISO[/URL] и запишите на флэшку с помощью программы [URL="https://www.ultraiso.com/uiso9_pe.exe"]UltraISO[/URL].
1. Вставьте флэшку в USB разъём.
2. Откройте в UltraISO образ, который нужно записать на флэш-диск.
3. Меню - Самозагрузка - записать образ Жесткого диска. ! при записи информация на usb-диске будет полностью стерта !
4. Форматируете вначале usb-disk, затем записываете образ iso.
5. Включите компьютер, с которого нужно загрузиться, при старте системы войдите в BIOS, настройте очередность загрузки с USB, либо выберите загрузочное устройство при старте по клавише F8/F12 - в зависимости от материнской платы и биоса.
6. UVS стартует автоматически при загрузке с WinPE.
Выберите каталог Windows для анализа автозапуска вашей системы на HDD/SSD. Внимание, по умолчанию выбрана загруженная с WinPE, что бесполезно для анализа.
Используйте диалог выбора каталога Windows (выбрать из дерева каталогов системную папку)? затем - "Запустить под текущим пользователем".
7. В главном меню программы выберите пункт: Файл - сохранить полный образ автозапуска. По запросу программы сохраните файл образа автозапуска на съемный диск для последующей загрузки во вложения к теме. Файл образа автозапуска автоматически будет упакован в архив с расширением .7z, прикрепите его к своему следующему сообщению, либо выложите на облачном сервисе и дайте ссылку.

Все сделано как вы указали.

Отчет большой залил в Google Docs, доступ по ссылке : [URL="https://drive.google.com/file/d/18HJeRCNZedgWgpozSfjgE0F7nA8chAST/view?usp=sharing"]https://drive.google.com/file/d/18HJeRCNZedgWgpozSfjgE0F7nA8chAST/view?usp=sharing[/URL]

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.

В сети есть другие компьютеры? Система обновляется?

[QUOTE]SecurityCheck by glax24 & Severnyj.[/QUOTE]

Выполнено, отчет приложен к сообщению.

[QUOTE]В сети есть другие компьютеры? [/QUOTE]

Да, в сети есть еще несколько компьютеров, но данный компьютер в основном общается по сети с модулями умного дома типа TCP508K ([URL="https://aliexpress.ru/i/4000636212103.html"]https://aliexpress.ru/i/4000636212103.html[/URL]). До этого стоял другой компьютер, с той же самой начинкой, никаких перегрузок системы не наблюдалось (ПК заменен по причине выхода из строя материнской платы).


[QUOTE]Система обновляется?[/QUOTE]

Да , обновляется, на текущий момент все обновления стоят.

Посмотрел внимательнее образ с рабочей системы.
Честно говоря, ничего криминального не вижу. Да, 2 системных процесса нагрузку дают, но невысокую, для майнеров характерно больше, 50% и выше. Сетевой активности соответствующей нет, даже с загрузочного диска плохого не найдено. Особенность работы системы и софта.

Можете 2 этих файла проверить на virustotal.com[CODE]C:\Users\HOME-SERVER\Desktop\Modbus Server\ModbusServer.exe
C:\Users\HOME-SERVER\Desktop\Security Server\SecurityServer.exe[/CODE]и дать ссылки на результат.

[QUOTE]Можете 2 этих файла проверить на virustotal.com[/QUOTE]

Эти две программы написаны мною (Rad Studio 10.1), одна служит для опроса Modbus устройств , а вторая система безопасности опрашивающая датчики безопасности (движения, пожарные и т.д) и все это пишется в MySQL для дальнейшей обработки в системе умного дома. Софты чистые.

Написал программу аналог TaskManager (пишу загрузку и процессы в MySQL), так вот что интересно, в фоновом режиме моя программа не показывает загрузку процессора, так как это показывает монитор загрузки Windows работая в фоне. Мой софт показывает , что нагрузка почти не растет. Windows монитор построен на WMI, мой на опросе живых процессов и расчет их процессорного времени. Возможно мой софт не видит какого либо процесса в фоне, что видит WMI.

В общем сам пока в тупике.

У меня тоже идей нет.

Спасибо большое за помощь и ваше потраченное время.
Я продолжу искать причину, если что то найду напишу.
Еще раз спасибо, вы сделали все что возможно.