Доброго времени!
Система после запуска дико тормозит в диспетчере 100% утилизация винта + аномально много процессов от Хрома.
Логи на скрепке.
Printable View
Доброго времени!
Система после запуска дико тормозит в диспетчере 100% утилизация винта + аномально много процессов от Хрома.
Логи на скрепке.
Уважаемый(ая) [B]Бумбарам[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Скачайте, распакуйте и запустите [url=https://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GnuWin32\Wget\Uninstall Wget-1.11.4.lnk" -> ["C:\Program Files (x86)\GnuWin32\uninstall\unins000.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GnuWin32\Wget\doc\wget\1.11.4\wget-1.11.4\wget.pdf.lnk" -> ["C:\Program Files (x86)\GnuWin32\doc\wget\1.11.4\wget-1.11.4\wget.pdf"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GnuWin32\Wget\man\pdf\wget-man.pdf.lnk" -> ["C:\Program Files (x86)\GnuWin32\man\pdf\wget-man.pdf"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GnuWin32\Wget\doc\wget\1.11.4\wget-1.11.4\wget.hlp.lnk" -> ["C:\Program Files (x86)\GnuWin32\doc\wget\1.11.4\wget-1.11.4\wget.hlp"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GnuWin32\Wget\wget-man.pdf.lnk" -> ["C:\Program Files (x86)\GnuWin32\man\pdf\wget-man.pdf"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GnuWin32\Wget\wget.pdf.lnk" -> ["C:\Program Files (x86)\GnuWin32\doc\wget\1.11.4\wget-1.11.4\wget.pdf"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GnuWin32\Wget\wget.hlp.lnk" -> ["C:\Program Files (x86)\GnuWin32\doc\wget\1.11.4\wget-1.11.4\wget.hlp"]
>>> "C:\Users\Амина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Construct 2.lnk" -> ["C:\Program Files\Construct 2\Construct2.exe"][/CODE]Отчёт о работе прикрепите.
Какие именно угрозы в защитнике?
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Отработано, логи на скрепке.
Угрозы из Win антивируса
[ATTACH=CONFIG]688242[/ATTACH]
Логи неполные, переделайте, пожалуйста.
Я так понял проблема с логами frst - переделал.
Лог ClearLNK не переделывал.
Заметил еще такую особенность. При отключенной сети, падает нагрузка на винт со 90+% до 30-50%.
Посмотрите в журнале защиты, в каких файлах угрозы и запустите рекомендованные действия в защитнике.
Когда высокая загрузка диска, зайдите в Настройки -> Обновление и безопасность, проверьте, возможно обновления устанавливаются, как раз на этой неделе вышли плановые.
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3915367445-2351684103-2757824591-1004\...\MountPoints2: {bb9c7ddf-f6bf-11ea-99e0-84ef181c5fb5} - "F:\SETUP.EXE"
HKU\S-1-5-21-3915367445-2351684103-2757824591-1004\...\MountPoints2: {bb9c7e18-f6bf-11ea-99e0-84ef181c5fb5} - "G:\MUISETUP.EXE" /AUTORUN
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Нет файла
FirewallRules: [TCP Query User{3B82B5B4-70C2-4144-A750-81E5E900E6BE}D:\sdi_rus\sdi_x64_r1909.exe] => (Block) D:\sdi_rus\sdi_x64_r1909.exe => Нет файла
FirewallRules: [UDP Query User{5C35AC3D-259C-4769-A4C2-51223F5CA18D}D:\sdi_rus\sdi_x64_r1909.exe] => (Block) D:\sdi_rus\sdi_x64_r1909.exe => Нет файла
FirewallRules: [{A85B5B7F-1091-4C9D-AF5D-885217688C7C}] => (Allow) C:\Users\User\AppData\Local\Temp\DriverPack-20200914213016\tools\aria2c.exe => Нет файла
FirewallRules: [{56691B2B-A716-43EB-ADC6-AC77D07F3F2F}] => (Allow) C:\Users\User\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
FirewallRules: [{06FBC1F2-8B55-46E1-91B5-AAF0800FFD6E}] => (Allow) C:\Users\User\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{2264EE77-B107-4D78-B1E6-EBFFFF9F1302}] => (Allow) C:\Users\User\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{43B694B2-DF09-4F35-8ED3-197261488E4D}] => (Allow) C:\Users\User\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{98D81527-0F12-4DFE-AF8F-AF4143FB1C19}] => (Allow) C:\Users\User\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{C1A0A05C-7501-4149-8956-166A57C072DA}] => (Allow) LPort=3306
FirewallRules: [{645AC7F0-AFBD-49A8-AF7A-6AC7A8FF8D4F}] => (Allow) LPort=33060
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
ipconfig /flushdns
sfc /scannow
endbatch:
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите [COLOR="#FF0000"]один раз[/COLOR] [B]Исправить[/B] и [COLOR="#FF0000"]подождите[/COLOR]. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Исправления выполнил, логи на скрепке.
В винде угрозы удалил.
Большие обновления на ОС ставил в начале недели. Новых обновлений винда не видит.
Диск проверял Aida (думал сыпется) - тесты показали все норм.
После ребута диск лежал в полке (45 минут) - сейчас отпустило 20-30%.
Мистика.
[B]UPD[/B]
Ребутнулся, угрозы в виндовом антивирусе вернулись.
Винт в полке.
Это явно не из-за вирусов. Задумайтесь о переносе системы на SSD.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Переименовал, перегрузил.
От угроз в виндвом антивире избавиться получиться?
[ATTACH=CONFIG]688251[/ATTACH]
Писал выше: посмотрите в журнале защиты, в каких файлах угрозы.
Покажите скриншотом.
Пардон, пропустил.
Стремный какой-то Driver Pack Solution (место размещения смущает) и возвращается после удаления.
[ATTACH=CONFIG]688252[/ATTACH]
А может быть такое - в Хроме открыто шесть вкладок, а процессов в диспетчере висит 36 штук?
[QUOTE=Бумбарам;1527417]А может быть такое - в Хроме открыто шесть вкладок, а процессов в диспетчере висит 36 штук?[/QUOTE]
Для браузеров на базе Chromium это норма.
[QUOTE=Бумбарам;1527417]Стремный какой-то Driver Pack Solution (место размещения смущает) и возвращается после удаления.[/QUOTE]
Странно, по логам FRST его не было. Может, с каким-то приложением прицепом идёт? Почистим ещё раз.
Дальнейшие действия выролните в безопасном режиме загрузки системы.
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
C:\Users\User\AppData\Roaming\DRPSu
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
StartBatch:
del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
endbatch:
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
Логи на скрепке.
Угроз в антивире не обнаружено.
Завершаем.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Большое Спасибо!!!