lsass.exe грузит ЦП

Опять все та же история с этим файлом, пару дней назад подхватил вирус, почистил антивирусом, почистил реестр но при небольшой нагрузки на проц типо игр и тд, этот файл грузить от 40 до 90%, помогите решить проблему, уже намучился! и я не уверен что полностью убрал все вирусы!

Уважаемый(ая) [B]Jutonish[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[QUOTE=Jutonish;1511226]Опять все та же история с этим файлом[/QUOTE]

Здравствуйте,

Вы ранее обращались к нам ранее? Если да, чего не следуете правилам запроса о помощи?
[URL="https://virusinfo.info/pravila.html"]
правилах оформления запроса о помощи[/URL].

[QUOTE=SQ;1511238]Здравствуйте,

Вы ранее обращались к нам ранее? Если да, чего не следуете правилам запроса о помощи?
[URL="https://virusinfo.info/pravila.html"]
правилах оформления запроса о помощи[/URL].[/QUOTE]

Нет не обращался!!

Если вам нужна помощь, ознакомьтесь с правилами форума и приложите пожалуйста логи.

[QUOTE=SQ;1511272]Если вам нужна помощь, ознакомьтесь с правилами форума и приложите пожалуйста логи.[/QUOTE]
вроде так

Здравствуйте,

Логи по каким-то причинам не полные.


AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Malwarebytes)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt[/COLOR][/B] (где x - любая цифра).[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

[QUOTE=SQ;1511293]Здравствуйте,

Логи по каким-то причинам не полные.


AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Malwarebytes)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt[/COLOR][/B] (где x - любая цифра).[*]Прикрепите отчет к своему следующему сообщению.[/LIST][/QUOTE]
готово

есть, а там где просили скрипт выполнить, просто его выполнить проверить еще раз и приложить логи?

[url=https://virusinfo.info/showthread.php?t=218752&p=1480599&viewfull=1#post1480599]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

есть

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.corovin.info/FRST_Icon.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"SigCheckExt"[/i].
[img]https://i.corovin.info/FRST.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]

так

Сами настраивали?
[CODE]
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;gaming-broadcasting;gaming-gamebar;gaming-gamedvr;gaming-gamemode;gaming-xboxnetworking;cortana-language;cortana-moredetails;cortana-notifications;cortana-permissions;cortana-talk (the data entry has 69 more characters).
[/CODE]

[LIST][*] Закройте и сохраните все открытые приложения.[*] Выделите следующий код::
[CODE]
Start::
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {2F482B42-6412-4924-9E64-EA7923DB28FB} - \GoogleUpdateTaskMachineCore -> No File <==== ATTENTION
Task: {37500E57-E3D1-4CBD-AB58-06B7189CDDD9} - \AdobeGCInvoker-1.0 -> No File <==== ATTENTION
Task: {48F36F05-807C-4FA3-8ABA-A92D42496A3B} - \GoogleUpdateTaskMachineUA -> No File <==== ATTENTION
Task: {6E98F3FD-08FE-4ED6-9B63-87CDE442B10F} - \Adobe Flash Player Updater -> No File <==== ATTENTION
Task: {AC8FA8D1-C72C-4537-9CF5-2F13F4D7418D} - \Opera GX scheduled Autoupdate 1581015355 -> No File <==== ATTENTION
Task: {BA5A1390-0CD6-4C15-AF1F-99094BC5A6E3} - \update-sys -> No File <==== ATTENTION
Task: {D274DB23-3592-4F6C-9441-33FA9B18F294} - \Microsoft\Windows\Windows Error Reporting\SystemInfo -> No File <==== ATTENTION
Task: {DFA0FEB4-B6C6-4CEE-B5A3-FEA1A46CA8C0} - \Updates\jCzhHgjR -> No File <==== ATTENTION
Task: {FBE3F136-15C4-441E-8D9A-63260E0F0807} - \Adobe Flash Player PPAPI Notifier -> No File <==== ATTENTION
CHR StartupUrls: Default -> "hxxp://www.yandex.ru/?win=45&clid=1787308","hxxp://mail.ru/cnt/10445?gp=802811","hxxp://yandex.ru/?clid=123448","hxxp://mixidj.delta-search.com/?affID=121124&babsrc=HP_ss&mntrId=CC741C7508E7AF5A","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxp://mail.ru/cnt/10445?gp=itva","hxxps://www.google.com/","hxxps://www.google.com/","hxxp://mail.ru/cnt/10445?gp=811009","hxxp://mail.ru/cnt/10445?gp=821268","hxxp://mail.ru/cnt/10445?gp=811560","hxxp://mail.ru/cnt/10445?gp=811138"
File: C:\Program Files\Common Files\Uncheater\uncheater_bgl.exe
File: C:\Windows\system32\leizhveytvn.sys
File: C:\ProgramData\KMSAuto\bin\driver\x64WDV\WinDivert.sys
File: C:\Windows\system32\EEURestart.exe
S3 leizhveytvn; \??\C:\Windows\system32\leizhveytvn.sys [X]
Folder: C:\Users\Jutonish\AppData\Roaming\Microsoft Drivers
Folder: C:\Users\Jutonish\AppData\Roaming\a2qhb4pzyv5
File: C:\Windows\system32\Drivers\Wdf71311.sys
Zip: C:\Windows\system32\Drivers\Wdf71311.sys;C:\Windows\Womtrust.dll
Folder: C:\Users\Jutonish\AppData\Roaming\st5zuotsisz
Folder: C:\Users\Jutonish\AppData\Roaming\SystemDiag
Folder: C:\Users\Jutonish\Desktop\Job-coupons
File: C:\Windows\Womtrust.dll
AlternateDataStreams: C:\Windows\tracing:? [16]
AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [386]
AlternateDataStreams: C:\Users\Jutonish\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\Jutonish\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:1CE11B51 [386]
Reboot:
End::
[/CODE][*] Скопируйте выделенный текст ([b]правой кнопкой - Копировать[/b]).[*] Запустите FRST/FRST64 (от имени администратора). [*] Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). . [*] Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

На рабочем столе образуется карантин вида [B]<date>.zip[/B] загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

нет, ничего не настраивал, не очень понимаю что там написано!
так, а после отправки на карантин что делать? или же это финал?!
и не очень понял что делать с выделенным кодом!
Fixlog.txt не крепится даже в зипе слишком много весит!

Спасибо, карантин не представляет угрозы.


Удалите старые вложения Мой кабинет => Вложения. После этого попробуйте прилодить fixlog.txt

Странно, почему он большого объема. Могли бы уточнить объем в zip, если не получиться добавить, могли бы разместить его пожалуйста на yandex или google диск?

вроде получилось!

Понятно, объем в логе из-за содержание файлов в каталоге:
[CODE]C:\Users\Jutonish\Desktop\Job-coupons[/CODE]
Он вам знаком?

Также утилита не смогла взять в карантин драйвер для анализа:
[CODE]C:\Windows\system32\Drivers\Wdf71311.sys[/CODE]
Известен ли вам этот драйвер, а то я не могу найти информацию о нем?

C:\Users\Jutonish\Desktop\Job-coupons это рабочий репозиторий на гите, а C:\Windows\system32\Drivers\Wdf71311.sys без понятия

[QUOTE=Jutonish;1511358]а C:\Windows\system32\Drivers\Wdf71311.sys без понятия[/QUOTE]

Могли бы пожалуйста загрузится в безопасный режим и заархивировать копию указанного драйвера в zip с паролем virus и отправить нам его по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

P.S. Только пожалуйста сам драйвер не трогайте, так как он может быть легитимный.

странно но меня не пускало в безопасный режим через параметры загрузки!! пустило только после прописывания в msconfig, и после того как я зашел туда нашел этот файл он мне не дал с ним ничего сделать, не в архив не в зип ничего не давал делать даже создать копию, выдавал ошибку, но получилось зип в зип но неуверен что там что-то есть така как зип внутри весит 0бт. Получилось его запаковать, только открывать без пароля и открыть в винрар, без пароля заливать его? если что я его прикрепил

Вы скопировали ссылку на это файл, если есть возможность скопируйте указанный драйвер на рабочий стол и проверьте его пожалуйста на [URL="http://virustotal.com"]virustotal.com[/URL] или заархивируйте его и отправить его как карантин.

virustotal.com все нормально не выдал ничего, дак а что в логах вообще происходит с компьютером?

Ничего вредоносного не замечено.


Скачайте программу [url="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/url] и [url="http://virusinfo.info/showthread.php?t=121767"]сделайте полный образ автозапуска uVS[/url].

а как тогда выявить поломку?

В логах также не обнаружено ничего плохого, возможно, что-то системное.

Попробуйте воспроизвести проблему в режиме [URL="https://support.microsoft.com/ru-ru/help/929135/how-to-perform-a-clean-boot-in-windows"]чистой загрузке,[/URL] возможно сторонее по мешает корректной работе ПК.

Здравствуйте,

В последних логах после повторного анализа, повилось подозрение на руткит.

[CODE](!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10740
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10744
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10748
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10752
...
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10820
[/CODE]

- Покажите лог [URL="http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe"]TDSSKiller[/URL]
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)


P.S. пожалуста самостоятельно ничего не удаляйте.


Знаком ли Вам следующий файл?
[CODE]C:\USERS\JUTONISH\DESKTOP\IROOT_1_02.EXE[/CODE]

Он по результату [URL="https://www.virustotal.com/gui/file/def991bb1fd012dd3b536f714511099ad896e804198d3f37bea31003d40ded54/detection"]Virustotal[/URL] весьма подозрительный.

Код:
C:\USERS\JUTONISH\DESKTOP\IROOT_1_02.EXE
да этой программы уже нет
а вот с файлом lsass какие-то проблемы

Страно логе ничего.

Проверьте пожалуйста ваш ПК утилитой [URL="https://support.kaspersky.ru/viruses/kvrt2015"]KVRT[/URL].

Код:
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10740
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10744
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10748
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10752
...
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10820

а это что такое вообще?
и где отчет сохраняется от KVRT?

KVRT что-то нашел?

[QUOTE=Jutonish;1511430]Код:
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10740
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10744
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10748
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10752
...
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10820

а это что такое вообще?
[/QUOTE]
На данный момент неизвестно, так как в логах ничего конкретного нет. Но обычно это сигнализирует на нахождение руткита, у которого есть функции скрытия себя в системе.

[QUOTE=Jutonish;1511430]
и где отчет сохраняется от KVRT?[/QUOTE]

В каталоге C:\KVRT могли бы его пожалуйста заарзивировать и приложить

выдал пару файлов странных, и нужно ли указывать в настройке проверки системного раздела?

Странно какой-то лог маленький. Вы сканировали по умолчанию? Если проверка была только, памяти и активных процессов, могли бы проверить весь системный диск?

Найдено только следующее:

[CODE]
C:\Program Files\Process Hacker 2\ProcessHacker.exe" Info="not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen"
[/CODE]

Вы сами его устанавливали?

Process Hacker да сам ставил, запустил проверку, около 30 минут займет! Такой вопрос, вы мне можете немного рассказать как вообще тестить все эти темы по логам и вообще определять что на компе, майнер, удаленный доступ и тд!! я за эти 3 дня узнал много интересного по вирусологии!!

[QUOTE=Jutonish;1511436]Process Hacker да сам ставил, запустил проверку, около 30 минут займет! Такой вопрос, вы мне можете немного рассказать как вообще тестить все эти темы по логам и вообще определять что на компе, майнер, удаленный доступ и тд!! я за эти 3 дня узнал много интересного по вирусологии!![/QUOTE]

Там много чего рассказывать нужно, если Вам это тема интересна , то можете записать в студенты, когда будет набор, там будут различные задания которые помогут разобраться во всем. Также есть очень много случаев, когда вредоносное ПО не видно на активной системе, в этом случае необходимо будет собрать логи в режиме восстановления или WinRE, но это после проверки KVRT.

Буду ждать от Вас информации о проверке.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[QUOTE=Jutonish;1511399]virustotal.com все нормально не выдал ничего, дак а что в логах вообще происходит с компьютером?[/QUOTE]

По возможности в безопасном режиме прикрепите в карантин указанный файл, так как есть вероятности что антивирусные вендоры его не дектируют как вредоносный файл.

[CODE]C:\Windows\system32\Drivers\Wdf71311.sys [/CODE]

вот

[QUOTE=SQ;1511437]
По возможности в безопасном режиме прикрепите в карантин указанный файл, так как есть вероятности что антивирусные вендоры его не дектируют как вредоносный файл.

[CODE]C:\Windows\system32\Drivers\Wdf71311.sys [/CODE][/QUOTE]

Сможете предоставить пожалуйста?

правильно я понял зайти в безопасный режим создать ярлык этого файла и запаковать в зип? иначе на прямую он мне не дает ничего сделать!!

[QUOTE=Jutonish;1511441]правильно я понял зайти в безопасный режим создать ярлык этого файла и запаковать в зип? иначе на прямую он мне не дает ничего сделать!![/QUOTE]

Нет, необходимо его скопировать на рабочий стол, затем заархивировать в zip далее в нормальном режиме загрузить его по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Если не получается сообщите пожалуйста об этом.

скинул в карантин, но там ярлык этого файла, когда его пробую копировать пишет файл нельзя копировать так как он пуст! ну и при добавление его в архив таже история