Показано с 1 по 18 из 18.

Процесс System сильно загружает процессор. Обнаружен зловред через отправку на virustotal- Trojan.Diztakun.eab (заявка № 227927)

  1. #1
    Junior Member Репутация
    Регистрация
    19.05.2010
    Адрес
    Москва
    Сообщений
    107
    Вес репутации
    57

    Thumbs up Процесс System сильно загружает процессор. Обнаружен зловред через отправку на virustotal- Trojan.Diztakun.eab

    Добрый день.

    Часто процесс System загружает процессор на 15% без использования в работе ноутбука, когда на нем не запущено никаких приложений и браузеров.

    Dr.Web блокирует активность файла из папки Temp, который делает запросы в интернет. Запрос блокировал, файл удалял, но история продолжается каждый день. Отправил на Virustotal, там выдало сообщение, что это - Trojan.Diztakun.eab

    Просьба помочь с данной проблемой.


    Спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,290
    Вес репутации
    384
    Уважаемый(ая) bottka, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,579
    Вес репутации
    1086
    Сеть рабочая, есть другие компьютеры?

    Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:
    Код:
    O22 - Task (.job): Восстановление сервиса обновлений Яндекс.Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe (file missing)
    O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5D109245-B76D-4071-8593-4E0A62836A31} - \Microsoft\Windows\SMB\UninstallSMB1ServerTask (no xml)
    O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6E87AF65-8536-46FF-8906-A7627B81A8B7} - \Microsoft\Windows\termsrv\RemoteFX\RemoteFXWarningTask (no xml)
    O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{74F969C4-88BF-4CAD-A631-EEE7C6A6738F} - \Microsoft\Windows\termsrv\RemoteFX\RemoteFXvGPUDisableTask (no xml)
    O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B3FB313B-13FF-4224-B4F0-2C972B4F703C} - \Lenovo\Vantage\Lenovo.Vantage.ServiceMaintainance (no xml)
    O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E179D655-7FE6-4C90-BDAD-BD065AB4D1FE} - \Microsoft\Windows\SMB\UninstallSMB1ClientTask (no xml)
    O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EB097344-4802-4DB0-9D64-9F1D5F7204D5} - \OneDrive Standalone Update Task-S-1-5-21-3683879562-3552233142-357686721-500 (no xml)
    O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo\BatteryGauge (empty)
    O22 - Tasks: (disabled) Восстановление сервиса обновлений Яндекс.Браузера - C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe --repair (file missing)
    Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    19.05.2010
    Адрес
    Москва
    Сообщений
    107
    Вес репутации
    57
    Добрый день.


    Это подключение по Wi-Fi, есть множество других подключений к данной сети.

    HijackThis - пофиксил указанные строки.

    В приложении запрошенный лог.


    Спасибо.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,579
    Вес репутации
    1086
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.81.8 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    cexec wevtutil.exe epl Security Security.evtx
    cexec wevtutil.exe epl System system.evtx
    cexec wevtutil.exe epl Application Application.evtx
    cexec wevtutil.exe epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"
    cexec pack\7za.exe a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx
    В папке с UVS появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    19.05.2010
    Адрес
    Москва
    Сообщений
    107
    Вес репутации
    57
    Добрый день.

    Скрипт выполнен.

    Ссылка на файлообменник с запрошенным архивом - https://disk.yandex.ru/d/QHQTYRnzuGi5Vw

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,579
    Вес репутации
    1086
    Подозрительного не видно. Проблема повторяется?

    Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
    Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

    Приложите этот файл к своему следующему сообщению.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    19.05.2010
    Адрес
    Москва
    Сообщений
    107
    Вес репутации
    57
    Со вчерашнего дня не было информационных сообщений по поводу файла с папки Temp, который делает запросы в интернет.

    По вопросу загрузки ноутбука процессом System - буду мониторить ситуацию. Чтобы сильно не нагружать процессор, я на время ограничивал его производительность, а то часто разгонял систему охлаждение ноутбука из-за этого. Сейчас вернул всё обратно - буду отслеживать динамику изменений.

    Запрошенный файл во вложении.


    Спасибо.

    Добавлю комментарий, что ситуация с загрузкой процессора продолжается. Возможно, что уже проблема не с вирусами.
    Я написал обращение к Вам после обнаружения зловреда через сервис- Virustotal.

    В любом случае, огромное спасибо. Жду обратной связи, требуется ли ещё произвести обследования системы.
    Вложения Вложения
    Последний раз редактировалось bottka; 16.12.2022 в 15:55.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,579
    Вес репутации
    1086
    Хвосты от антивирусов остались, Kaspersky Security Cloud и Comodo, надо почистить.

    Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

    Нажмите кнопку Сканировать.

    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    19.05.2010
    Адрес
    Москва
    Сообщений
    107
    Вес репутации
    57
    Добрый день.


    Запрошенные логи во вложении, два лога в архиве.

    К сожалению, сегодня утром опять файл из папки Temp с расширением.exe выполнял запросы в интернет, о чем сообщил фаервол Dr.web.

    Чисткой остатков от других антивирусов займусь.


    Спасибо.
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,579
    Вес репутации
    1086
    Цитата Сообщение от bottka Посмотреть сообщение
    К сожалению, сегодня утром опять файл из папки Temp с расширением.exe выполнял запросы в интернет, о чем сообщил фаервол Dr.web.
    Есть возможность упаковать этот файл в архив с паролем, выложить в облако и сообщить ссылку и пароль в личном сообщении?

    Цитата Сообщение от bottka Посмотреть сообщение
    Чисткой остатков от других антивирусов займусь.
    Это сделаем в FRST, чуть позже.
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    19.05.2010
    Адрес
    Москва
    Сообщений
    107
    Вес репутации
    57
    Ответил в личном сообщении.

    Выполнил указанные инструкции.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,579
    Вес репутации
    1086
    Вердикт: это не троян, детект только от двух не самых известных антивирусов, Dr. Web ругается не на сам файл, а на его попытку сделать запрос в интернет.
    Я бы разрешил, это временный файл пытается обновить какую-то программу, скорее всего.

    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM-x32\...\Run: [] => [X]
    2022-12-14 09:31 - 2021-12-21 16:05 - 003438921 _____ C:\WINDOWS\system32\DebugTrace.txt
    AV: COMODO Antivirus (Disabled - Out of date) {05BC7AB5-FF0E-71EC-1054-15DA19B62DC7}
    AV: Kaspersky Security Cloud (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
    FW: Kaspersky Security Cloud (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
    FW: COMODO Firewall (Disabled) {3D87FB90-B561-70B4-3B0B-BCEFE7656ABC}
    StartBatch:
    del /s /q C:\Windows\Temp\*.*
    del /s /q "%userprofile%\AppData\Local\temp\*.*"
    sfc /scannow
    endbatch:
    Reboot:
    End::
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    WBR,
    Vadim

  15. #14
    Junior Member Репутация
    Регистрация
    19.05.2010
    Адрес
    Москва
    Сообщений
    107
    Вес репутации
    57
    Добрый день.

    Как будет следующий запрос этого файла - дам ему разрешение на доступ в интернет.

    Выполнил указания. Лог приложил к сообщению.


    Спасибо.
    Вложения Вложения
    • Тип файла: 7z Fixlog.7z (41.3 Кб, 1 просмотров)

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,579
    Вес репутации
    1086
    Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
    Компьютер перезагрузится.

    Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
    Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

    Приложите этот файл к своему следующему сообщению.
    WBR,
    Vadim

  17. #16
    Junior Member Репутация
    Регистрация
    19.05.2010
    Адрес
    Москва
    Сообщений
    107
    Вес репутации
    57
    Выполнил указания выше.


    Лог выполнения программы - во вложении сообщения.

    Спасибо.
    Вложения Вложения

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,579
    Вес репутации
    1086
    Обновите браузеры, недавно были закрыты серьёзные уязвимости:
    Mozilla Firefox (x64 ru) v.98.0.2 Внимание! Скачать обновления
    ^Проверьте обновления через меню Справка - О Firefox!^
    Google Chrome v.105.0.5195.127 Внимание! Скачать обновления
    ^Проверьте обновления через меню Справка - О браузере Google Chrome!^
    В остальном - порядок.
    WBR,
    Vadim

  19. #18
    Junior Member Репутация
    Регистрация
    19.05.2010
    Адрес
    Москва
    Сообщений
    107
    Вес репутации
    57
    Все рекомендации по обновлению будут выполнены.

    Большое спасибо за помощь.

  • Уважаемый(ая) bottka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 19.08.2016, 19:57
    2. Ответов: 2
      Последнее сообщение: 18.07.2010, 21:02
    3. Ответов: 6
      Последнее сообщение: 06.05.2010, 19:39
    4. Процесс system загружает процессор
      От lap в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 01:42
    5. Ответов: 1
      Последнее сообщение: 16.05.2007, 00:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00320 seconds with 19 queries