Процесс System сильно загружает процессор. Обнаружен зловред через отправку на virustotal- Trojan.Diztakun.eab
Добрый день.
Часто процесс System загружает процессор на 15% без использования в работе ноутбука, когда на нем не запущено никаких приложений и браузеров.
Dr.Web блокирует активность файла из папки Temp, который делает запросы в интернет. Запрос блокировал, файл удалял, но история продолжается каждый день. Отправил на Virustotal, там выдало сообщение, что это - Trojan.Diztakun.eab
Просьба помочь с данной проблемой.
Спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) bottka, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
Со вчерашнего дня не было информационных сообщений по поводу файла с папки Temp, который делает запросы в интернет.
По вопросу загрузки ноутбука процессом System - буду мониторить ситуацию. Чтобы сильно не нагружать процессор, я на время ограничивал его производительность, а то часто разгонял систему охлаждение ноутбука из-за этого. Сейчас вернул всё обратно - буду отслеживать динамику изменений.
Запрошенный файл во вложении.
Спасибо.
Добавлю комментарий, что ситуация с загрузкой процессора продолжается. Возможно, что уже проблема не с вирусами.
Я написал обращение к Вам после обнаружения зловреда через сервис- Virustotal.
В любом случае, огромное спасибо. Жду обратной связи, требуется ли ещё произвести обследования системы.
Последний раз редактировалось bottka; 16.12.2022 в 15:55.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Вердикт: это не троян, детект только от двух не самых известных антивирусов, Dr. Web ругается не на сам файл, а на его попытку сделать запрос в интернет.
Я бы разрешил, это временный файл пытается обновить какую-то программу, скорее всего.
Выделите и скопируйте в буфер обмена следующий код:
Код:
Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
2022-12-14 09:31 - 2021-12-21 16:05 - 003438921 _____ C:\WINDOWS\system32\DebugTrace.txt
AV: COMODO Antivirus (Disabled - Out of date) {05BC7AB5-FF0E-71EC-1054-15DA19B62DC7}
AV: Kaspersky Security Cloud (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
FW: Kaspersky Security Cloud (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
FW: COMODO Firewall (Disabled) {3D87FB90-B561-70B4-3B0B-BCEFE7656ABC}
StartBatch:
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
sfc /scannow
endbatch:
Reboot:
End::
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
Обновите браузеры, недавно были закрыты серьёзные уязвимости:
Mozilla Firefox (x64 ru) v.98.0.2 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Firefox!^
Google Chrome v.105.0.5195.127 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: