Сильно нагружается процессор

**Vladikz** · 09.08.2022, 16:34

Здравствуйте, словил вирус. Сильно нагружается процессор, в быстром режиме начинают работать куллеры, после открытия почти сразу закрывается диспетчер задач и любой браузер. Помогите пожалуйста, буду очень благодарен!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 09.08.2022, 16:36

Уважаемый(ая) Vladikz, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vladikz** · 09.08.2022, 16:57

Ни один сайт в браузерах не открывается, выдает ошибку 404 и блокировку.
report1:

script ver. 2021.04.20
AVZ (с) Лаборатория Касперского, 2021, версия 5.61 от 09.08.2022
DefaultLanguage = 0419
Используется локализация на русском языке.
Сбор логов запустили в 2022.08.09-16:58:45
C:\Users\Home PC\Desktop\Новая папка\AutoLogger\
C:\Users\HOMEPC~1\AppData\Local\Temp\
AutoLogger запущен с правами локального администратора.
Повышение привилегий успешно.
Это не сервер.
Дата последнего обновления = 09.08.2022 04:00:09
Текущая дата = 09.08.2022 16:58:45
Базы актуальны.
Система x64 битная, сейчас будет запущено выполнение стандартного скрипта №2.

report2:

script ver. 2021.04.20
AVZ (с) Лаборатория Касперского, 2021, версия 5.61 от 09.08.2022
Используется локализация на русском языке.
Второй этап сбора логов запустили в 2022.08.09-16:58:46
C:\Users\Home PC\Desktop\Новая папка\AutoLogger\
C:\Users\HOMEPC~1\AppData\Local\Temp\
Ключи командной строки: HiddenMode=0
Дата последнего обновления = 09.08.2022 04:00:09
Текущая дата = 09.08.2022 16:58:46
Базы актуальны.
Работа скрипта продолжится через 20 секунд...
В реестре уже был указан путь для сохранения дампов: C:\Users\Home PC\Desktop\Новая папка\AutoLogger\CrashDumps
В реестре уже был указан параметр для тихого сохранения дампов.
Для браузера по умолчанию значение ProgId = operastable
Opera браузер по умолчанию.
Opera - завершилось, вернув код = 0
Internet Explorer - завершилось, вернув код = 1

Проверка спустя некоторое время прерывается.

**Vvvyg** · 09.08.2022, 20:45

Попробуйте в безопасном режиме.

**Vladikz** · 09.08.2022, 22:02

CollectionLog-2022.08.09-21.47.zip
В безопасном режиме получилось

**Vvvyg** · 09.08.2022, 23:09

В безопасном режиме выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 DeleteFile('C:\Program Files\rdp wrapper\rdpwrap.dll', '');
 DeleteFile('C:\ProgramData\realtekhd\taskhost.exe', '');
 DeleteFile('C:\Programdata\RealtekHD\taskhost.exe', '64');
 DeleteFile('C:\ProgramData\realtekhd\taskhostw.exe', '');
 DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe', '64');
 DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe', '64');
 DeleteFile('C:\ProgramData\windowstask\amd.exe', '');
 DeleteFile('C:\ProgramData\windowstask\appmodule.exe', '');
 DeleteFile('C:\ProgramData\windowstask\audiodg.exe', '');
 DeleteFile('C:\ProgramData\windowstask\microsofthost.exe', '');
 DeleteFileMask('c:\programdata\realtekhd', '*', true);
 DeleteFileMask('C:\ProgramData\Windows Tasks Service', '*', true);
 DeleteFileMask('c:\programdata\windowstask', '*', true);
 DeleteDirectory('c:\programdata\realtekhd');
 DeleteDirectory('C:\ProgramData\Windows Tasks Service');
 DeleteDirectory('c:\programdata\windowstask');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', '64');
 DeleteSchedulerTask('Ghostery Update Task-S-1-5-21-3048560869-1260373014-1997765219-1001');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\RealtekCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\TaskCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\WinlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
ExecuteSysClean;
 ExecuteRepair(13);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [1] = eav_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [2] = avast_free_antivirus_setup_online.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [3] = eis_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [4] = essf_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [5] = hitmanpro_x64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [6] = ESETOnlineScanner_UKR.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [7] = ESETOnlineScanner_RUS.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [8] = HitmanPro.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [9] = 360TS_Setup_Mini.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [13] = AV_br.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [14] = KVRT.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [15] = cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [16] = FRST64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [17] = eset_internet_security_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [18] = esetonlinescanner.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [19] = eset_nod32_antivirus_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [20] = MBSetup.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [21] = PANDAFREEAV.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [22] = bitdefender_avfree.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [23] = drweb-12.0-ss-win.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [24] = Cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [25] = TDSSKiller.exe
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O22 - Tasks_Migrated: \Microsoft\Windows\Diagnosis\RecommendedTroubleshootingScanner - C:\WINDOWS\system32\mitigationscanner.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance - C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2104.5-0\MpCmdRun.exe -IdleTask -TaskName WdCacheMaintenance (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Cleanup - C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2104.5-0\MpCmdRun.exe -IdleTask -TaskName WdCleanup (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan - C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2104.5-0\MpCmdRun.exe Scan -ScheduleJob -ScanTrigger 55 -IdleScheduledJob (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Verification - C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2104.5-0\MpCmdRun.exe -IdleTask -TaskName WdVerification (file missing)
O22 - Tasks_Migrated: Adobe Flash Player PPAPI Notifier - C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_465_pepper.exe -check pepperplugin (file missing)
O22 - Tasks_Migrated: Adobe Flash Player Updater - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (file missing)
O22 - Tasks_Migrated: BlueStacksHelper - C:\ProgramData\BlueStacks\Client\Helper\BlueStacksHelper.exe -sr (file missing)
O22 - Tasks_Migrated: GoogleUpdateTaskMachineCore - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c (file missing)
O22 - Tasks_Migrated: GoogleUpdateTaskMachineUA - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (file missing)

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

**Vladikz** · 10.08.2022, 09:42

AV_block_remove_2022.08.10-09.38.log
Все сделал как вы сказали, вот файл.

**Vvvyg** · 10.08.2022, 14:51

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Vladikz** · 10.08.2022, 15:33

FRST.rar
Сделал как вы сказали, архив с двумя файлами.

**Vvvyg** · 10.08.2022, 16:52

Удалите во всех браузерах расширение Find-it.Pro поиск.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3048560869-1260373014-1997765219-1001\...\Run: [YandexBrowserAutoLaunch_A2FA7BD2967CF96033B5ECFA1722DCD8] => "C:\Users\Home PC\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
HKU\S-1-5-21-3048560869-1260373014-1997765219-1001\...\Run: [EUSAProcess] => "D:\Web\EUSAProcess.exe" (Нет файла)
CHR HKLM-x32\...\Chrome\Extension: [mlomiejdfkolichcflejclcbmpeaniij]
CHR Notifications: Default -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://meet.google.com; hxxps://mnthor.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz
CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxps://find-it.pro/?utm_source=distr_m","hxxps://www.google.com/"
OPR Notifications: Opera Stable -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://mnthor.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz
OPR DefaultSearchURL: Opera Stable -> hxxps://find-it.pro/search?q={searchTerms}
OPR DefaultSearchKeyword: Opera Stable -> find-it.pro
FirewallRules: [{D7EF5EB4-F56B-4B4A-B325-1B23B50DAA21}] => (Allow) C:\Program Files\BlueStacks\HD-Player.exe => Нет файла
FirewallRules: [{3DCE4820-F9EE-418A-96C5-604F1036C121}] => (Block) C:\users\home pc\cubixworld\updates\jre-8u131-win64\bin\javaw.exe => Нет файла
FirewallRules: [{7D5DC799-5AD7-49D4-9A5D-FC00A9703931}] => (Block) C:\users\home pc\cubixworld\updates\jre-8u131-win64\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{0B2C0D7F-DDC1-49E8-9B6E-7B365E3DF3B6}C:\users\home pc\cubixworld\updates\jre-8u131-win64\bin\javaw.exe] => (Allow) C:\users\home pc\cubixworld\updates\jre-8u131-win64\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{3998A3EE-9AEF-419C-A558-EF631798965E}C:\users\home pc\cubixworld\updates\jre-8u131-win64\bin\javaw.exe] => (Allow) C:\users\home pc\cubixworld\updates\jre-8u131-win64\bin\javaw.exe => Нет файла
Ghostery - Privacy Ad Blocker 1.0.0.0 (HKU\S-1-5-21-3048560869-1260373014-1997765219-1001\...\{86ce95eb-bcfc-423d-9c8d-b006c6eb57c6}) (Version: 1.0.0.0 - Ghostery) Hidden
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
ipconfig /flushdns
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

После фикса появится в списке установленных программ приложение Ghostery - Privacy Ad Blocker 1.0.0.0, деинсталлируйте его, если нет возможности удалить стандартным способом - сделайте принудительно, с помощью Geek Uninstaller Free.

**Vladikz** · 10.08.2022, 17:15

Fixlog.txt
Все сделал как вы сказали, прикладываю лог.

**Vvvyg** · 10.08.2022, 19:59

Порядок.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

**Vladikz** · 10.08.2022, 20:14

Всё сделал.
Я прикрепил новый лог, подскажите пожалуйста, что-то еще нужно исправить или всё в порядке?
CollectionLog-2022.08.10-20.13.zip

**regist** · 10.08.2022, 22:19

Vladikz, написал дополнительно в ЛС.

- - - - -Добавлено - - - - -

Пожалуйста, переместите AV block remover (AVbr) в папку в пути к которой нет пробелов и запустите её ещё раз. Свежий лог прикрепите.

**regist** · 11.08.2022, 16:24

Add. выложил свежую сборку AVbr, просьба перекачайте, в теории и с рабочего стола теперь у вас должно нормально отработать.

Сильно нагружается процессор (заявка № 227788)

Опции темы