Google Chrome запускается с подозрительными командными строками, нагружает процессор

[Andrey Volgin]

Здравствуйте!
При запуске Google Chrome начинает грузиться и греться процессор. В диспетчере задач Windows хром отображается в виде 15 процессов. Так же запускается с подозрительными командными строками:

Скрытый текст

"C:\Program Files\Google\Chrome\Application\chrome.exe" --type=renderer --video-capture-use-gpu-memory-buffer --lang=ru --device-scale-factor=1 --num-raster-threads=4 --enable-main-frame-before-activation --renderer-client-id=9 --time-ticks-at-unix-epoch=-1674629622176150 --launch-time-ticks=116848777 --mojo-platform-channel-handle=5332 --field-trial-handle=1768,i,3312295967349775034,6744811347605798268,131072 /prefetch:1 Командная строка

Скрыть

Скрытый текст

"C:\Program Files\Google\Chrome\Application\chrome.exe" --type=renderer --extension-process --video-capture-use-gpu-memory-buffer --lang=ru --device-scale-factor=1 --num-raster-threads=4 --enable-main-frame-before-activation --renderer-client-id=5 --time-ticks-at-unix-epoch=-1674629622176150 --launch-time-ticks=116688877 --mojo-platform-channel-handle=4172 --field-trial-handle=1768,i,3312295967349775034,6744811347605798268,131072 /prefetch:1 Командная строка

Скрыть

Заранее спасибо!

[Info_bot]

Уважаемый(ая) Andrey Volgin, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{34ADEFE8-89DB-43BC-8C0B-14BB34D69F6D} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{34ADEFE8-89DB-43BC-8C0B-14BB34D69F6D} - \Microsoft\Windows\BitLocker\BitLocker Encrypt All Drives (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{41F5FC9D-EE65-4CA4-A908-91B3587198E0} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{41F5FC9D-EE65-4CA4-A908-91B3587198E0} - \Microsoft\XblGameSave\XblGameSaveTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4D595DA6-BC59-47AE-A527-EC01FCE2E615} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4D595DA6-BC59-47AE-A527-EC01FCE2E615} - \Microsoft\Windows\Speech\SpeechModelDownloadTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7A7B60AA-BA42-409F-BC97-7BCFEFAD6308} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7A7B60AA-BA42-409F-BC97-7BCFEFAD6308} - \Microsoft\Windows\LanguageComponentsInstaller\Installation (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{80436C26-BC19-4930-9051-F06F0E0BA960} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{80436C26-BC19-4930-9051-F06F0E0BA960} - \Microsoft\Windows\Management\Provisioning\Logon (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{87094343-6C1F-4855-A6B9-305BA74AB761} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{87094343-6C1F-4855-A6B9-305BA74AB761} - \Microsoft\Windows\BitLocker\BitLocker MDM policy Refresh (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{90FC0857-AAA8-4C6C-9AEB-A8D34B8CAD71} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{90FC0857-AAA8-4C6C-9AEB-A8D34B8CAD71} - \Microsoft\Windows\Flighting\FeatureConfig\UsageDataReporting (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A499FA48-7057-4AC1-9702-44C6FD924058} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A499FA48-7057-4AC1-9702-44C6FD924058} - \Microsoft\Windows\LanguageComponentsInstaller\ReconcileLanguageResources (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B97C7632-DD50-4F07-8E4E-F1450795BF78} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B97C7632-DD50-4F07-8E4E-F1450795BF78} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDataCollector (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BC46E968-F012-4974-A161-1CE0F0F870D1} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BC46E968-F012-4974-A161-1CE0F0F870D1} - \Microsoft\Windows\Windows Subsystem For Linux\AptPackageIndexUpdate (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C3944556-15CF-467E-89E2-29D4BFD3EC5A} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C3944556-15CF-467E-89E2-29D4BFD3EC5A} - \Microsoft\Windows\Diagnosis\Scheduled (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C483CE25-B1C5-4BEB-AA31-5CADC8C66692} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C483CE25-B1C5-4BEB-AA31-5CADC8C66692} - \Microsoft\Windows\Shell\IndexerAutomaticMaintenance (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D5D85E31-A5D9-40D7-A5C6-8C08EE821A0E} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D5D85E31-A5D9-40D7-A5C6-8C08EE821A0E} - \Microsoft\Windows\Flighting\FeatureConfig\UsageDataFlushing (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E38739C8-A84F-4F9B-8913-DCA75BC35C79} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E38739C8-A84F-4F9B-8913-DCA75BC35C79} - \Microsoft\Windows\Management\Provisioning\Cellular (no xml)
O22 - Tasks: \Microsoft\Windows\HelloFace\FODCleanupTask - C:\Windows\System32\WinBioPlugIns\FaceFodUninstaller.exe (file missing)

Сделайте лог Malwarebytes AdwCleaner.

[Andrey Volgin]

Сделал фикс HijackThis. Лог Malwarebytes AdwCleaner прикрепляю.

[Vvvyg]

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
Если не влезет во вложения - загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку.

[Andrey Volgin]

Полный образ автозапуска загрузил на:
https://disk.yandex.ru/d/xQsiWtkwzBvqcQ

[Vvvyg]

Скопируйте скрипт из окна "код" ниже в буфер обмена:

Код:

;uVS v4.13 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
sfc %SystemRoot%\SYSWOW64\SFC.EXE
sfc %Sys32%\SFC.EXE
deltmp
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\MEWMIPROV.INF_AMD64_CAD1DB73E8C782A6\WMIREGISTRATIONSERVICE.EXE
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\LMS.INF_AMD64_FDDB643595E0B8D0\LMS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\MICROSOFTEDGEUPDATE.EXE
apply
restart

Закройте все броузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

[Andrey Volgin]

Скрипт выполнил, лог прикрепил

[Vvvyg]

Никаких признаков майнера.
Для хрома описанное поведение нормально.

[Andrey Volgin]

В данный момент да, но при первом включение ПК сегодня утром (25.01) и запуска Хрома услышал визг вентилятора ЦП что не характерно, залез в AIDA64 и увидел температуру на ЦП 50 градусов и в диспетчере задач хром был указан как самый энергозатратный. После того как написал на форум и стал выполнять инструкции, ПК перезагружал и уже тогда хром перестал грузить процессор. Меня больше всего смутили аргументы командных строк с которыми он запускался, например "--video-capture-use-gpu-memory-buffer". Не уверен что раньше они были, может просто не замечал. И еще мое подозрение падает на нейросеть Stable Diffusion установленную у меня локально (картинки генерировать), у нее интерфейс сделан в виде Web и открывается хром по умолчанию с локальным адресом. 23.01 было обновление библиотек torch и xformers, все это собрано на питоне с помощью GIT (я не разработчик, просто пользователь который все установил по инструкции). Возможно(?) что то взаимодействует через хром с нейросетью и прописывает аргументы в браузер для своей корректной работы, это просто мое предположение. Но во время генерации она взаимодействует в основном с GPU - там да, загрузка видеокарты в районе 97% но только во время работы. А проблема была изначально в том что 3 вкладки хрома нагрели 11900kf до 50 градусов, при условии 250 ватного охлаждения (ЦП в простое 29 градусов).

Позднее еще попробую полностью удалить SD и установить туже винду на свободный SSD, предварительно отключив свой системный, поставлю драйверы и хром там посмотрю с какими аргументами он будет запускаться.

В общем не знаю что это было, спасибо за помощь, а дальше буду посмотреть.