Служба Узла: DNS-Клиент Занимает 50% Процессора

[Kanner]

После Сканирования АвтоЛоггером Ушло в Затишье, При Закрытии Форсируется Открытие по Новое.
При Заморозке Process Hacker`ом Начинаются Системные Прерывания Что Загружают Систему и Замирает Диспетчер Задач.
Dr.Web Curelt Ничего не Заметил.

[Info_bot]

Уважаемый(ая) Kanner, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O3 - HKLM\..\Toolbar: Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files (x86)\Yandex\Elements\bartab64host.dll (file missing)
O3-32 - HKLM\..\Toolbar: Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files (x86)\Yandex\Elements\bartabhost.dll (file missing)
O4 - HKCU\..\Run: [Download Master] = C:\Progi\Download Master\dmaster.exe -autorun (file missing)
O4 - HKCU\..\StartupApproved\Run: [drm.exe] = C:\Games\Камень Судьбы\Nevosoft.Games\drm.exe (file missing) (2023/04/27)
O4 - HKCU\..\StartupApproved\Run: [RiotClient] = C:\Games\Riot Games\Riot Client\RiotClientServices.exe --launch-background-mode (file missing) (2023/07/02)
O4 - HKCU\..\StartupApproved\Run: [YandexElements] = "C:\Program Files (x86)\Yandex\Common\elements64.exe" /auto (file missing) (2022/11/01)
O4 - MountPoints2: HKCU\..\{0757541f-9bb7-11ec-9082-54e1ad8a5a97}\shell\AutoRun\command: (default) = D:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{df7c3e8b-d2aa-11ec-90b3-54e1ad8a5a97}\shell\AutoRun\command: (default) = D:\HiSuiteDownLoader.exe (file missing)
O7 - Policy: *\..\Policies\Explorer\DisallowRun: Fix all
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать ВСЕ при помощи Download Master: (default) = C:\Progi\Download Master\dmieall.htm (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать при помощи Download Master: (default) = C:\Progi\Download Master\dmie.htm (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Передать на удаленную закачку DM: (default) = C:\Progi\Download Master\remdown.htm (file missing)
O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: Download Master - C:\Progi\Download Master\dmaster.exe (file missing)
O9-32 - Tools menu item: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: &Download Master - C:\Progi\Download Master\dmaster.exe (file missing)
O22 - Task (.job): (Not scheduled) Восстановление сервиса обновлений Яндекс.Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\21.11.4.730\service_update.exe (file missing)
O22 - Task (.job): (Not scheduled) Обновление Браузера Яндекс.job - C:\Users\Тортик\AppData\Local\Yandex\YandexBrowser\Application\browser.exe (file missing)
O22 - Task (.job): (Not scheduled) Системное обновление Браузера Яндекс.job - C:\Program Files (x86)\Yandex\YandexBrowser\21.11.4.730\service_update.exe (file missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{170429DA-2DF3-4DAF-A488-20A36D33D5E3} - \Microsoft\Windows\Wininet\Taskhostw (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{545DA20B-2519-4DBB-A76F-A83F73CCD422} - \Microsoft\Windows\Wininet\RealtekHDControl (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{81B96E2A-01CD-4999-8276-C15ED90CC847} - \Microsoft\Windows\Wininet\RealtekHDStartUP (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F1DE292B-AA9C-431D-8E79-0F3A55DA394B} - \Microsoft\Windows\Wininet\Taskhost (no xml)
O22 - Tasks: AMDInstallLauncher - C:\Program Files\AMD\CIM\Bin64\InstallManagerApp.exe /InstallAUEP (file missing)
O22 - Tasks: AMDLinkUpdate - C:\Program Files\AMD\CIM\Bin64\InstallManagerApp.exe -AMDLinkUpdate (file missing)
O22 - Tasks: BlueStacksHelper_nxt - C:\Program Files\BlueStacks_nxt\BlueStacksHelper.exe -sr (file missing)
O22 - Tasks: Driver Booster Scheduler - C:\Progi\Driver Booster\9.3.0\Scheduler.exe /scheduler (file missing)
O22 - Tasks: Driver Booster SkipUAC (Тортик) - C:\Progi\Driver Booster\9.3.0\DriverBooster.exe /skipuac (file missing)
O22 - Tasks: Driver Booster Update - C:\Progi\Driver Booster\9.3.0\AutoUpdate.exe /auto (file missing)
O22 - Tasks: StartCN - C:\Program Files\AMD\CNext\CNext\cncmd.exe startwithdelay (file missing)
O22 - Tasks: StartCNBM - C:\Program Files\AMD\CNext\CNext\cncmd.exe benchmark (file missing)
O22 - Tasks: StartDVR - C:\Program Files\AMD\CNext\CNext\RSServCmd.exe (file missing)
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

[Kanner]

Лог После Фикса

[Vvvyg]

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
del %SystemDrive%\USERS\ТОРТИК\APPDATA\LOCAL\MICROSOFT\WINDOWS\WINX\GROUP2\2 - SEARCH.LNK
deltmp
regt 39
regt 41
delref %SystemDrive%\PROGI\FREEALARMCLOCK\FREEALARMCLOCK.EXE
del %SystemDrive%\USERS\ТОРТИК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\GRATIS INC™\ТИБЕТ КВЕСТ\GRATIS.LNK
del %SystemDrive%\USERS\ТОРТИК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\LDMULTIPLAYER\LDMULTIPLAYER.LNK
del %SystemDrive%\USERS\ТОРТИК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\LDMULTIPLAYER.LNK
del %SystemDrive%\USERS\ТОРТИК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\LDPLAYER9\LDPLAYER9.LNK
del %SystemDrive%\USERS\ТОРТИК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\LDPLAYER9.LNK
del %SystemDrive%\USERS\ТОРТИК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\LDPLAYER9\LDUNINSTALLER9.LNK
del %SystemDrive%\USERS\ТОРТИК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MIGHT & MAGIC - HEROES 5.5\MMH5.5 EDITOR (64BIT) (ARMG).LNK
del %SystemDrive%\USERS\ТОРТИК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MIGHT & MAGIC - HEROES 5.5\MMH5.5 EDITOR (ARMG).LNK
del %SystemDrive%\USERS\ТОРТИК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MIGHT & MAGIC - HEROES 5.5\MMH5.5 MAPMIXER.LNK
del %SystemDrive%\USERS\ТОРТИК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MIGHT & MAGIC - HEROES 5.5\MMH5.5 PLAY (64BIT).LNK
del %SystemDrive%\USERS\ТОРТИК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MIGHT & MAGIC - HEROES 5.5\MMH5.5 PLAY.LNK
del %SystemDrive%\USERS\ТОРТИК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MIGHT & MAGIC - HEROES 5.5\MMH5.5 UTILITY (64BIT) (ARMG).LNK
del %SystemDrive%\USERS\ТОРТИК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MIGHT & MAGIC - HEROES 5.5\MMH5.5 UTILITY (ARMG).LNK
del %SystemDrive%\USERS\ТОРТИК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MIGHT & MAGIC - HEROES 5.5\UNINSTALL MIGHT & MAGIC - HEROES 5.5.LNK
del %SystemDrive%\USERS\ТОРТИК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\GAMECENTER\VK PLAY ИГРОВОЙ ЦЕНТР.LNK
del %SystemDrive%\USERS\ТОРТИК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\GAMECENTER\VKPLAY.RU.LNK
del %SystemDrive%\USERS\ТОРТИК\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\YANDEX.LNK
del %SystemDrive%\USERS\ТОРТИК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\YANDEX.LNK
del %SystemDrive%\USERS\ТОРТИК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ДНЕВНИК СНОВИДЕНИЙ\ДНЕВНИК СНОВИДЕНИЙ.LNK
del %SystemDrive%\USERS\ТОРТИК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\GAMECENTER\ИГРОВОЙ ЦЕНТР.LNK
del %SystemDrive%\USERS\ТОРТИК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ИГРЫ ОТ НЕВОСОФТ\КАМЕНЬ СУДЬБЫ.LNK
del %SystemDrive%\USERS\ТОРТИК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ИГРЫ ОТ НЕВОСОФТ\МОДНАЯ ЛИХОРАДКА.LNK
del %SystemDrive%\USERS\ТОРТИК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\BUKA\ГЕРОИ МЕЧА И МАГИИ V - ПОВЕЛИТЕЛИ ОРДЫ\НАЧАТЬ ИГРУ.LNK
del %SystemDrive%\USERS\ТОРТИК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ДНЕВНИК СНОВИДЕНИЙ\САЙТ LIVINGFLCL.LNK
del %SystemDrive%\USERS\ТОРТИК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\GRATIS INC™\ТИБЕТ КВЕСТ\ТИБЕТ КВЕСТ.LNK
del %SystemDrive%\USERS\ТОРТИК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ДНЕВНИК СНОВИДЕНИЙ\УДАЛИТЬ ДНЕВНИК СНОВИДЕНИЙ.LNK
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\21.11.4.730\SERVICE_UPDATE.EXE
delref %SystemDrive%\USERS\ТОРТИК\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
delref %SystemDrive%\PROGRAM FILES\AMD\PERFORMANCE PROFILE CLIENT\AUEPLAUNCHER.EXE
delref %Sys32%\DRIVERS\PARTIZAN.SYS
delref %SystemDrive%\USERS\ТОРТИК\DOWNLOADS\MTGAINSTALLER.EXE
delref %SystemDrive%\USERS\ТОРТИК\APPDATA\LOCAL\GAMECENTER\GAMECENTER.EXE
delref %SystemDrive%\PROGI\LDPLAYER\LDMUTIPLAYER\DNMULTIPLAYEREX.EXE
delref %SystemDrive%\PROGI\LDPLAYER\LDPLAYER9\DNPLAYER.EXE
delref %SystemDrive%\GAMES\HEROES5\BIN\H5_GAME.EXE
delref %SystemDrive%\GAMES\ТИБЕТ КВЕСТ\БЕСПЛАТНЫЕ ИГРЫ И НЕ ТОЛЬКО... - ГЛАВНАЯ СТРАНИЦА.URL
delref %SystemDrive%\GAMES\ТИБЕТ КВЕСТ\GAME\NSGAME.EXE
delref %SystemDrive%\PROGI\LDPLAYER\LDPLAYER9\DNUNINST.EXE
delref %SystemDrive%\GAMES\HEROES5\BIN\MMH55_EDITOR_64.EXE
delref %SystemDrive%\GAMES\HEROES5\BIN\MMH55_EDITOR.EXE
delref %SystemDrive%\GAMES\HEROES5\BIN\MMH55_MAPMIXER.EXE
delref %SystemDrive%\GAMES\HEROES5\BIN\MMH55_64.EXE
delref %SystemDrive%\GAMES\HEROES5\BIN\MMH55.EXE
delref %SystemDrive%\GAMES\HEROES5\BIN\MMH55_UTILITY_64.EXE
delref %SystemDrive%\GAMES\HEROES5\BIN\MMH55_UTILITY.EXE
delref %SystemDrive%\GAMES\HEROES5\UNINSTAL.EXE
delref %SystemDrive%\GAMES\ДНЕВНИК СНОВИДЕНИЙ\RPG_RT.EXE
delref %SystemDrive%\GAMES\ДНЕВНИК СНОВИДЕНИЙ\САЙТ LIVINGFLCL.URL
delref %SystemDrive%\GAMES\ДНЕВНИК СНОВИДЕНИЙ\UNINSTALL.EXE
delref %SystemDrive%\GAMES\КАМЕНЬ СУДЬБЫ\NEVOSOFT.GAMES\DRM.EXE
apply
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

Когда нагрузка снова будет наблюдаться, сделайте новый полный образ автозапуска uVS, загрузите в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку.

[Kanner]

https://terabox.com/s/1pNJy5qQJayxaQl2KGZxsCQ

[Vvvyg]

Требует скачать приложение, выгрузить через браузер не даёт. Удалите вложение с прдыдущим образом, загрузите в сообщение. Или через другой файлообменник.

[Kanner]

https://drive.google.com/file/d/1oKW...usp=drive_link

[Vvvyg]

Не видно майнеров, да и повышенной нагрузки на процессор не было во время формирования образа.

Выполните скрипт в UVS? отключит отслеживание процессов и DNS:

Код:

;uVS v4.15 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
regt 40
regt 42
apply
restart

Компьютер перезагрузится.
Ничего зловредного не вижу.