Майнер или вирус загружает процессор на 100%

@Pikabo · Регистрация: 30.03.2022

Студворк — интернет-сервис помощи студентам

Добрый день.
Недавно заметил сильное повышение загрузки и температуры процессора в простое. При попытке посмотреть в диспетчере задач какой процесс нагружает систему, нагрузка резко падает до нормальных значений. Спустя некоторое время 10-15 минут, нагрузка на процессор возобновляется. Также есть самопроизвольное закрытие диспетчера задач и различных антивирусных программ при сканировании системы.
Файл с логами прикрепляю к сообщению.

@Sandor · 30.03.2022, 13:09

Здравствуйте!

TeamViewer у вас почему-то установлен в папку с именем Temp, что, мягко говоря, странно.

Внимание! Рекомендации написаны специально для пользователя Pikabo. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Пофиксите в HijackThis следующие строчки:

Code
O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\pasta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Driver.url    ->    file:///C:\Users\PC-AddGrotty\AppData\Roaming\Sysfiles\svchost.exe (2022/03/11)
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\System32
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\System32\Wbem
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\System32\WindowsPowerShell\v1.0
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O26 - Debugger: HKLM\..\EOSNOTIFY.EXE: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\InstallAgent.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\MusNotification.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\MUSNOTIFICATIONUX.EXE: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\remsh.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\SIHClient.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\UpdateAssistant.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\UPFC.EXE: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\UsoClient.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\WaaSMedic.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\WaasMedicAgent.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\Windows10Upgrade.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\WINDOWS10UPGRADERAPP.EXE: [Debugger] = * (file missing)

Перезагрузите компьютер.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.

@Pikabo · 30.03.2022, 17:19 **[ТС]**

Размер отчетов получился больше чем возможно загрузить на сайт. Я их заархивировал вместе. Надеюсь так можно

@Sandor · 31.03.2022, 08:18

Да, можно. Об этом и сказано в моей рекомендации.

Вы никак не среагировали

Сообщение от Sandor

TeamViewer у вас почему-то установлен в папку с именем Temp, что, мягко говоря, странно.

Ставили его самостоятельно?

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2884006743-851053477-4089915090-1001\...\MountPoints2: {18d9dcaa-059d-11ec-b1eb-8c83b995090d} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-2884006743-851053477-4089915090-1001\...\MountPoints2: {ae63d16f-f10c-11ea-aeb3-00158315a310} - "E:\autorun.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
AlternateDataStreams: C:\Users\pasta:Heroes & Generals [38]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [200]
AlternateDataStreams: C:\Users\pasta\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\pasta\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6808]
HKU\S-1-5-21-2884006743-851053477-4089915090-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
FirewallRules: [{2466cb14-67c2-41b6-b24b-3e50fe6f7b97}] => (Allow) LPort=28967
FirewallRules: [{c8fa86d9-bfff-4d06-a781-c1f510504f91}] => (Allow) LPort=28967
StartBatch:
  del /s /q C:\Windows\SoftwareDistribution\download\*.*
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
EndBatch:
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Следы бывшей установки Avast очистите из безопасного режима по соотв. инструкции:
Чистка системы после некорректного удаления антивируса

@Pikabo · 31.03.2022, 14:09 **[ТС]**

Да, TeamViewer я устанавливал самостоятельно.

@Sandor · 31.03.2022, 14:21

Понятно. Желательно всё же ставить в ту папку, которую сама программа предлагает. Или хотя бы с другим именем (не temp).

Что сейчас с проблемой?

@Pikabo · 31.03.2022, 14:25 **[ТС]**

Проблема решена, большое вам спасибо за помощь и советы. TeamViewer постараюсь правильно установить.

@Sandor · 31.03.2022, 14:39

Хорошо. Проделайте завершающие шаги:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Pikabo · 31.03.2022, 15:42 **[ТС]**

После всех проведенных операций, я снова решил проверить получилось ли решить проблему. К сожалению, она осталась

@Sandor · 31.03.2022, 15:46

Сообщение от Pikabo

При попытке посмотреть в диспетчере задач какой процесс нагружает систему, нагрузка резко падает до нормальных значений

Если вы об этом, то такое поведение нормально.

@Pikabo · 31.03.2022, 15:53 **[ТС]**

Изначальная проблема осталась - большая нагрузка на процессор

@Sandor · 31.03.2022, 15:56

Какой процесс грузит?

Добавлено через 34 секунды
Сделаем ещё такую проверку:

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.

@Pikabo · 31.03.2022, 16:01 **[ТС]**

Неизвестно, я смотрю нагрузку через Speccy. При просмотре через нее, нагрузка не падает и можно заметить что что-то не так. Если попробовать запустить д/з или security task manager, то нагрузка сразу падает до обычной и я не успеваю посмотреть какой именно процесс нагружает систему.

Добавлено через 2 минуты
Я немного поторопился и провел проверку еще до вашего сообщения. Все что было обнаружено я поместил в карантин)

Добавлено через 24 секунды
...

@Pikabo · 31.03.2022, 16:02 **[ТС]**

...

@Sandor · 31.03.2022, 16:06

Сообщение от Pikabo

провел проверку еще до вашего сообщения

Сделайте эту же проверку ещё раз.

Сообщение от Pikabo

смотрю нагрузку через Speccy

Посмотрите через Process Explorer.

@Pikabo · 31.03.2022, 16:10 **[ТС]**

Провел проверку еще раз

@Sandor · 31.03.2022, 16:25

Сообщение от Sandor

Посмотрите через Process Explorer.

Что показывает?

@Pikabo · 31.03.2022, 20:24 **[ТС]**

Пока ничего, жду когда снова появится нагрузка

Добавлено через 3 часа 57 минут
Прошло некоторое время, проблема пока не появляется. Видимо вы смогли мне помочь. Большое спасибо)

@Sandor · 01.04.2022, 08:10

Хорошо, спасибо за ответ.

Завершающие шаги:

1. Malwarebytes можете деинсталлировать.

2.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Pikabo · 08.04.2022, 17:35 **[ТС]**

///

Новые блоги и статьи Все статьи Все блоги /
Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .	Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.
Фиксация колонок в отчете СКД Maks 14.04.2026 Фиксация колонок в СКД отчета типа Таблица. Задача: зафиксировать три левых колонки в отчете. Процедура ПриКомпоновкеРезультата(ДокументРезультат, ДанныеРасшифровки, СтандартнаяОбработка) / / . . .	Настройки VS Code Loafer 13.04.2026 { "cmake. configureOnOpen": false, "diffEditor. ignoreTrimWhitespace": true, "editor. guides. bracketPairs": "active", "extensions. ignoreRecommendations": true, . . .	Оптимизация кода на разграничение прав доступа к элементам формы Maks 13.04.2026 Алгоритм из решения ниже реализован на нетиповом документе, разработанного в конфигурации КА2. Задачи, как таковой, поставлено не было, проделанное ниже исключительно моя инициатива. Было так:. . .	Контроль заполнения и очистка дат в зависимости от значения перечислений Maks 12.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: реализовать контроль корректности заполнения дат назначения. . .

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,977
	30.03.2022, 13:09
	Здравствуйте! TeamViewer у вас почему-то установлен в папку с именем Temp, что, мягко говоря, странно. Внимание! Рекомендации написаны специально для пользователя Pikabo. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ________________________________________ ______________ Пофиксите в HijackThis следующие строчки: Code O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\pasta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Driver.url -> file:///C:\Users\PC-AddGrotty\AppData\Roaming\Sysfiles\svchost.exe (2022/03/11) O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\System32 O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\System32\Wbem O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\System32\WindowsPowerShell\v1.0 O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) O26 - Debugger: HKLM\..\EOSNOTIFY.EXE: [Debugger] = * (file missing) O26 - Debugger: HKLM\..\InstallAgent.exe: [Debugger] = * (file missing) O26 - Debugger: HKLM\..\MusNotification.exe: [Debugger] = * (file missing) O26 - Debugger: HKLM\..\MUSNOTIFICATIONUX.EXE: [Debugger] = * (file missing) O26 - Debugger: HKLM\..\remsh.exe: [Debugger] = * (file missing) O26 - Debugger: HKLM\..\SIHClient.exe: [Debugger] = * (file missing) O26 - Debugger: HKLM\..\UpdateAssistant.exe: [Debugger] = * (file missing) O26 - Debugger: HKLM\..\UPFC.EXE: [Debugger] = * (file missing) O26 - Debugger: HKLM\..\UsoClient.exe: [Debugger] = * (file missing) O26 - Debugger: HKLM\..\WaaSMedic.exe: [Debugger] = * (file missing) O26 - Debugger: HKLM\..\WaasMedicAgent.exe: [Debugger] = * (file missing) O26 - Debugger: HKLM\..\Windows10Upgrade.exe: [Debugger] = * (file missing) O26 - Debugger: HKLM\..\WINDOWS10UPGRADERAPP.EXE: [Debugger] = * (file missing) Перезагрузите компьютер. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте в архив). Подробнее читайте в этом руководстве. 0

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,977
	31.03.2022, 14:21
	Понятно. Желательно всё же ставить в ту папку, которую сама программа предлагает. Или хотя бы с другим именем (не temp). Что сейчас с проблемой? 1

@Pikabo 0 / 0 / 0 Регистрация: 30.03.2022 Сообщений: 11
	31.03.2022, 14:25 [ТС]
	Проблема решена, большое вам спасибо за помощь и советы. TeamViewer постараюсь правильно установить. 0

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,977
	31.03.2022, 14:39
	Хорошо. Проделайте завершающие шаги: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Pikabo 0 / 0 / 0 Регистрация: 30.03.2022 Сообщений: 11
	31.03.2022, 15:53 [ТС]
	Изначальная проблема осталась - большая нагрузка на процессор 0

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,977
	31.03.2022, 15:56
	Какой процесс грузит? Добавлено через 34 секунды Сделаем ещё такую проверку: Скачайте Malwarebytes v.4. Установите и запустите. (На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию"). Запустите Проверку и дождитесь её окончания. Самостоятельно ничего не помещайте в карантин!!! Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan". Отчёт прикрепите к сообщению. 0

@Pikabo 0 / 0 / 0 Регистрация: 30.03.2022 Сообщений: 11
	31.03.2022, 16:01 [ТС]
	Неизвестно, я смотрю нагрузку через Speccy. При просмотре через нее, нагрузка не падает и можно заметить что что-то не так. Если попробовать запустить д/з или security task manager, то нагрузка сразу падает до обычной и я не успеваю посмотреть какой именно процесс нагружает систему. Добавлено через 2 минуты Я немного поторопился и провел проверку еще до вашего сообщения. Все что было обнаружено я поместил в карантин) Добавлено через 24 секунды ... 0

@Pikabo 0 / 0 / 0 Регистрация: 30.03.2022 Сообщений: 11
	31.03.2022, 20:24 [ТС]
	Пока ничего, жду когда снова появится нагрузка Добавлено через 3 часа 57 минут Прошло некоторое время, проблема пока не появляется. Видимо вы смогли мне помочь. Большое спасибо) 0

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,977
	01.04.2022, 08:10
	Хорошо, спасибо за ответ. Завершающие шаги: 1. Malwarebytes можете деинсталлировать. 2. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 3. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0