Постоянно загружен процессор

@timfm · Регистрация: 12.03.2026

Студворк — интернет-сервис помощи студентам

Help! Постоянно загружен процессор (на 20-30%) процессом Local Security Authority Process.
После принудительного завершения процесса, компьютер самостоятельно перезагружается через 1 минуту.
Источник заразы не известен, компьютером пользовались разные люди.
Невозможно скачать drweb cure it, что навело на мысль об измененном hosts.
Невозможно открыть файл hosts - тут же закрывается. Закрывается браузер, если в поиске написать слово hosts. Заменил hosts пустым файлом.
Лечащие утилиты получается скачивать, но все они либо закрываются, либо не работают.
msconfig закрывается после попытки открыть чтобы настроить безопасный режим

ЗАКРЫВАЕТСЯ окно программы Autologger и следом даже сама папка куда он распакован. Файлы после запуска autologger не создаются. Как собрать логи?

@timfm · 12.03.2026, 16:14 **[ТС]**

лог программы Security Check

@Sandor · 12.03.2026, 16:52

Сообщение от timfm

Файлы после запуска autologger не создаются. Как собрать логи?

Запускайте его НЕ из папки Рабочий стол или папки Загрузки. Например, из корня диска С.

@severnyj · 12.03.2026, 16:52

Соберите логи из безопасного режима. Сохранив Автологгер в корень системного диска.

@timfm · 12.03.2026, 17:39 **[ТС]**

Удалось запустить из корня С

@timfm · 12.03.2026, 17:43 **[ТС]**

Сообщение от severnyj

из безопасного режима

безопасный режим активировать не удаётся. Ошибки выполнения скриптов в Power Shell. Вылет msconfig. Не знаю как следующим этапом hijack запустить. Он тоже вылетает.

@Sandor · 12.03.2026, 17:44

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

@timfm · 12.03.2026, 18:30 **[ТС]**

Сообщение от Sandor

отчёт AV_block_remove

отчеты прикреплены

@severnyj · 12.03.2026, 19:04

А вот теперь без безопасного режима не обойтись.

Загрузитесь в безопасном режиме Windows <===ВАЖНО!!!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
begin
 SetServiceStart('WCFVBXSG', 4);
 QuarantineFile('C:\ProgramData\tfkxupgodbpx\cderspzpcngq.exe', '');
 DeleteFile('C:\ProgramData\tfkxupgodbpx\cderspzpcngq.exe', '64');
 DeleteService('WCFVBXSG');
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server', 'fDenyTSConnections', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA', 'RestrictAnonymous', 2);
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Code
1
2
3
begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ (..\AutoLogger\AV) отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению на форуме прикреплять файл quarantine.zip не нужно!

Пофиксите в HJT (некоторые строки могут отсутствовать):

Code
1
2
3
4
5
6
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O18 - HKLM\Software\Classes\Protocols\Handler\ms-help: [CLSID] = {314111C7-A502-11D2-BBCA-00C04F8EC294} - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUserPEH (empty)
O26 - Office Addin: HKLM\..\Groove.OutlookProxyAddIn - (Microsoft SharePoint Workspace Proxy for Outlook Add-in) -> (no file)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

После перезагрузки системы соберите новый CollectionLog Автологгером в обычном режиме загрузки.

@timfm · 13.03.2026, 14:00 **[ТС]**

Спасибо! Более менее успешно проделалось

@severnyj · 13.03.2026, 18:46

Добрый вечер. Необходимо завершить лечение

Скачайте утилиту DoesNotBelong и сохраните её на Рабочем столе.

Пожалуйста, сохраните все несохраненные файлы и закройте все программы, так как этот инструмент попытается закрыть все некритические процессы в ходе сканирования. Это касается и интернет-браузеров.

Щелкните правой кнопкой мыши по DoesNotBelong.exe и запустите его от имени администратора.
После прочтения заявления об отказе от ответственности нажмите «Да», чтобы начать сканирование
Скрипт создаст точку восстановления системы и приступит к сканированию, которое может занять некоторое время.
По завершении работы программы окно командной строки закроется, и в корневом каталоге диска C: будет создан журнал под названием DoesNotBelong_[дата]_[время].txt.
Пожалуйста, запакуйте отчет DoesNotBelong_[дата]_[время].txt. и прикрепите к своему следующему сообщению.

Затем:

Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?

Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
Нажмите кнопку Scan (Сканировать).

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.

@timfm · 08.04.2026, 20:37 **[ТС]**

Сообщение от severnyj

Необходимо завершить лечение

Здравствуйте! Не получалось поработать за машиной. С задержкой отправляю.

@severnyj · 08.04.2026, 21:01

Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Скачайте прикрепленный к сообщению файл fixlist.zip, распакуйте файл скрипта fixlist.txt в ту же папку, откуда была запущена утилита FRST (FRST64): C:\Users\лазарети\Downloads\FRST64.exe.

Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Запакуйте его в архив и прикрепите к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

@timfm · 09.04.2026, 18:44 **[ТС]**

проделано

@severnyj · 09.04.2026, 22:38

Еще один скрипт FRST.

Отключите до перезагрузки антивирус.
Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
StartPowershell:
Remove-MpPreference -ExclusionExtension ".exe"
Remove-MpPreference -ExclusionPath "C:\Users\лазарети"
Remove-MpPreference -ExclusionPath "C:"
Remove-MpPreference -ExclusionPath "C:\Windows\system32\config\systemprofile"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Запакуйте его в архив и прикрепите к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой?

Новые блоги и статьи Все статьи Все блоги /
Оптимизация кода на разграничение прав доступа к элементам формы Maks 13.04.2026 Алгоритм из решения ниже реализован на нетиповом документе, разработанного в конфигурации КА2. Задачи, как таковой, поставлено не было, проделанное ниже исключительно моя инициатива. Было так:. . .	Контроль заполнения и очистка дат в зависимости от значения перечислений Maks 12.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: реализовать контроль корректности заполнения дат назначения. . .	Архитектура слоя интернета для сервера-слоя. Hrethgir 11.04.2026 В продолжение https:/ / www. cyberforum. ru/ blogs/ 223907/ 10860. html Знаешь что я подумал? Раз мы все источники пишем в голове ветки, то ничего не мешает добавить в голову такой источник, который сам. . .	Подстановка значения реквизита справочника в табличную часть документа Maks 10.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: при выборе сотрудника (справочник Сотрудники) в ТЧ документа. . .
Очистка реквизитов документа при копировании Maks 09.04.2026 Алгоритм из решения ниже применим как для типовых, так и для нетиповых документов на самых различных конфигурациях. Задача: при копировании документа очищать определенные реквизиты и табличную. . .	модель ЗдравоСохранения 8. Подготовка к разному выполнению заданий anaschu 08.04.2026 https:/ / github. com/ shumilovas/ med2. git main ветка * содержимое блока дэлэй из старой модели теперь внутри зайца новой модели 8ATzM_2aurI	Блокировка документа от изменений, если он открыт у другого пользователя Maks 08.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в конфигурации КА2. Задача: запретить редактирование документа, если он открыт у другого пользователя. / / . . .	Система безопасности+живучести для сервера-слоя интернета (сети). Двойная привязка. Hrethgir 08.04.2026 Далее были размышления о системе безопасности. Сообщения с наклонным текстом - мои. А как нам будет можно проверить, что ссылка наша, а не подделана хулиганами, которая выбросит на другую ветку и. . .

Постоянно загружен процессор

Решение

Решение

@timfm 0 / 0 / 0 Регистрация: 12.03.2026 Сообщений: 8

	Постоянно загружен процессор 12.03.2026, 15:52. Показов 843. Ответов 14 Метки нет (Все метки) Help! Постоянно загружен процессор (на 20-30%) процессом Local Security Authority Process. После принудительного завершения процесса, компьютер самостоятельно перезагружается через 1 минуту. Источник заразы не известен, компьютером пользовались разные люди. Невозможно скачать drweb cure it, что навело на мысль об измененном hosts. Невозможно открыть файл hosts - тут же закрывается. Закрывается браузер, если в поиске написать слово hosts. Заменил hosts пустым файлом. Лечащие утилиты получается скачивать, но все они либо закрываются, либо не работают. msconfig закрывается после попытки открыть чтобы настроить безопасный режим ЗАКРЫВАЕТСЯ окно программы Autologger и следом даже сама папка куда он распакован. Файлы после запуска autologger не создаются. Как собрать логи? 0

@severnyj 6425 / 2913 / 582 Регистрация: 04.04.2012 Сообщений: 10,570
	12.03.2026, 16:52
	Соберите логи из безопасного режима. Сохранив Автологгер в корень системного диска. 0

@Sandor 22499 / 15944 / 3089 Регистрация: 08.10.2012 Сообщений: 64,967
	12.03.2026, 17:44
	Сообщение было отмечено timfm как решение Решение Скачайте AV block remover (или с зеркала). Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем. Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads). В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новый CollectionLog Автологером. 1

@severnyj 6425 / 2913 / 582 Регистрация: 04.04.2012 Сообщений: 10,570
	13.03.2026, 18:46
	Добрый вечер. Необходимо завершить лечение Скачайте утилиту DoesNotBelong и сохраните её на Рабочем столе. Пожалуйста, сохраните все несохраненные файлы и закройте все программы, так как этот инструмент попытается закрыть все некритические процессы в ходе сканирования. Это касается и интернет-браузеров. Щелкните правой кнопкой мыши по DoesNotBelong.exe и запустите его от имени администратора. После прочтения заявления об отказе от ответственности нажмите «Да», чтобы начать сканирование Скрипт создаст точку восстановления системы и приступит к сканированию, которое может занять некоторое время. По завершении работы программы окно командной строки закроется, и в корневом каталоге диска C: будет создан журнал под названием DoesNotBelong_[дата]_[время].txt. Пожалуйста, запакуйте отчет DoesNotBelong_[дата]_[время].txt. и прикрепите к своему следующему сообщению. Затем: Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой. Как узнать разрядность моей системы? Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности. Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней). Нажмите кнопку Scan (Сканировать). После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению. 1