Виснут антивирусные утилиты

@niconoco · Регистрация: 07.05.2026

Студворк — интернет-сервис помощи студентам

Доброго.
Проблема была выявлена случайно. Появилось оповещение Винд.дефендера с красным крестиком на панели. При этом никаких действий внутри он выполнить не требовал. Полная проверка Cureit смогла пройти только в оффлайн режиме и нашла проблемные файлы в программе-менеджере ноутбука, которая в итоге была удалена. Повторная проверка на вирусы также висла в процессе. С утилитой KVRT тоже самое. Проверка при включенном интернете намертво виснет на system32/drivers и крайне редко преодолевает эту папку в только что перезагруженной ОС. Также cureit оставляет в диспетчере задач несколько незавершаемых даже вручную процессов. Лог удалось выполнить только в безопасном режиме, потому что avz также висла на поиске процесса с аномальной нагрузкой на gpu.
В остальном видимых проблем в работоспособности ноутбука нет, во всяком случае мной замечено пока не было. Хотелось бы узнать причины, если дело в вирусе. Заранее благодарю.

@niconoco · 09.05.2026, 23:15 **[ТС]**

FRST64 закрылась, но автоматической перезагрузки не произошло в течение часа

@severnyj · 09.05.2026, 23:38

Да, в системе есть проблема со службой bits, FRST не дождалась выполнения команды и закрылась.

Попробуйте из безопасного режима Windows удалить файл:

C:\ProgramData\Microsoft\Network\Downloa der\qmgr.db

+++

Попробуйте скачать и запустить сканер CureIt! или установку Malwarebytes загрузившись в режиме чистой загрузки

@niconoco · 10.05.2026, 00:27 **[ТС]**

1.

Сообщение от severnyj

C:\ProgramData\Microsoft\Network\Downloa der\qmgr.db

удалила.
2. быстрая проверка cureit нашла

Возможно DHP:Process.Hollowing.EP

в svchost.exe
Лечение не удалось

@severnyj · 10.05.2026, 00:35

В этот раз ничего ведь не зависло?

Чаще всего DHP:Process.Hollowing.EP - это ложно-положительное - без техподдержки не разобраться (Расшифровывается, как Doctor Web Process Heuristic - сработка эвристики на процесс.)

Прикрепите лог сканирования.
Отчет будет сохранен в папке C:\Users\<пользователь>\Doctor Web
Запакуйте его в архив и прикрепите.

@niconoco · 10.05.2026, 01:20 **[ТС]**

Да, ничего не зависло.
В логе несколько проверок. svchost оно отметило как угрозу только в первое сканирование.

@severnyj · 10.05.2026, 01:54

Этого даже в лог не попало, будем считать ложным.

Теперь для поиска виновника. Нужно запустить снова msconfig и включить ровно половину отключенного - перезагрузиться, запустить проверку - будет зависание, значит нужно отключить половину от половины, не будет, тогда включать половину от половины.
И так методом половинного прибавления - вычитания - найти виновника.

Да это муторно и сложно, но это наверное единственный способ, который я могу предложить.

@niconoco · 10.05.2026, 18:47 **[ТС]**

Отключала/включала все службы и компоненты загрузки, кроме служб Майкрософт (не знаю можно их отключать или нет). В автозагрузках то появляется ms Edge, то пропадает.

Сканирование во всех случаях срабатывает как захочет: когда виснет, когда проходит нормально. Иногда cureit все нормально проверяла, но виcла kvrt, иногда наоборот.
В обычном режиме загрузки тоже самое.

cureit по логу чаще всего встает на

C:\WINDOWS\System32\drivers\rtwlane.sys - Ok - 36ms, 12226016 bytes
C:\WINDOWS\System32\drivers\dxgkrnl.sys - Ok - 40ms, 5187056 bytes

Описания причины зависания kvrt в отчетах такого рода

A problem caused this program to stop interacting with Windows.
Неправильный путь приложения: C:\Users\heylu\AppData\Local\Temp\{52065 7d8-730b-4ad6-b1f2-b1d0dd699ddb}\616d3776.exe

В самой папке temp куча мусора в виде пустых xml_file.
В журнале ошибок есть несколько предупреждений об ошибках обновления некоторых компонентов виндоус, дефендера в том числе.

С этим нужно что-то делать дальше?

Сообщение от severnyj

Попробуйте из безопасного режима Windows удалить файл:
C:\ProgramData\Microsoft\Network\Downloa der\qmgr.db

@severnyj · 10.05.2026, 19:09

Почистите временные файлы через меню Система - Память - Рекомендации по очистке (Там же нажмите кнопку Дополнительные варианты восстановления) - Отметьте необходимые пункты и нажмите кнопку Удалить файлы

Будьте внимательны, не удалите случайно содержимое папки Загрузки!!!

Если хотите можете попробовать сторонние варианты:

BleachBit
PrivaZer

Прочие программы, входящие в состав монструозных комбайнов Ashampoo, CCleaner - не советую, они уже давно превратились из полезных утилит в программы сбора статистики и показа рекламы.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
RemoveProxy:
startbatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Vivaldi\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Vivaldi\User Data\Default\Code Cache\Js\*.*"
del /s /q C:\Windows\Temp\*.* >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
del /s /q C:\Windows\Minidump\*.dmp >nul
endbatch:
StartPowershell:
Set-MpPreference -DisableAutoExclusions $true -Force
Set-MpPreference -Mapsreporting basic -Force
Set-MpPreference -DisableArchiveScanning $false -Force
Set-MpPreference -DisableBehaviorMonitoring $false -Force
Set-MpPreference -DisableRealtimeMonitoring $false -Force
Set-MpPreference -DisablePrivacyMode $true -Force
Set-MpPreference -DisableIOAVProtection $false -Force
Set-MpPreference -UILockdown 0
Set-MpPreference -ScanPurgeItemsAfterDelay 1
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
Set-MpPreference -PUAProtection enabled -Force
Update-MpSignature
Get-MpComputerStatus
Get-MpPreference
Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
Get-AppxPackage Microsoft.SecHealthUI -AllUsers|select Name, Status
EndPowershell:
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Запакуйте его в архив и прикрепите к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.

Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.

Добавлено через 2 минуты

Сообщение от niconoco

С этим нужно что-то делать дальше?
Сообщение от severnyj
Попробуйте из безопасного режима Windows удалить файл:
C:\ProgramData\Microsoft\Network\Downloa der\qmgr.db

Если удалили - то больше ничего делать не надо, база пересоздастся, и возможно не будет содержать ошибок.

@niconoco · 10.05.2026, 19:58 **[ТС]**

готово

@severnyj · 10.05.2026, 20:12

Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.

Обновите ПО:

AMD Software v.25.8.1 Внимание! Скачать обновления
Microsoft 365 - ru-ru v.16.0.19929.20106 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office. (Главная - Учетная запись - Параметры обновления - Обновить).^
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
Microsoft OneDrive v.26.063.0405.0002 Внимание! Скачать обновления
Google Chrome v.148.0.7778.96 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

Регулярно делайте резервные копии важных данных на внешние диски и в облачные хранилища, - так Вы защитите их от возможной утери при проблемах с "железом" или при атаках троянов-шифровальщиков.

Для блокировки нежелательного контента советую установить расширения браузеров uBO Lite и Browser guard.

Скачивайте расширения только из официальных магазинов. Не устанавливайте слишком много расширений и регулярно проверяйте их список.

+++

Рекомендации после удаления вредоносного ПО

@niconoco · 10.05.2026, 22:11 **[ТС]**

сделано и всё обновлено, кроме офиса. Увы, утилиты стопорятся на том же. Но хотя бы после перезагрузки вроде как проверку все же выполняют полностью.

@severnyj · 10.05.2026, 22:34

Вредоносного в логах нет. Указанные вами файлы это официальные драйверы Microsoft от звуковой карты и драйверы ядра DirectX. Я бы все таки смотрел в сторону проблем с чтением с SSD. Если никаких других проблем не наблюдается, то не обращать на нее внимание.

Можете создать тему в разделе форума Проблемы с ноутбуком с ссылкой на эту тему.

@niconoco · 10.05.2026, 22:37 **[ТС]**

Ну буду наблюдать. Еще раз большое спасибо за помощь.

Новые блоги и статьи Все статьи Все блоги /
[golang] Двоичная куча, min-heap alhaos 20.05.2026 Двоичная куча Двоичная куча — структура данных, которая всегда держит самый важный элемент наготове. Представьте очередь к хилеру в игре, и очередь из игроков в приоритете те у кого меньше. . .	[golang] Breadth-First Search alhaos 19.05.2026 BFS (Breadth-First Search) — это базовый алгоритм обхода графа в ширину, который поуровнево исследует все связанные вершины. Он начинает с выбранной точки и проверяет всех соседей, прежде чем. . .	[golang] Алгоритм «Хак Госпера» alhaos 17.05.2026 Алгоритм «Хак Госпера» Хак Госпера (Gosper's Hack) — алгоритм нахождения следующего по величине числа с тем же количеством установленных бит. Придуман Биллом Госпером в 1970-х, опубликован в. . .	Рисование бинарного древа до 6-го колена на js, svg. russiannick 17.05.2026 <svg width="335" height="240" viewBox="0 0 335 240" fill="#e5e1bb"> <style> <!]> </ style> <g id="bush"> </ g> </ svg> function fn(){ let rost;/ / высота древа let xx=165,yy=210,w=256;
FSharp: interface of module DevAlt 16.05.2026 Интерфейс модуля F# позволяет управлять доступностью членов, содержащихся в реализации модуля. По-умолчанию все члены модуля доступны: module Foo let x = 10 let boo () = printfn "boo" . . .	Хитросплетение родственных связей пантеона греческих богов. russiannick 14.05.2026 Однооконник, позволяющий узреть и изучить отдельных героев древней Греции. <!DOCTYPE html> <html lang="ru"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible". . .	[golang] Угол между стрелками часов alhaos 12.05.2026 По заданным значениям часа и минуты необходимо определить значение меньшего угла между стрелками аналогового циферблата часов. import "math" func angleClock(hour int, minutes int) float64 { . . .	Debian 13: Установка Lazarus QT5 ВитГо 09.05.2026 Эта инструкция моя компиляция инструкций volvo https:/ / www. cyberforum. ru/ blogs/ 203668/ 10753. html и его же старой инструкции по установке Lazarus с gtk2. . .

@severnyj 6458 / 2941 / 590 Регистрация: 04.04.2012 Сообщений: 10,689
	10.05.2026, 00:35
	В этот раз ничего ведь не зависло? Чаще всего DHP:Process.Hollowing.EP - это ложно-положительное - без техподдержки не разобраться (Расшифровывается, как Doctor Web Process Heuristic - сработка эвристики на процесс.) Прикрепите лог сканирования. Отчет будет сохранен в папке C:\Users\<пользователь>\Doctor Web Запакуйте его в архив и прикрепите. 0

@severnyj 6458 / 2941 / 590 Регистрация: 04.04.2012 Сообщений: 10,689
	10.05.2026, 01:54
	Этого даже в лог не попало, будем считать ложным. Теперь для поиска виновника. Нужно запустить снова msconfig и включить ровно половину отключенного - перезагрузиться, запустить проверку - будет зависание, значит нужно отключить половину от половины, не будет, тогда включать половину от половины. И так методом половинного прибавления - вычитания - найти виновника. Да это муторно и сложно, но это наверное единственный способ, который я могу предложить. 0

@severnyj 6458 / 2941 / 590 Регистрация: 04.04.2012 Сообщений: 10,689
	10.05.2026, 20:12
	Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите. Компьютер будет перезагружен автоматически. Обновите ПО: AMD Software v.25.8.1 Внимание! Скачать обновления Microsoft 365 - ru-ru v.16.0.19929.20106 Внимание! Скачать обновления ^Инструкция по обновлению Microsoft Office. (Главная - Учетная запись - Параметры обновления - Обновить).^ Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления Microsoft OneDrive v.26.063.0405.0002 Внимание! Скачать обновления Google Chrome v.148.0.7778.96 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О браузере Google Chrome!^ Регулярно делайте резервные копии важных данных на внешние диски и в облачные хранилища, - так Вы защитите их от возможной утери при проблемах с "железом" или при атаках троянов-шифровальщиков. Для блокировки нежелательного контента советую установить расширения браузеров uBO Lite и Browser guard. Скачивайте расширения только из официальных магазинов. Не устанавливайте слишком много расширений и регулярно проверяйте их список. +++ Рекомендации после удаления вредоносного ПО 0

@niconoco 1 / 1 / 0 Регистрация: 07.05.2026 Сообщений: 17
	10.05.2026, 22:11 [ТС]
	сделано и всё обновлено, кроме офиса. Увы, утилиты стопорятся на том же. Но хотя бы после перезагрузки вроде как проверку все же выполняют полностью. 0

@severnyj 6458 / 2941 / 590 Регистрация: 04.04.2012 Сообщений: 10,689
	10.05.2026, 22:34
	Вредоносного в логах нет. Указанные вами файлы это официальные драйверы Microsoft от звуковой карты и драйверы ядра DirectX. Я бы все таки смотрел в сторону проблем с чтением с SSD. Если никаких других проблем не наблюдается, то не обращать на нее внимание. Можете создать тему в разделе форума Проблемы с ноутбуком с ссылкой на эту тему. 1

@niconoco 1 / 1 / 0 Регистрация: 07.05.2026 Сообщений: 17
	10.05.2026, 22:37 [ТС]
	Ну буду наблюдать. Еще раз большое спасибо за помощь. 1