Решена JoHN Напрягает ЦП

[Serg84]

Доброго времени суток, уже давно висит у меня друг Джон. Помогите пожалуйста отправить его домой, очень уж он надоел... Циклично запускается файл taskhostw.exe и жрет весь ресурс ноута. При открывании Диспетчера, само собой он засыпает. Прав Администратора не хватает. Джона из списка пользователей прогонял в ручную....

 

[Sandor]

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам раздела - Правила оформления запроса о помощи

 

[regist]

Скачайте AV block remover.

Точней насколько я понимаю вы его уже скачали и запустили. Так что приложите лог его работы.

 

[Serg84]

Кажется так.

 

[regist]

Кажется так.

Это как понимаю повторный запуск AVbr - лог с первого запуска можете прикрепить?

 

[Serg84]

Этот был первым

 

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Bonjour

Затем:
"Пофиксите" в HijackThis только следующие строки:

O10 - Unknown file in Winsock LSP: C:\Program Files (x86)\Bonjour\mdnsNSP.dll
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O23 - Service S2: Malwarebytes Service - (MBAMService) - C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe (file missing)

Перезагрузите компьютер.

Удалите старые и соберите новые логи FRST.txt и Addition.txt

 

[Serg84]

сделано

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  Task: {1E9C5092-8365-47C5-8946-407705D01856} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ
  Task: {B78E26EC-9182-439A-840F-395E487CE583} - \Microsoft\Windows\Wininet\winser -> Нет файла <==== ВНИМАНИЕ
  Task: {C060F8C5-08A1-40AF-92F7-5405D2A288AD} - \Microsoft\Windows\Wininet\winsers -> Нет файла <==== ВНИМАНИЕ
  Task: {EB57911A-7330-4EDD-A5FE-3F2BDBEB0791} - \Microsoft\Windows\WindowsBackup\RealtekCheck -> Нет файла <==== ВНИМАНИЕ
  FirewallRules: [{E5A3AF06-E99D-4B20-B8B5-D64E1D931690}] => (Allow) C:\Users\TTWork\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{9E601FE1-06D5-4004-ABDB-1478F32C1434}] => (Allow) C:\Users\TTWork\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{E989F2F5-BD8C-42F6-9FE8-FF316E5984A9}] => (Allow) C:\Users\TTWork\MediaGet2\QtWebEngineProcess.exe => Нет файла
  FirewallRules: [{A117CD9C-F3FE-43DE-80D1-2CD6C4ACC5B9}] => (Allow) C:\Users\TTWork\MediaGet2\QtWebEngineProcess.exe => Нет файла
  FirewallRules: [{C1EEC822-EFFB-4BF2-B802-66D5707DA52F}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
  FirewallRules: [{CC937540-2D78-4A96-BB34-DC5A3E0CE1B1}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
  FirewallRules: [{164B1C76-8DFF-421E-A65F-FBE4B670B1D7}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
  FirewallRules: [{28932F64-BA7D-4A4D-886B-F794402B04F0}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
  FirewallRules: [{C845CCED-C3B3-4CE0-A7AA-0944C92164C0}] => (Allow) D:\Games\Counter-Strike 1.6 V1.3\hl.exe => Нет файла
  FirewallRules: [{B7E1CEEA-2C3A-4A82-8C7D-759A6C021E78}] => (Allow) D:\Games\Counter-Strike 1.6 V1.3\hl.exe => Нет файла
  FirewallRules: [{ADB9D336-0F9A-4EDD-A83D-46F8AAAC94F6}] => (Allow) C:\Program Files (x86)\TurboVPN\Driver32\vpncore.exe => Нет файла
  FirewallRules: [{B303F76C-CB97-4F98-A59A-D873B75248D1}] => (Allow) C:\Program Files (x86)\TurboVPN\Driver32\vpncore.exe => Нет файла
  FirewallRules: [{57B8C343-4751-4F40-B91F-174A7D445DA3}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
  FirewallRules: [{78A299F1-1F00-4F20-AD02-12FE58BC0727}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
  FirewallRules: [{E50BAD7D-11C6-4944-B5C0-5D52F2FA340E}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
  FirewallRules: [{79D51D50-743B-4196-B283-BB1C2E7F1A5C}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
  FirewallRules: [{E9B4B458-3C69-4654-B72F-C7EEF9A20D0C}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
  FirewallRules: [{699CBC8C-E098-4C65-9AF6-83EC7831DD2D}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Serg84]

Вот

 

[akok]

Проверяйте работу системы.

 

[Serg84]

Понял, спасибо. Посмотрю. Но эти 2 файла торчат, может это правильные...

 

[regist]

По фотографиям не гадаем, только по логам. И да, есть системные файлы с такими именами.

 

[Sandor]

Пока проделайте завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Serg84]

До конца проблема не ушла, по истечении нескольких минут бездействия, включается файл с названием taskhostw.exe. Нагружает ЦП до 15-20% и разогревает его до 75Градусов. Как только трогаешь мышь, файл прячется и загрузка ЦП падает до 2% температура опускается до 50градусов.

 

[Sandor]

HitmanPro 3.8 деинсталлируйте.

Проверим ещё так:
Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

 

[Serg84]

Последние действия не совершал. Сейчас сделаю

 

[Sandor]

Инструкции из сообщения №14 пока отменяются.

 

[Serg84]

Инструкции из сообщения №14 пока отменяются.

Понял удаляю Hitman.
Еще заметил, что через меню ПУСК
, не срабатывает вкладка "Параметры". Просто моргает и не открывается.

 

[Serg84]

Проверим ещё так:
Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.

При попытке запуска файла программы с EXE расширением, происходит кратковременное моргание окна и ничего не происходит