• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Нагрузка процессора на 25% в простое

Eeevel

Новый пользователь
Сообщения
14
Реакции
1
Баллы
3
Добрый день. Пару месяцев назад заметил странное поведение ноутбука: в простое (спустя 1-2 минуты) процесс System грузит процессор на 24-26%. Немного удивился, но тогда не было сильно времени разбираться в проблеме. Думал, что-то подвисло, мало ли... На этой неделе руки дошли (а это явление изрядно начало раздражать) до данного "глюка". Стоит антивирус ESET NOD32. Несколько раз прошел антивирусом - результата не дало: пишет, что вирусов не обнаружено, но процесс в простое все так же нагружает процессор. Переходил в безопасный режим, в нем ничего не появляется (процессор не нагружается). Также заметил, что сразу при включении ноутбука данное явление отсутствует (появляется только в случае, если открыть какое-либо приложение, например, браузер, а потом не трогать мышку все те же 1-2 минуты). Логи прикрепил, скриншот из диспетчера задач тоже. За последние пару месяцев были установлены AutoCAD, DAEMON Tools для учебы, а также KMSAuto (для Word). Windows лицензионная. Подозреваю, что это какой-то майнер, но я некомпетентен в данном вопросе. KMSAuto сразу же после активации удалил, исходник остался. Заранее прошу прощения, если сказал что-то не так.
 

Вложения

akok

Команда форума
Администратор
Сообщения
18,249
Реакции
13,725
Баллы
2,203
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
18,249
Реакции
13,725
Баллы
2,203
Ваш провайдер?
Tcpip\..\Interfaces\{f6d9c2cc-0795-4385-8e09-b21bf7bc8f75}: [DhcpNameServer] 10.66.232.1
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-1194397495-2405622991-78788483-1001\...\Policies\Explorer: []
    ShortcutTarget: GenuineService.lnk -> C:\Users\Pavel\Autodesk\Genuine Service\GenuineService.exe (No File)
    ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
    ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
    ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
    ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
    ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Eeevel

Новый пользователь
Сообщения
14
Реакции
1
Баллы
3
Про провайдера сказать не могу: не знаю, как это посмотреть. Но IP адрес у меня другой. Вот лог-файл.
 

Вложения

akok

Команда форума
Администратор
Сообщения
18,249
Реакции
13,725
Баллы
2,203
Тогда уберем
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Tcpip\..\Interfaces\{f6d9c2cc-0795-4385-8e09-b21bf7bc8f75}: [DhcpNameServer] 10.66.232.1
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Что с проблемой?
 

Eeevel

Новый пользователь
Сообщения
14
Реакции
1
Баллы
3
Вот лог-файл. Проблема не ушла, но появилась уже спустя 5-7 минут и было около 23-24% (раньше, повторюсь, было буквально на 1-3% больше и появлялось на 2-3 минуты раньше). Скриншот также прикрепил.
 

Вложения

akok

Команда форума
Администратор
Сообщения
18,249
Реакции
13,725
Баллы
2,203
Как интересно, в логах ничего явно вредоносного не видно. Зайдем с другой стороны

Выполните загрузку в безопасном режиме. Если проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь.
 

Eeevel

Новый пользователь
Сообщения
14
Реакции
1
Баллы
3
Спасибо за совет! Сейчас попробую это сделать. После получения какого-либо результата обязательно напишу Вам!
 

Eeevel

Новый пользователь
Сообщения
14
Реакции
1
Баллы
3
Отключил все службы и автозагрузку приложений, но проблема не исчезла. Все те же 23-26%, но появляются уже спустя 8-9 минут простоя. В безопасном режиме спустя 10 минут не появляется ничего.
Скриншот сделал только что, спустя 9 минут после включения ноутбука.
 

Вложения

akok

Команда форума
Администратор
Сообщения
18,249
Реакции
13,725
Баллы
2,203
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.
 

akok

Команда форума
Администратор
Сообщения
18,249
Реакции
13,725
Баллы
2,203
Днем продолжим
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,779
Реакции
1,931
Баллы
563
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    ;---------command-block---------
    zoo %SystemRoot%\TEMP\587E8516-8BDF-4A5B-A326-182B7A1A0F47
    delall %SystemRoot%\TEMP\587E8516-8BDF-4A5B-A326-182B7A1A0F47
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.189.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
    apply
    
    deltmp
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
Подробнее читайте в этом руководстве.
 

Eeevel

Новый пользователь
Сообщения
14
Реакции
1
Баллы
3
Выполнил скрипт, но System все так же нагружает процессор (
 

akok

Команда форума
Администратор
Сообщения
18,249
Реакции
13,725
Баллы
2,203
Не похоже, что это вредоносное ПО. Попробуйте при помощи Process Hacker или другого альтернативного диспетчера задач определить, конкретный процесс вызывающий нагрузку (может индексация идет для поисковика или обновление)
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,779
Реакции
1,931
Баллы
563
Я бы предложил Process Explorer, который не нужно устанавливать.
 
  • Like
Реакции: akok

Eeevel

Новый пользователь
Сообщения
14
Реакции
1
Баллы
3
1 скриншот - диспетчер задач и Process Hacker в один и тот же момент времени. Странно, что нагрузка в Process Hacker в 2 раза меньше, чем в диспетчере задач. 2 скриншот - Process Explorer, но уже в другой момент времени (спустя где-то 10 минут после того, как сделал 1). На нем также нагрузка 12.5%, что в 2 раза меньше, чем обычно показывает диспетчер задач.
 

Вложения

Eeevel

Новый пользователь
Сообщения
14
Реакции
1
Баллы
3
Буквально на прошлой неделе что-то прилетало (возможно, чуть ранее), и ноутбук автоматически обновился.
Автоматические обновления стоят.
 

Вложения

Сверху Снизу