Решена Подозрение на майнер / Резкое понижение производительности ПК

Переводчик Google
H

horter

Новый пользователь
Сообщения
15
Реакции
0
Недавно (месяца два назад) начал замечать проблемы с видеокартой: вылеты, краши, проблемы с Nvidia App, ошибки драйверов. Даже были проблемы с установкой такого безобидного приложения как CapCut с официального сайта. После чистой переустановки драйверов в Nvidia App, проблема не решилась. Также после каждого такого вылета/краша (из игры или же capcut) система начинает очень тормозить, до такой степени, что даже панель "Пуск" не всегда открывается. В диспетчере задач я на свой невооружённый взгляд ничего странного не заметил а вот в "Мониторе ресурсов" заметил такие процессы как: LockApp.exe SecHealthUI.exe ShellExperienceHost.exe , которые мне не были знакомы раньше.

Все эти "вылеты" начали появляться на пике загруженности видеокарты. Особенно когда включаю или же выключаю функцию генерации кадров dlss - это гарантированный вылет и последующие сильные лаги системы.

Надеюсь поможете
 

Вложения

  • CollectionLog-2026.04.11-19.21.zip
    CollectionLog-2026.04.11-19.21.zip
    139.2 KB · Просмотры: 3
  • Снимок экрана 2026-04-11 183407.webp
    Снимок экрана 2026-04-11 183407.webp
    37.3 KB · Просмотры: 11
Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

Код: 
begin
 DeleteSchedulerTask('EdgeUpdate');
 DeleteSchedulerTask('NodeUpdate');
 DeleteFile('C:\Users\Usuario\AppData\Roaming\utorrent\pro\nodeupdate.vbs','64');
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки,
Пофиксите в HJT (некоторые строки могут отсутствовать):


Код: 
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUserPEH (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Users\Usuario (empty)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\DataBase - C:\Windows\SysWOW64\unsecapp.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\FilesBackUP - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\SupportSystem - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\winser - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\winsers - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (file missing)
O22 - Tasks_Migrated: EdgeUpdateTaskUser - C:\Windows\System32\wscript.exe /b "C:\ProgramData\Microsoft\wext.vbs" (sign: 'Microsoft')
O22 - Tasks_Migrated: OneDriveUpdater - C:\Windows\System32\wscript.exe /b "C:\ProgramData\Microsoft\wsIC.vbs" (sign: 'Microsoft')
O26 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file)
O27 - Account: (Hidden) User 'John' is invisible on logon screen


Скачайте AV block remover или с зеркала.
Сохраните утилиту только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads), запустите и следуйте инструкциям.
Если не запускается, запустите её в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологгером в обычном режиме загрузки.
 
Подготовьте еще 2 лога:

1) Скачайте утилиту DoesNotBelong и сохраните её на Рабочем столе.

Пожалуйста, сохраните все несохраненные файлы и закройте все программы, так как этот инструмент попытается закрыть все некритические процессы в ходе сканирования. Это касается и интернет-браузеров.
  • Щелкните правой кнопкой мыши по DoesNotBelong.exe и запустите его от имени администратора.
  • После прочтения заявления об отказе от ответственности нажмите «Да», чтобы начать сканирование
  • Скрипт создаст точку восстановления системы и приступит к сканированию, которое может занять некоторое время.
  • По завершении работы программы окно командной строки закроется, и в корневом каталоге диска C: будет создан журнал под названием DoesNotBelong_[дата]_[время].txt.
  • Пожалуйста, запакуйте отчет DoesNotBelong_[дата]_[время].txt. и прикрепите к своему следующему сообщению.

2) Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?

  • Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
  • Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
  • Нажмите кнопку Scan (Сканировать).

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.
 
Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:

Код: 
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
RemoveProxy:
C:\Users\Usuario\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bacpmnfhjpolcmemfaeeokniglipmpeg
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
R3 cpuz157; C:\WINDOWS\temp\cpuz157\cpuz157_x64.sys [43568 2026-04-12] (Microsoft Windows Hardware Compatibility Publisher -> CPUID) <==== ATENCIÓN
S3 GPUZ-v2; \??\C:\Users\Usuario\AppData\Local\Temp\GPUZ-v2.sys [X] <==== ATENCIÓN
AV: Kaspersky (Disabled - Up to date) {DABD1ABC-6D70-BB0E-89E6-BFA3FC920FD1}
AV: Kaspersky (Enabled - Up to date) {70E35457-C7D9-669C-FEA5-55382EABDC78}
AV: Kaspersky (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
C:\WINDOWS\system32\rfxvmt.dll
StartPowershell:
Remove-MpPreference -ExclusionPath "C:\Users\Usuario\AppData\Local\Temp\dControl.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\Kaspersky Lab\AVP21.22\Data\webview2"
Remove-MpPreference -ExclusionPath "C:\ProgramData\Kaspersky Lab\AVP21.23\Data\webview2"
Set-MpPreference -DisableAutoExclusions $true -Force
Set-MpPreference -Mapsreporting basic -Force
Set-MpPreference -DisableArchiveScanning $false -Force
Set-MpPreference -DisableBehaviorMonitoring $false -Force
Set-MpPreference -DisableRealtimeMonitoring $false -Force
Set-MpPreference -DisablePrivacyMode $true -Force
Set-MpPreference -DisableIOAVProtection $false -Force
Set-MpPreference -UILockdown 0
Set-MpPreference -ScanPurgeItemsAfterDelay 1
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
Set-MpPreference -PUAProtection enabled -Force
Update-MpSignature
Get-MpComputerStatus
Get-MpPreference
Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
Get-AppxPackage Microsoft.SecHealthUI -AllUsers|select Name, Status
EndPowerShell:
Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
C:\Firewall.reg
CMD: netsh advfirewall reset
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Запакуйте его в архив и прикрепите к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.
 
Сообщите, что с проблемой?
 
Всё стало намного лучше, вылеты как будто полностью изчезли. Но процесс ShellExperienceHost.exe остался на своем месте в мониторе ресурсов, возможно этот процесс вообщем не проблемный - просто ранее его не видел. Заметил что после выполнения ваших инструкций с компьютера пропал такой фоновый процесс как "Intelligent standby list cleaner ISLC.exe" и возможно какие то еще (не успел заметить), подскажите являлся ли он злокачественным для системы и стоит ли его удалить вовсе? До этого он вроде мне помогал с производельностью в играх, очищая кэш RAM. И также какую профилактику посоветуете чтобы в будущем избежать подобного?

Премного благодарен!
 

Вложения

  • 1776001155314.webp
    1776001155314.webp
    50.3 KB · Просмотры: 3
  • 1776002161272.webp
    1776002161272.webp
    33.8 KB · Просмотры: 3
Все процессы, названные вами в первом сообщении - системные. Возможно из-за повреждения системы они вызывали повышенную нагрузку.

Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.

Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.
 
Готово:
DoesNotBelong.exe и остальные утилиты также нужно удалить?
 

Вложения

Да, все остальные утилиты и логи можете просто удалить в Корзину.

Смените пароли (онлайн-банки и кошельки, социальные сети, игровые клиенты, электронная почта и проч.), проверьте мессенджеры на "лишние" сессии, завершите неизвестные, используйте двухфакторную авторизацию.

Регулярно делайте резервные копии важных данных на внешние диски и в облачные хранилища, - так Вы защитите их от возможной утери при проблемах с "железом" или при атаках троянов-шифровальщиков.

Обновите ПО:

Node.js v.24.13.0 Warning! Download Update
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35211 v.14.44.35211.0 Warning! Download Update
WinRAR 7.10 (64-bit) v.7.10.0 Warning! Download Update
FastStone Image Viewer 7.9 v.7.9 Warning! Download Update
Discord v.1.0.9221 Warning! Download Update
Zoom Workplace v.6.7.8 (32670) Warning! Download Update
Java 8 Update 471 (64-bit) v.8.0.4710.9 Warning! Download Update
Uninstall old version and install new one (jre-8u481-windows-x64.exe).
VLC media player v.3.0.21 Warning! Download Update
Google Chrome v.146.0.7680.180 Warning! Download Update

Для блокировки нежелательного контента советую установить расширения браузеров uBO Lite и Browser guard.

Скачивайте расширения только из официальных магазинов. Не устанавливайте слишком много расширений и регулярно проверяйте их список.

+++

Рекомендации после окончания лечения
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу