Решена powershell.exe грузит систему

[Foolwar]

Заметил, что когда бездействуешь на рабочем столе, в течении примерно 5 минут, начинают сильнее работать кулера, при этом сильно тормозить курсор мышки и обои на рабочем столе (у меня живые обои), но когда открываю диспетчер задач, тормоза моментально исчезают. Так что я решил попробовать открыть "монитор ресурсов" и дождаться лагов, после появления лагов, я открыл диспетчер задач и увидел, что в мониторе ресурсов удалился тот самый процесс powershell.exe.

 

[Sandor]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\windows\profile\dllhostn.exe');
 QuarantineFile('c:\programdata\windows\profile\dllhostn.exe', '');
 QuarantineFile('c:\programdata\windows\profile\wasp.exe', '');
 QuarantineFileF('c:\programdata\windows', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteSchedulerTask('Microsoft\Windows\Feedback\Feedback');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT');
 DeleteSchedulerTask('Microsoft\Windows\MUI\1331861762');
 DeleteSchedulerTask('Microsoft\Windows\MUI\1340304221');
 DeleteFile('c:\programdata\windows\profile\dllhostn.exe', '');
 DeleteFile('c:\programdata\windows\profile\dllhostn.exe', '64');
 DeleteFile('c:\programdata\windows\profile\wasp.exe', '64');
 DeleteFileMask('c:\programdata\windows', '*', true);
 DeleteDirectory('c:\programdata\windows');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.


Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.

 

[Foolwar]

Пишет ошибку в 8 строке кода как понимаю (обозначено красной точкой)

 

[Sandor]

AVZ следует запускать из состава Автологера, т.е. эту:

D:\autologger\AutoLogger\AV\av_z.exe

 

[Foolwar]

Помогло, всё работает как часики, большое спасибо.

 

[Sandor]

Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.

Это всё же сделайте.

 

[Foolwar]

Это всё же сделайте.

 

[Sandor]

Сделайте дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Foolwar]

Сделайте дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {991B41A7-3214-4DC9-873A-2E43D8D428C5} - System32\Tasks\Microsoft\Windows\Maintenance\WinNAT => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-14] (Microsoft Windows -> Microsoft Corporation) -> %ALLUSERSPROFILE%\Windows\Profile\-c "6373564533;$JXtO='eUeXmgxOyVirNV';'n&(_gc6m _A*.-T4y*b).zNa}me/ (-'',husiji{n_5g 35S_y7_st),e,m!);u72sfi0,ng7m uSz8yskathe70m.[[IeO+{;u.?syib7ng7_ +Sb=ys__toee-m._2R_u3{nt!qirm![e.6/I_n4{tei_r!o_6pSute_r6xvi2_cnev{s;--uzs_zin+ngc !9Mi+pc2r_]os,mo=f_}t.,_W_i_on3g (запись имеет ещё 2137 символов). <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [2586]
  AlternateDataStreams: C:\ProgramData\GetDeviceCap.xml:998E64A56D [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft.SqlServer.Compact.400.32.bc:169D67954B [2586]
  AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access 2016.lnk:B76C4E1157 [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel 2016.lnk:F9B57EE960 [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NI Launcher.lnk:81F4CF937B [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NI Multisim 14.2.lnk:D5C06E40C2 [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NI Ultiboard 14.2.lnk:4D6B5A5522 [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote 2016.lnk:86E8B79B48 [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook 2016.lnk:21BFFA7D5A [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint 2016.lnk:E033AD74A8 [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Publisher 2016.lnk:17B869069B [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Unity Hub.lnk:830092544A [2586]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6448]
  FirewallRules: [{2A871FCB-E074-42D7-9F33-CF59CE80CEA2}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
  FirewallRules: [{EEE7251C-4F66-490D-974B-1202BBD250A8}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
  FirewallRules: [{410B88F6-74F6-4BC4-8FAA-775826475DA1}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Foolwar]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {991B41A7-3214-4DC9-873A-2E43D8D428C5} - System32\Tasks\Microsoft\Windows\Maintenance\WinNAT => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-14] (Microsoft Windows -> Microsoft Corporation) -> %ALLUSERSPROFILE%\Windows\Profile\-c "6373564533;$JXtO='eUeXmgxOyVirNV';'n&(_gc6m _A*.-T4y*b).zNa}me/ (-'',husiji{n_5g 35S_y7_st),e,m!);u72sfi0,ng7m uSz8yskathe70m.[[IeO+{;u.?syib7ng7_ +Sb=ys__toee-m._2R_u3{nt!qirm![e.6/I_n4{tei_r!o_6pSute_r6xvi2_cnev{s;--uzs_zin+ngc !9Mi+pc2r_]os,mo=f_}t.,_W_i_on3g (запись имеет ещё 2137 символов). <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [2586]
  AlternateDataStreams: C:\ProgramData\GetDeviceCap.xml:998E64A56D [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft.SqlServer.Compact.400.32.bc:169D67954B [2586]
  AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access 2016.lnk:B76C4E1157 [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel 2016.lnk:F9B57EE960 [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NI Launcher.lnk:81F4CF937B [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NI Multisim 14.2.lnk:D5C06E40C2 [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NI Ultiboard 14.2.lnk:4D6B5A5522 [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote 2016.lnk:86E8B79B48 [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook 2016.lnk:21BFFA7D5A [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint 2016.lnk:E033AD74A8 [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Publisher 2016.lnk:17B869069B [2586]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Unity Hub.lnk:830092544A [2586]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6448]
  FirewallRules: [{2A871FCB-E074-42D7-9F33-CF59CE80CEA2}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
  FirewallRules: [{EEE7251C-4F66-490D-974B-1202BBD250A8}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
  FirewallRules: [{410B88F6-74F6-4BC4-8FAA-775826475DA1}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[akok]

проблемы с системой еще наблюдаются?

 

[Sandor]

+
Удалите лишние исключения Защитника (те, что вы самостоятельно не добавляли).

 

[Foolwar]

проблемы с системой еще наблюдаются?

Нет, проблема решена

 

[akok]

Тогда финализируем
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки системы.