• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Процессор cmd.exe грузит на 30% Windows 10pro 64x

Статус
В этой теме нельзя размещать новые ответы.

svetlanagirl

Новый пользователь
Сообщения
14
Реакции
2
Баллы
3
Всем привет.очень нужна помощь.
Пк стал жужать.я сама не разбираюсь.обнаружила что пк стал логать иза процессора cmd.exe на 30-40%
Как я поняла брат играл с читами.сканировала антивирусами толку 0.
Установлена Windows 10pro 64x
Буду очень признательна если найду помощи тут.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,785
Реакции
13,524
Баллы
2,203
По ссылке подробная инструкция.
 

akok

Команда форума
Администратор
Сообщения
17,785
Реакции
13,524
Баллы
2,203
Вижу, продолжим сегодня днем. Спокойной ночи!
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,469
Реакции
1,847
Баллы
563
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\microsoftu\csrss.exe');
 StopService('MicrosoftU');
 QuarantineFile('C:\ProgramData\{38566920-3856-3856-385669203746}\lsm.exe', '');
 QuarantineFile('c:\windows\microsoftu\csrss.exe', '');
 DeleteSchedulerTask('Microsoft LocalManager[Windows 10 Pro]');
 DeleteFile('C:\ProgramData\{38566920-3856-3856-385669203746}\lsm.exe', '64');
 DeleteFile('c:\windows\microsoftu\csrss.exe', '');
 DeleteFile('C:\Windows\MicrosoftU\csrss.exe', '64');
 DeleteService('MicrosoftU');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 

svetlanagirl

Новый пользователь
Сообщения
14
Реакции
2
Баллы
3
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\windows\microsoftu\csrss.exe');
StopService('MicrosoftU');
QuarantineFile('C:\ProgramData\{38566920-3856-3856-385669203746}\lsm.exe', '');
QuarantineFile('c:\windows\microsoftu\csrss.exe', '');
DeleteSchedulerTask('Microsoft LocalManager[Windows 10 Pro]');
DeleteFile('C:\ProgramData\{38566920-3856-3856-385669203746}\lsm.exe', '64');
DeleteFile('c:\windows\microsoftu\csrss.exe', '');
DeleteFile('C:\Windows\MicrosoftU\csrss.exe', '64');
DeleteService('MicrosoftU');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
Добрый день сделала все.пк перезапустился далее еще 2 код вела.он написал ошибок не найдено.
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,469
Реакции
1,847
Баллы
563
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

svetlanagirl

Новый пользователь
Сообщения
14
Реакции
2
Баллы
3
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,469
Реакции
1,847
Баллы
563
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    2019-08-01 16:17 - 2019-08-10 14:49 - 000000000 ____D C:\ProgramData\IObit
    2019-08-01 16:17 - 2019-08-10 14:49 - 000000000 ____D C:\Program Files (x86)\IObit
    2019-08-01 16:17 - 2019-08-01 16:17 - 000027552 _____ (REALiX(tm)) C:\Windows\SysWOW64\Drivers\HWiNFO64A.SYS
    2019-08-01 16:17 - 2019-08-01 16:17 - 000000000 ____D C:\Users\Все пользователи\ProductData
    2019-08-01 16:17 - 2019-08-01 16:17 - 000000000 ____D C:\ProgramData\ProductData
    AlternateDataStreams: C:\Users\bysvetlanagirl\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    AlternateDataStreams: C:\Users\bysvetlanagirl\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

svetlanagirl

Новый пользователь
Сообщения
14
Реакции
2
Баллы
3
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    2019-08-01 16:17 - 2019-08-10 14:49 - 000000000 ____D C:\ProgramData\IObit
    2019-08-01 16:17 - 2019-08-10 14:49 - 000000000 ____D C:\Program Files (x86)\IObit
    2019-08-01 16:17 - 2019-08-01 16:17 - 000027552 _____ (REALiX(tm)) C:\Windows\SysWOW64\Drivers\HWiNFO64A.SYS
    2019-08-01 16:17 - 2019-08-01 16:17 - 000000000 ____D C:\Users\Все пользователи\ProductData
    2019-08-01 16:17 - 2019-08-01 16:17 - 000000000 ____D C:\ProgramData\ProductData
    AlternateDataStreams: C:\Users\bysvetlanagirl\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    AlternateDataStreams: C:\Users\bysvetlanagirl\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Вложения

svetlanagirl

Новый пользователь
Сообщения
14
Реакции
2
Баллы
3
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    2019-08-01 16:17 - 2019-08-10 14:49 - 000000000 ____D C:\ProgramData\IObit
    2019-08-01 16:17 - 2019-08-10 14:49 - 000000000 ____D C:\Program Files (x86)\IObit
    2019-08-01 16:17 - 2019-08-01 16:17 - 000027552 _____ (REALiX(tm)) C:\Windows\SysWOW64\Drivers\HWiNFO64A.SYS
    2019-08-01 16:17 - 2019-08-01 16:17 - 000000000 ____D C:\Users\Все пользователи\ProductData
    2019-08-01 16:17 - 2019-08-01 16:17 - 000000000 ____D C:\ProgramData\ProductData
    AlternateDataStreams: C:\Users\bysvetlanagirl\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    AlternateDataStreams: C:\Users\bysvetlanagirl\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,785
Реакции
13,524
Баллы
2,203
Что с проблемой?
 

akok

Команда форума
Администратор
Сообщения
17,785
Реакции
13,524
Баллы
2,203
Исправьте по возможности
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.175.18362.0 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен (Уровень 1)

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ FirewallWindows ] ---------------------------
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.19.0.107 v.3.19.0.107 Внимание! Скачать обновления
K-Lite Mega Codec Pack 15.0.9 v.15.0.9 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Telegram Desktop, версия 1.8.1 v.1.8.1 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.223 Внимание! Скачать обновления
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу