Решена Вентилятор ноутбука на максимуме (ivanovsasha224)

[vladislav96]

Добрый день. Прошу помочь в моем вопросе.
В один день, ноутбук стал работать как то не стабильно, постоянно работает вентилятор на максимуме, разобраться сам не могу. Зашел в антивирус, ничего он не нашел. Но позже я зашел в папку исключения в антивирусе и нашел там множество папок которые нельзя удалить, на локальном диске их не видно. Одна из папок с названием ivanovsasha224.

Буду очень признателен если поможете исправить мою проблему.

 

[vladislav96]

это отчет с последней проверки

 

[Dragokas]

Здравствуйте, @vladislav96!
Пожалуйста, выполните данные правила: Правила оформления запроса о помощи

 

[vladislav96]

все прочитал, прикрепляю

 

[Sandor]

@vladislav96, здравствуйте!

"Пофиксите" в HijackThis:

O22 - Tasks: \WProxy\WinProxy - C:\Program Files\WProxy\WinProxy\WinProxy.exe (not signed - WProxy - 0BBE19447500840EEE7EB90E990FBD3E236884E9)
O22 - Tasks: mxKvemkTIlpGvgdSY2 - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\JFyddkprETCzqMMLBGR\dTSYrlg.dll",#1 (sign: 'Microsoft')
O22 - Tasks: nimbus-screenshot-S-1-5-21-2100666923-1204175658-1263153712-1001 - C:\Windows\System32\msiexec.exe /i "C:\Users\VladA\AppData\Local\Programs\a8b8166c\12bffdd603.msi" /quiet CHROME=1 (sign: 'Microsoft')
O22 - Tasks: nkDExNPndYjMBO - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\jqzSFVsJkASU2\ccMEbpVvMwOFQ.dll",#1 (sign: 'Microsoft')
O22 - Tasks: ulhHlyPZHrvOD2 - C:\Windows\system32\forfiles.exe /p C:\Windows\system32 /m wscript.exe /c "cmd /C @FNAME ^"C:\ProgramData\SGxEpfgRGcSNqWVB\MLvruHY.wsf^"" (sign: 'Microsoft')
O22 - Tasks: VuiZVRssegaZaClyNZl2 - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\viunpXqnxwggC\yuOtCjn.dll",#1 (sign: 'Microsoft')

Перезагрузите компьютер.

Далее:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[vladislav96]

прикладываю

 

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Bonjour
Кнопка "Яндекс" на панели задач

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Task: {D362C5BB-7480-4C8C-8B4D-C9E5AA575091} - System32\Tasks\fPMXMnNdtwTzchL2 => C:\Windows\system32\rundll32.exe [73728 2022-05-07] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\MYhmhFslU\cEpvwF.dll",#1 <==== ВНИМАНИЕ
  Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
  Edge StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
  Edge DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
  Edge DefaultSearchKeyword: Default -> cdn
  C:\Users\VladA\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
  CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
  CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
  CHR DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
  CHR DefaultSearchKeyword: Default -> cdn
  C:\Users\VladA\AppData\Local\Google\Chrome\User Data\Default\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
  C:\Users\VladA\AppData\Local\Google\Chrome\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
  CHR HKU\S-1-5-21-2100666923-1204175658-1263153712-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
  C:\Users\VladA\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
  2024-01-15 19:38 - 2024-01-28 20:38 - 000000000 ____D C:\ProgramData\SGxEpfgRGcSNqWVB
  2024-01-15 19:38 - 2024-01-15 19:38 - 000003008 _____ C:\Windows\system32\Tasks\fPMXMnNdtwTzchL2
  2024-01-08 18:05 C:\ProgramData\RDP Wrapper
  AlternateDataStreams: C:\Users\VladA\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\VladA\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  FirewallRules: [{ACE7B3B8-E61F-4C43-90A6-5386E2D22A24}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
  FirewallRules: [{E3A8773A-68B0-4D9C-9C86-956874561CA3}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
  FirewallRules: [{942987CD-C892-478F-B26C-86D8615F3491}] => (Allow) 㩃啜敳獲噜慬䅤䅜灰慄慴剜慯業杮瑜捯瑜偒湕攮數 => Нет файла
  FirewallRules: [{62255F61-DD63-44C8-AAB3-8BFAA0617239}] => (Allow) 㩃啜敳獲噜慬䅤䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
  FirewallRules: [{89BD34D3-1A14-4DFB-8024-3BA8D1E8AB90}] => (Allow) 㩃啜敳獲噜慬䅤䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
  FirewallRules: [{913BF180-9920-44D5-AB0A-DDE0EAB89FD8}] => (Allow) 㩃啜敳獲噜慬䅤䅜灰慄慴剜慯業杮瑜捯䭜䝉⹯硥e => Нет файла
  FirewallRules: [{5E3190F6-97E2-4C6E-B0D2-2571A6A2326F}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{0A098BBE-085F-4AC3-9AE5-46A0375FBE4B}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{2CBF422D-9884-487F-84D7-D54E89478ACA}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{03052769-DCDC-4031-A5F0-F631C3B01A4B}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[vladislav96]

прикрепляю

 

[Sandor]

Скрипт отработал успешно. Что с проблемой (с вентиляторами)?

 

[vladislav96]

так же сильно продолжают работать(

 

[vladislav96]

в антивирусе остался один файл в исключениях который нельзя удалить, его не было раньше

 

[Sandor]

так же сильно продолжают работать

Это происходит постоянно или в определённые моменты?
Физическую чистку системы охлаждения давно делали?

остался один файл в исключениях

Выполните такой скрипт

• Выделите следующий код:
  

  Start::
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

[vladislav96]

физическая чистка проводилась не так давно, прикрепляю

 

[vladislav96]

происходит это не постоянно, то повышаются обороты, и стоит так долгое время, потом падают, и тут же снова разгоняются

 

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  startpowershell:
  # 4-14-2022 M. Naggar
  # Funtion Remove-all-windefend-excludes to Remove all exclusions on MS Windefend
  Set-MpPreference -DisableAutoExclusions $true -Force
  set-mppreference -mapsreporting basic -Force
  set-mppreference -DisableRealtimeMonitoring $false -Force
  set-mppreference -DisablePrivacyMode $true -Force
  set-mppreference -DisableIOAVProtection $false -Force
  set-mppreference -CheckForSignaturesBeforeRunningScan $true -Force
  set-mppreference -PUAProtection enabled -Force
  Set-MpPreference -DisableBehaviorMonitoring $false -Force
  Set-MpPreference -SignatureScheduleDay Everyday -force
  set-mppreference -RealTimeProtectionEnabled $true -force
  set-mppreference -OnAccessProtectionEnabled $true -force
  
  Function Remove-all-windefend-excludes {
  $Paths=(Get-MpPreference).ExclusionPath
  $Extensions=(Get-MpPreference).ExclusionExtension
  $Processes=(Get-MpPreference).ExclusionProcess
  foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
  foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
  foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
  }
  Set-MpPreference -DisableAutoExclusions $true -Force
  Remove-all-windefend-excludes
  endpowershell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

падают, и тут же снова разгоняются

Заметить какой процесс при этом отъедает больше других можете?
Попробуйте отследить с помощью Process Explorer.

 

[vladislav96]

прикрепляю
как отследить и что именно смотреть честно не понимаю, не разбираюсь в этом, приложил скрин
из исключений антивируса после перезагрузки исчезла папка которую добавлял сам, ту что нельзя удали все равно осталась

 

[vladislav96]

скрин из Process Explorer как раз в момент работы вентилятора на высоких

 

[Sandor]

ту что нельзя удали все равно осталась

Вижу, и это странно.
Пора вам обратиться в системный раздел. У меня идеи кончились, а там больше форумчан может принять участие в обсуждении.

в момент работы вентилятора на высоких

При этом загрузка процессора практически нулевая.
Об этом тоже поговорите с системщиками. Ссылку на эту тему там укажите.

 

[vladislav96]

хорошо, спасибо за помощь

 

[vladislav96]

я рещил еще раз провести анализ , может быть что то увидите