Проводник сильно нагружает ОЗУ и ЦП

[qweqweqwe 0]

Модель ноутбука: MSI

---

Суть и описание Вашей проблемы:

Если зайти в диспетчер задач, то видно, что проводник нагружает CPU и очень сильно нагружает память. При этом, если выключить интернет, то проблема решится. Перепробовал кучу антивирусников, никакой не дал результат. Не понимаю, вирус ли это вообще?

---

Когда (после чего) появилась проблема:

возможно, после установки торрентов

---

Ваши действия по решению проблемы:

Перезагрузка, установка многих антивирусов, проверка пути расположения процесса, проверка системы, очистка диска.

---

Операционная система: Windows 10

---

Скриншоты/фото с проблемой:

---

[Misferado 1 821]

Привет. Это вирус. Пробуйте Dr. Web Cureit и Rogue Killer.
Если не поможет, форматируйте диск и ставьте с флешки оригинальный образ Windows.

[John_Doe 1 086]

46 минут назад, qweqweqwe сказал:

кучу антивирусников

каких?

[qweqweqwe 0]

касперский, malwarebytes, drweb crueit, rogue killer, виндоус дефендер. ни один из них не видит проблему даже при включенном процессе.

[Show 222]

20 минут назад, qweqweqwe сказал:

касперский, malwarebytes, drweb crueit, rogue killer, виндоус дефендер. ни один из них не видит проблему даже при включенном процессе.

Может быть множество причин. Вот, к примеру.

Спойлер

https://rutube.ru/video/958b251227103d965a760bd9d70f1d1e/?ysclid=mcyt9vzico459871459

 

 

[John_Doe 1 086]

MinerSearch попробуй

и Loaris Trojan Remover

 

Изменено 11 июля пользователем John_Doe

[SamsungGalaxy 0]

@qweqweqwe Здравствуйте! Решили проблему? если нет я могу вам помочь в удалении майнера.

Скачайте Farbar Recovery Scan Tool отсюдова https://www.safezone.cc/resources/farbar-recovery-scan-tool.231/  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

@qweqweqweТак же приложите отчёт AVbr если запускали его.

1 час назад, qweqweqwe сказал:

касперский, malwarebytes, drweb crueit, rogue killer, виндоус дефендер. ни один из них не видит проблему даже при включенном процессе.

Такое бывает. Если у вас есть отчёты сканирования этих утилит то приложите их тоже.

[John_Doe 1 086]

[SamsungGalaxy 0]

И? Вы хоть обратили внимание что это за антивирусы.

Эта утилита используется на форумах где помогают удалить малварь.

Касперский к примеру, Safezone,Virusinfo. (не реклама).

1 минуту назад, SamsungGalaxy сказал:

И? Вы хоть обратили внимание что это за антивирусы.

Это ложные алерты.

[SamsungGalaxy 0]

@qweqweqweЧто с проблемой?

[qweqweqwe 0]

отчеты с антивирусов не сохранились

 

Addition.txt FRST.txt

[SamsungGalaxy 0]

Отлично,теперь скачайте ещё автоллогер.

Распакуйте архив автоматического сборщика логов в любую удобную для Вас папку.

После распаковки у вас появится файл AutoLogger.exe, запустите его и следуйте выводимым рекомендациям.

Появится окошко предупреждающее, что сейчас будет запущен автоматический сбор логов. Нажмите "Ок" для продолжения работы (При нажатии "Отмена" будет выход из утилиты без запуска сканирования).

Отключите или приостановите защиту вашего антивируса, если вы этого не сделали до начала сканирования. Подтвердите, что его отключили нажатием кнопки "Ок".

Появится окошко, предупреждающее о запуске браузеров. Пожалуйста, после открытия браузеров сверните их в трей и не закрывайте до окончания сканирования.

В случае если у вас х86 битная система, будет выведено окошко о необходимости перезагрузки с предложением это сделать сейчас. Работа утилиты автоматически продолжится после перезагрузки.

После перезагрузки надо повторно приостановить защиту вашего антивируса и свернуть в трей браузеры до окончания сканирования.

По окончании работы в папке AutoLogger, расположенной там же, куда распаковали архив, вы найдёте архив со своими логами. Архив имеет имя CollectionLog-yyyy.mm.dd-hh.mm
Где yyyy.mm.dd-hh.mm - дата и время запуска сканирования. Например: CollectionLog-2017.10.12-12.12

[SamsungGalaxy 0]

Посмотрел логи Addition и FRST по ним всё почти чисто. Соберите логи автологгера там ещё посмотрим.

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора 

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
StartupDir: C:\Users\V\AppData\Local\Temp\50c1695437 <==== ВНИМАНИЕ
CMD:SFC /scannow
EmptyTemp:
Reboot:
End::

Скрипт автоматически очистит систему, и перезагрузит ее.

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST. Напишите по результату.

[qweqweqwe 0]

вот все логи

Fixlog.txt CollectionLog-2025.07.12-10.00.zip

[John_Doe 1 086]

Loaris запускал?

Что показал?

[SamsungGalaxy 0]

Результаты исправления Farbar Recovery Scan Tool (x64) Версия: 11-07-2025 01
Запущено с помощью V (12-07-2025 10:06:09) Run:1
Запущено из C:\Users\V\Downloads
Загруженные профили: V & уцк
Режим загрузки: Normal
==============================================

fixlist содержимое:
*****************
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
StartupDir: C:\Users\V\AppData\Local\Temp\50c1695437 <==== ВНИМАНИЕ
CMD:SFC /scannow
EmptyTemp:
Reboot:
End::
*****************

Процессы успешно завершились.
SystemRestore: On => завершено
Точка восстановления была успешно создана.
StartupDir: C:\Users\V\AppData\Local\Temp\50c1695437 <==== ВНИМАНИЕ => успешно восстановлен

========= SFC /scannow =========

Начато сканирование системы.  Этот процесс может занять некоторое время.

Начало стадии проверки при сканировании системы.

Проверка 0% завершена.
Проверка 1% завершена.
Проверка 1% завершена.
Проверка 2% завершена.
Проверка 3% завершена.
Проверка 3% завершена.
Проверка 4% завершена.
Проверка 4% завершена.
Проверка 5% завершена.
Проверка 6% завершена.
Проверка 6% завершена.
Проверка 7% завершена.
Проверка 7% завершена.
Проверка 8% завершена.
Проверка 9% завершена.
Проверка 9% завершена.
Проверка 10% завершена.
Проверка 10% завершена.
Проверка 11% завершена.
Проверка 12% завершена.
Проверка 12% завершена.
Проверка 13% завершена.
Проверка 14% завершена.
Проверка 14% завершена.
Проверка 15% завершена.
Проверка 15% завершена.
Проверка 16% завершена.
Проверка 17% завершена.
Проверка 17% завершена.
Проверка 18% завершена.
Проверка 18% завершена.
Проверка 19% завершена.
Проверка 20% завершена.
Проверка 20% завершена.
Проверка 21% завершена.
Проверка 21% завершена.
Проверка 22% завершена.
Проверка 23% завершена.
Проверка 23% завершена.
Проверка 24% завершена.
Проверка 25% завершена.
Проверка 25% завершена.
Проверка 26% завершена.
Проверка 26% завершена.
Проверка 27% завершена.
Проверка 28% завершена.
Проверка 28% завершена.
Проверка 29% завершена.
Проверка 29% завершена.
Проверка 30% завершена.
Проверка 31% завершена.
Проверка 31% завершена.
Проверка 32% завершена.
Проверка 32% завершена.
Проверка 33% завершена.
Проверка 34% завершена.
Проверка 34% завершена.
Проверка 35% завершена.
Проверка 36% завершена.
Проверка 36% завершена.
Проверка 37% завершена.
Проверка 37% завершена.
Проверка 38% завершена.
Проверка 39% завершена.
Проверка 39% завершена.
Проверка 40% завершена.
Проверка 40% завершена.
Проверка 41% завершена.
Проверка 42% завершена.
Проверка 42% завершена.
Проверка 43% завершена.
Проверка 43% завершена.
Проверка 44% завершена.
Проверка 45% завершена.
Проверка 45% завершена.
Проверка 46% завершена.
Проверка 46% завершена.
Проверка 47% завершена.
Проверка 48% завершена.
Проверка 48% завершена.
Проверка 49% завершена.
Проверка 50% завершена.
Проверка 50% завершена.
Проверка 51% завершена.
Проверка 51% завершена.
Проверка 52% завершена.
Проверка 53% завершена.
Проверка 53% завершена.
Проверка 54% завершена.
Проверка 54% завершена.
Проверка 55% завершена.
Проверка 56% завершена.
Проверка 56% завершена.
Проверка 57% завершена.
Проверка 57% завершена.
Проверка 58% завершена.
Проверка 59% завершена.
Проверка 59% завершена.
Проверка 60% завершена.
Проверка 61% завершена.
Проверка 61% завершена.
Проверка 62% завершена.
Проверка 62% завершена.
Проверка 63% завершена.
Проверка 64% завершена.
Проверка 64% завершена.
Проверка 65% завершена.
Проверка 65% завершена.
Проверка 66% завершена.
Проверка 67% завершена.
Проверка 67% завершена.
Проверка 68% завершена.
Проверка 68% завершена.
Проверка 69% завершена.
Проверка 70% завершена.
Проверка 70% завершена.
Проверка 71% завершена.
Проверка 72% завершена.
Проверка 72% завершена.
Проверка 73% завершена.
Проверка 73% завершена.
Проверка 74% завершена.
Проверка 75% завершена.
Проверка 75% завершена.
Проверка 76% завершена.
Проверка 76% завершена.
Проверка 77% завершена.
Проверка 78% завершена.
Проверка 78% завершена.
Проверка 79% завершена.
Проверка 79% завершена.
Проверка 80% завершена.
Проверка 81% завершена.
Проверка 81% завершена.
Проверка 82% завершена.
Проверка 83% завершена.
Проверка 83% завершена.
Проверка 84% завершена.
Проверка 84% завершена.
Проверка 85% завершена.
Проверка 86% завершена.
Проверка 86% завершена.
Проверка 87% завершена.
Проверка 87% завершена.
Проверка 88% завершена.
Проверка 89% завершена.
Проверка 89% завершена.
Проверка 90% завершена.
Проверка 90% завершена.
Проверка 91% завершена.
Проверка 92% завершена.
Проверка 92% завершена.
Проверка 93% завершена.
Проверка 93% завершена.
Проверка 94% завершена.
Проверка 95% завершена.
Проверка 95% завершена.
Проверка 96% завершена.
Проверка 97% завершена.
Проверка 97% завершена.
Проверка 98% завершена.
Проверка 98% завершена.
Проверка 99% завершена.
Проверка 100% завершена.

Программа защиты ресурсов Windows обнаружила поврежденные файлы и успешно 
их восстановила.
Подробные сведения см. в файле CBS.Log, который находится по следующему пути:
windir\Logs\CBS\CBS.log. Например, C:\Windows\Logs\CBS\CBS.log. Подробные сведения
включены в файл журнала, предоставляемый флагом /OFFLOGFILE.

========= Конец от CMD: =========

=========== EmptyTemp: ==========

FlushDNS => завершено
BITS transfer queue => 1572864 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 18113631 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 879429353 B
Windows/system/drivers => 89448981 B
Edge => 0 B
Chrome => 278278341 B
Firefox => 1264285009 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 32300 B
NetworkService => 61080 B
V => 744011531 B
уцк => 788995269 B

RecycleBin => 0 B
EmptyTemp: => 3.8 GB временные данные Удалены

================================

Системе требуется перезагрузка.

==== Конец от Fixlog 10:09:23 ====

Походу что то было с системными файлами.

сейчас составлю ещё фикс я походу ещё что то откопал.

[SamsungGalaxy 0]

Запустите HiJackThis+ (утилита находится в папке Автологера - ...\AutoLogger\HiJackThis\)
 

Нажмите кнопку "Do a system scan only"

В открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix сhecked".

O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Startup = C:\Users\V\AppData\Local\Temp\50c1695437
O7 - KnownFolder: C:\Users\V\AppData\Local\Temp\50c1695437 (folder missing)
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Startup = C:\Users\V\AppData\Local\Temp\50c1695437
O23 - Driver R: (no name) - C:\Users\V\AppData\Local\Temp\36372ee3d.sys (sign: 'Microsoft' - no company)
O23 - Driver R: (no name) - C:\Users\V\AppData\Local\Temp\72E4AE4C-A67FE4EE-C980D004-C7F84D24\35c253842.sys (file missing)
O22 - BITS Job: (upload) {C54419CE-B0AB-43D9-9156-D8E8D330A7FC} - hxxp://vvv2.mcneel.com/errorreporting/rh50install_34b28d4e-346d-4353-a061-7adebc251144.zlib -> C:\Users\V\AppData\Local\Temp\34b28d4e-346d-4353-a061-7adebc251144.zlib
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Подробнее тут: https://www.safezone.cc/threads/kak-pofiksit-s-pomoshch-yu-hijackthis.9/

 

После этого:

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):
 

 begin
 QuarantineFile('C:\Users\V\AppData\Local\Temp\72E4AE4C-A67FE4EE-C980D004-C7F84D24\35c253842.sys','');
 QuarantineFile('C:\Users\V\AppData\Local\Temp\2287A20E-5062E021-1AE0FE5F-6466EED6\zOLb8MpPXtFJ3vA.exe','');
 DeleteFile('C:\Users\V\AppData\Local\Temp\2287A20E-5062E021-1AE0FE5F-6466EED6\zOLb8MpPXtFJ3vA.exe','64');
 DeleteFile('C:\Users\V\AppData\Local\Temp\72E4AE4C-A67FE4EE-C980D004-C7F84D24\35c253842.sys','64');
 ExecuteSysClean;
 RebootWindows(true);
 end.

После этого опишите что с проблемой.

Система перезагрузится.

 

1 минуту назад, SamsungGalaxy сказал:

Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

 

[qweqweqwe 0]

скрипт и прочее в фиксе не помогло

[qweqweqwe 0]

8 часов назад, John_Doe сказал:

Loaris запускал?

Что показал?

ничего особенного

[Ryzen 154]

Никого и ничего не осуждаю, но столько движений, потраченного времени и ноль результата. 

У меня в подъезде дома есть индивидумы(молодые), которые живут на 2 этаже, и, нет бы, подняться по лестнице 1 пролёт, так они стоят у лифта и готовы его ждать с самого верхнего 17 этажа, чтобы проехать вверх на один. Вот в в этом трэде происходит +- то же самое.

Вместо того, чтобы за час переустановить винду, автор предпочитает четвертые сутки рассматривать самые разные гипотезы, испытывать 1000 методов диагностики и лечения вируса.

Изменено Суббота в 16:53 пользователем Ryzen

[SamsungGalaxy 0]

29 минут назад, Ryzen сказал:

Никого и ничего не осуждаю, но столько движений, потраченного времени и ноль результата. 

У меня в подъезде дома есть индивидумы(молодые), которые живут на 2 этаже, и, нет бы, подняться по лестнице 1 пролёт, так они стоят у лифта и готовы его ждать с самого верхнего 17 этажа, чтобы проехать вверх на один. Вот в в этом трэде происходит +- то же самое.

Вместо того, чтобы за час переустановить винду, автор предпочитает четвертые сутки рассматривать самые разные гипотезы, испытывать 1000 методов диагностики и лечения вируса.

Изменено 22 минуты назад пользователем Ryzen

Да ничего обидного. Кстати по поводу вирусов VM чистая,а тот скрипт который я дал он просто добил,такое чувство что уже чистили.А так трояников нет.

Честно,если есть возможность переустановить винду то это только хорошо.Ну опять же переустановка это не всегда выход. вообще хорошая тема это делать бекап системы и просто откатываться. А переустановка это на мой взгляд супер край. Её нужно делать тогда когда уже ничего не сделаешь.

 

И такс предлагаю скачать скачать Process Explorer и просто посмотреть что грузит. (Запускаете его и находите эксплорор и смотрите что грузит а дальше смотрим что там дальше).

[Ryzen 154]

38 минут назад, SamsungGalaxy сказал:

И такс предлагаю скачать скачать Process Explorer и просто посмотреть что грузит.

Раз уж на то пошло, я предлагаю самое очевидное, что никто еще не предложил.

Если explorer выполняет работу для кого-то - давайте ограничим ему доступ в сеть с помощью брандмауэра.

Без успешного handshake со вторым концом он не станет выполнять работу впустую (скорее всего, но не факт).

Возможно будут какие-то сторонние спецэффекты (мало ли, microsoft с него подсасывает какую-то статистику). Какие? Я не знаю, но уверен, что ничего критического не случится.

 

Как это сделать описано в этой статье https://remontka.pro/block-program-internet-access/

Изменено Суббота в 18:19 пользователем Ryzen

[SamsungGalaxy 0]

@RyzenХорошая идея,но минус в том что многие программы грузятся через проводник и заблокируя их браудмавером мы только навредим. Я предлагаю через Process Exploror посмотреть что грузит и потом уже ограничить firewoll-oм то что нагружает систему.

[qweqweqwe 0]

4 часа назад, SamsungGalaxy сказал:

@RyzenХорошая идея,но минус в том что многие программы грузятся через проводник и заблокируя их браудмавером мы только навредим. Я предлагаю через Process Exploror посмотреть что грузит и потом уже ограничить firewoll-oм то что нагружает систему.

 

[SamsungGalaxy 0]

нажмите на плюсик возле эксплорара