Проводник сильно нагружает ОЗУ и ЦП

[SamsungGalaxy 0]

@qweqweqwe Здравствуйте! Решили проблему? если нет я могу вам помочь в удалении майнера.

Скачайте Farbar Recovery Scan Tool отсюдова https://www.safezone.cc/resources/farbar-recovery-scan-tool.231/  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

@qweqweqweТак же приложите отчёт AVbr если запускали его.

1 час назад, qweqweqwe сказал:

касперский, malwarebytes, drweb crueit, rogue killer, виндоус дефендер. ни один из них не видит проблему даже при включенном процессе.

Такое бывает. Если у вас есть отчёты сканирования этих утилит то приложите их тоже.

[SamsungGalaxy 0]

И? Вы хоть обратили внимание что это за антивирусы.

Эта утилита используется на форумах где помогают удалить малварь.

Касперский к примеру, Safezone,Virusinfo. (не реклама).

1 минуту назад, SamsungGalaxy сказал:

И? Вы хоть обратили внимание что это за антивирусы.

Это ложные алерты.

[SamsungGalaxy 0]

@qweqweqweЧто с проблемой?

[SamsungGalaxy 0]

Отлично,теперь скачайте ещё автоллогер.

Распакуйте архив автоматического сборщика логов в любую удобную для Вас папку.

После распаковки у вас появится файл AutoLogger.exe, запустите его и следуйте выводимым рекомендациям.

Появится окошко предупреждающее, что сейчас будет запущен автоматический сбор логов. Нажмите "Ок" для продолжения работы (При нажатии "Отмена" будет выход из утилиты без запуска сканирования).

Отключите или приостановите защиту вашего антивируса, если вы этого не сделали до начала сканирования. Подтвердите, что его отключили нажатием кнопки "Ок".

Появится окошко, предупреждающее о запуске браузеров. Пожалуйста, после открытия браузеров сверните их в трей и не закрывайте до окончания сканирования.

В случае если у вас х86 битная система, будет выведено окошко о необходимости перезагрузки с предложением это сделать сейчас. Работа утилиты автоматически продолжится после перезагрузки.

После перезагрузки надо повторно приостановить защиту вашего антивируса и свернуть в трей браузеры до окончания сканирования.

По окончании работы в папке AutoLogger, расположенной там же, куда распаковали архив, вы найдёте архив со своими логами. Архив имеет имя CollectionLog-yyyy.mm.dd-hh.mm
Где yyyy.mm.dd-hh.mm - дата и время запуска сканирования. Например: CollectionLog-2017.10.12-12.12

[SamsungGalaxy 0]

Посмотрел логи Addition и FRST по ним всё почти чисто. Соберите логи автологгера там ещё посмотрим.

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора 

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
StartupDir: C:\Users\V\AppData\Local\Temp\50c1695437 <==== ВНИМАНИЕ
CMD:SFC /scannow
EmptyTemp:
Reboot:
End::

Скрипт автоматически очистит систему, и перезагрузит ее.

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST. Напишите по результату.

[SamsungGalaxy 0]

Результаты исправления Farbar Recovery Scan Tool (x64) Версия: 11-07-2025 01
Запущено с помощью V (12-07-2025 10:06:09) Run:1
Запущено из C:\Users\V\Downloads
Загруженные профили: V & уцк
Режим загрузки: Normal
==============================================

fixlist содержимое:
*****************
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
StartupDir: C:\Users\V\AppData\Local\Temp\50c1695437 <==== ВНИМАНИЕ
CMD:SFC /scannow
EmptyTemp:
Reboot:
End::
*****************

Процессы успешно завершились.
SystemRestore: On => завершено
Точка восстановления была успешно создана.
StartupDir: C:\Users\V\AppData\Local\Temp\50c1695437 <==== ВНИМАНИЕ => успешно восстановлен

========= SFC /scannow =========

Начато сканирование системы.  Этот процесс может занять некоторое время.

Начало стадии проверки при сканировании системы.

Проверка 0% завершена.
Проверка 1% завершена.
Проверка 1% завершена.
Проверка 2% завершена.
Проверка 3% завершена.
Проверка 3% завершена.
Проверка 4% завершена.
Проверка 4% завершена.
Проверка 5% завершена.
Проверка 6% завершена.
Проверка 6% завершена.
Проверка 7% завершена.
Проверка 7% завершена.
Проверка 8% завершена.
Проверка 9% завершена.
Проверка 9% завершена.
Проверка 10% завершена.
Проверка 10% завершена.
Проверка 11% завершена.
Проверка 12% завершена.
Проверка 12% завершена.
Проверка 13% завершена.
Проверка 14% завершена.
Проверка 14% завершена.
Проверка 15% завершена.
Проверка 15% завершена.
Проверка 16% завершена.
Проверка 17% завершена.
Проверка 17% завершена.
Проверка 18% завершена.
Проверка 18% завершена.
Проверка 19% завершена.
Проверка 20% завершена.
Проверка 20% завершена.
Проверка 21% завершена.
Проверка 21% завершена.
Проверка 22% завершена.
Проверка 23% завершена.
Проверка 23% завершена.
Проверка 24% завершена.
Проверка 25% завершена.
Проверка 25% завершена.
Проверка 26% завершена.
Проверка 26% завершена.
Проверка 27% завершена.
Проверка 28% завершена.
Проверка 28% завершена.
Проверка 29% завершена.
Проверка 29% завершена.
Проверка 30% завершена.
Проверка 31% завершена.
Проверка 31% завершена.
Проверка 32% завершена.
Проверка 32% завершена.
Проверка 33% завершена.
Проверка 34% завершена.
Проверка 34% завершена.
Проверка 35% завершена.
Проверка 36% завершена.
Проверка 36% завершена.
Проверка 37% завершена.
Проверка 37% завершена.
Проверка 38% завершена.
Проверка 39% завершена.
Проверка 39% завершена.
Проверка 40% завершена.
Проверка 40% завершена.
Проверка 41% завершена.
Проверка 42% завершена.
Проверка 42% завершена.
Проверка 43% завершена.
Проверка 43% завершена.
Проверка 44% завершена.
Проверка 45% завершена.
Проверка 45% завершена.
Проверка 46% завершена.
Проверка 46% завершена.
Проверка 47% завершена.
Проверка 48% завершена.
Проверка 48% завершена.
Проверка 49% завершена.
Проверка 50% завершена.
Проверка 50% завершена.
Проверка 51% завершена.
Проверка 51% завершена.
Проверка 52% завершена.
Проверка 53% завершена.
Проверка 53% завершена.
Проверка 54% завершена.
Проверка 54% завершена.
Проверка 55% завершена.
Проверка 56% завершена.
Проверка 56% завершена.
Проверка 57% завершена.
Проверка 57% завершена.
Проверка 58% завершена.
Проверка 59% завершена.
Проверка 59% завершена.
Проверка 60% завершена.
Проверка 61% завершена.
Проверка 61% завершена.
Проверка 62% завершена.
Проверка 62% завершена.
Проверка 63% завершена.
Проверка 64% завершена.
Проверка 64% завершена.
Проверка 65% завершена.
Проверка 65% завершена.
Проверка 66% завершена.
Проверка 67% завершена.
Проверка 67% завершена.
Проверка 68% завершена.
Проверка 68% завершена.
Проверка 69% завершена.
Проверка 70% завершена.
Проверка 70% завершена.
Проверка 71% завершена.
Проверка 72% завершена.
Проверка 72% завершена.
Проверка 73% завершена.
Проверка 73% завершена.
Проверка 74% завершена.
Проверка 75% завершена.
Проверка 75% завершена.
Проверка 76% завершена.
Проверка 76% завершена.
Проверка 77% завершена.
Проверка 78% завершена.
Проверка 78% завершена.
Проверка 79% завершена.
Проверка 79% завершена.
Проверка 80% завершена.
Проверка 81% завершена.
Проверка 81% завершена.
Проверка 82% завершена.
Проверка 83% завершена.
Проверка 83% завершена.
Проверка 84% завершена.
Проверка 84% завершена.
Проверка 85% завершена.
Проверка 86% завершена.
Проверка 86% завершена.
Проверка 87% завершена.
Проверка 87% завершена.
Проверка 88% завершена.
Проверка 89% завершена.
Проверка 89% завершена.
Проверка 90% завершена.
Проверка 90% завершена.
Проверка 91% завершена.
Проверка 92% завершена.
Проверка 92% завершена.
Проверка 93% завершена.
Проверка 93% завершена.
Проверка 94% завершена.
Проверка 95% завершена.
Проверка 95% завершена.
Проверка 96% завершена.
Проверка 97% завершена.
Проверка 97% завершена.
Проверка 98% завершена.
Проверка 98% завершена.
Проверка 99% завершена.
Проверка 100% завершена.

Программа защиты ресурсов Windows обнаружила поврежденные файлы и успешно 
их восстановила.
Подробные сведения см. в файле CBS.Log, который находится по следующему пути:
windir\Logs\CBS\CBS.log. Например, C:\Windows\Logs\CBS\CBS.log. Подробные сведения
включены в файл журнала, предоставляемый флагом /OFFLOGFILE.

========= Конец от CMD: =========

=========== EmptyTemp: ==========

FlushDNS => завершено
BITS transfer queue => 1572864 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 18113631 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 879429353 B
Windows/system/drivers => 89448981 B
Edge => 0 B
Chrome => 278278341 B
Firefox => 1264285009 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 32300 B
NetworkService => 61080 B
V => 744011531 B
уцк => 788995269 B

RecycleBin => 0 B
EmptyTemp: => 3.8 GB временные данные Удалены

================================

Системе требуется перезагрузка.

==== Конец от Fixlog 10:09:23 ====

Походу что то было с системными файлами.

сейчас составлю ещё фикс я походу ещё что то откопал.

[SamsungGalaxy 0]

Запустите HiJackThis+ (утилита находится в папке Автологера - ...\AutoLogger\HiJackThis\)
 

Нажмите кнопку "Do a system scan only"

В открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix сhecked".

O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Startup = C:\Users\V\AppData\Local\Temp\50c1695437
O7 - KnownFolder: C:\Users\V\AppData\Local\Temp\50c1695437 (folder missing)
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Startup = C:\Users\V\AppData\Local\Temp\50c1695437
O23 - Driver R: (no name) - C:\Users\V\AppData\Local\Temp\36372ee3d.sys (sign: 'Microsoft' - no company)
O23 - Driver R: (no name) - C:\Users\V\AppData\Local\Temp\72E4AE4C-A67FE4EE-C980D004-C7F84D24\35c253842.sys (file missing)
O22 - BITS Job: (upload) {C54419CE-B0AB-43D9-9156-D8E8D330A7FC} - hxxp://vvv2.mcneel.com/errorreporting/rh50install_34b28d4e-346d-4353-a061-7adebc251144.zlib -> C:\Users\V\AppData\Local\Temp\34b28d4e-346d-4353-a061-7adebc251144.zlib
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Подробнее тут: https://www.safezone.cc/threads/kak-pofiksit-s-pomoshch-yu-hijackthis.9/

 

После этого:

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):
 

 begin
 QuarantineFile('C:\Users\V\AppData\Local\Temp\72E4AE4C-A67FE4EE-C980D004-C7F84D24\35c253842.sys','');
 QuarantineFile('C:\Users\V\AppData\Local\Temp\2287A20E-5062E021-1AE0FE5F-6466EED6\zOLb8MpPXtFJ3vA.exe','');
 DeleteFile('C:\Users\V\AppData\Local\Temp\2287A20E-5062E021-1AE0FE5F-6466EED6\zOLb8MpPXtFJ3vA.exe','64');
 DeleteFile('C:\Users\V\AppData\Local\Temp\72E4AE4C-A67FE4EE-C980D004-C7F84D24\35c253842.sys','64');
 ExecuteSysClean;
 RebootWindows(true);
 end.

После этого опишите что с проблемой.

Система перезагрузится.

 

1 минуту назад, SamsungGalaxy сказал:

Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

 

[SamsungGalaxy 0]

29 минут назад, Ryzen сказал:

Никого и ничего не осуждаю, но столько движений, потраченного времени и ноль результата. 

У меня в подъезде дома есть индивидумы(молодые), которые живут на 2 этаже, и, нет бы, подняться по лестнице 1 пролёт, так они стоят у лифта и готовы его ждать с самого верхнего 17 этажа, чтобы проехать вверх на один. Вот в в этом трэде происходит +- то же самое.

Вместо того, чтобы за час переустановить винду, автор предпочитает четвертые сутки рассматривать самые разные гипотезы, испытывать 1000 методов диагностики и лечения вируса.

Изменено 22 минуты назад пользователем Ryzen

Да ничего обидного. Кстати по поводу вирусов VM чистая,а тот скрипт который я дал он просто добил,такое чувство что уже чистили.А так трояников нет.

Честно,если есть возможность переустановить винду то это только хорошо.Ну опять же переустановка это не всегда выход. вообще хорошая тема это делать бекап системы и просто откатываться. А переустановка это на мой взгляд супер край. Её нужно делать тогда когда уже ничего не сделаешь.

 

И такс предлагаю скачать скачать Process Explorer и просто посмотреть что грузит. (Запускаете его и находите эксплорор и смотрите что грузит а дальше смотрим что там дальше).

[SamsungGalaxy 0]

@RyzenХорошая идея,но минус в том что многие программы грузятся через проводник и заблокируя их браудмавером мы только навредим. Я предлагаю через Process Exploror посмотреть что грузит и потом уже ограничить firewoll-oм то что нагружает систему.

[SamsungGalaxy 0]

нажмите на плюсик возле эксплорара

 

 

[SamsungGalaxy 0]

 Другое, что вы можете сделать, это создать локальную учетную запись и проверить, работает ли все нормально в этой учетной записи.

[SamsungGalaxy 0]

П

Попробуй это.
Панель управления -Система-Дополнительно-Быстродействие (параметры) -Дополнительно-Виртуальная память и выстави там значение под себя).

[SamsungGalaxy 0]

@qweqweqwe

1.Win+R 

2.msconfig

3.Выбираем выборочная загрузка и оставляем галочку "Загружать системные службы"

4. C:\Users\V\setup.dat залить на virustotal.

Loaris Trojan Remover - удалить (в утиль)

Будем смотреть это проблема в ос или в софте.

 

Изменено Воскресенье в 14:45 пользователем SamsungGalaxy