Валерий Спивак (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Антивирус перестал проводить сканирование файлов

Сообщений: 17

Баллов: 8

Регистрация: 29.11.2021

Размещено 03.12.2021 21:25:41

Вот скрины сделанные в безопасном режиме. По uVS процесса не видно, а там где Диспетчер задач, это первая секунда открытия Диспетчера (добавил чтобы Вы видели как оно проявляется без uVS).

Я ж правильно понял что программы удалять через Панель управления? Просто ж тот процесс который "проблемный" его в установленных программах нет.

Перейти

Антивирус перестал проводить сканирование файлов

Сообщений: 17

Баллов: 8

Регистрация: 29.11.2021

Размещено 03.12.2021 20:36:11

Цитата
RP55 RP55 написал: В безопасном режиме переименуйте каталог: C:\WINDOWS\TEMP\DPTF В: C:\WINDOWS\TEMP\DPTF\111 Несколько раз перезагрузите PC - посмотрите, что будет: Какая нагрузка; Восстановиться ли каталог под прежним названием.

Сделал, я создал папку "111" и переместил файлы туда, как видно с снимка (Безопасный режим) запуская в таком режиме в папке C:\WINDOWS\TEMP\DPTF нет исполнительного файла. После перезагрузки все 3 файла появились там где и всегда, несколько раз попробовал, одно и тоже. Ни в одном из вариантов нагрузка на процессор не менялась, всегда вела себя одинаково.

Или мне нужно было в безопасном режиме саму папку "DPTF" переименовать в "111"?

Сейчас еще попробую через uVS посмотреть на процессы в безопасном режиме, допишу результат.

Перейти

Антивирус перестал проводить сканирование файлов

Сообщений: 17

Баллов: 8

Регистрация: 29.11.2021

Размещено 03.12.2021 16:26:36

Цитата
RP55 RP55 написал: 1) Нагрузка на процессор наблюдается только при подключении к сети ? Если подключения к сети нет - то и нет нагрузки на процессор ? 2) У вас IP постоянный\статический ? 3) Какая версия ESET ? Сейчас актуальная версия: 15.0.18. 4) Процесс что нагружает процессор ( после перезагрузки PC - один и тот же или это разные процессы ? ) * желательно увидеть их список ( или фото ) Можно несколько раз перезагрузить PC.

Цитата

RP55 RP55 написал:
1) Нагрузка на процессор наблюдается только при подключении к сети ?
Если подключения к сети нет - то и нет нагрузки на процессор ?
2) У вас IP постоянный\статический ?
3) Какая версия ESET ? Сейчас актуальная версия: 15.0.18.
4) Процесс что нагружает процессор ( после перезагрузки PC - один и тот же или это разные процессы ? ) * желательно увидеть их список ( или фото )
Можно несколько раз перезагрузить PC.

1) Нет, нагрузка на ЦП одинаковая вне зависимости от сети (проверял с подключением к вайфаю, по кабелю и без подключения вообще - во всех случая показатели одинаковые)
2) Да, постоянный.
3) Оказалась устаревшая, сейчас обновлю, если что-то изменится - напишу.
4) Несколько раз перезагружал. Да, каждый раз один и тот же процесс нагружает ЦП (если смотреть через uVS, в диспетчере к сожалению оно не отображается, в ту 1 секунду что нагрузка еще видна приписывается к самому Диспетчеру, Сам процесс на скриншоте 4 отмечен)
+ добавил еще один скрин (3) папки C:\WINDOWS\TEMP\DPTF, как видно то исполняющий файл почему-то каждый запуск изменяется, не знаю или это нужно или нет.

*обновил ESET, но ничего не изменилось, тот же процесс, то же поведение

Изменено: Валерий Спивак - 03.12.2021 16:38:13

Перейти

Антивирус перестал проводить сканирование файлов

Сообщений: 17

Баллов: 8

Регистрация: 29.11.2021

Размещено 02.12.2021 18:36:13

Цитата

santy написал:

Цитата
RP55 RP55 написал: С одной стороны - файл чистый с легальной цифровой подписью от Intel® Softwarel; файл известен с 2014 года.И он чист по всем антивирусным движкам: V.T. Но у него странный левый путь запуска: C:\WINDOWS\TEMP\DPTF\ESIF_ASSIST_64.EXE

Родитель у него правильный.
C:\WINDOWS\SYSWOW64\ESIF_UF.EXE

проверьте, установлен этот пакет или нет.

(в списке установленных программ его явно нет, возможно он входит в другое приложение от Intel)

DPTF расшифровывается как Dynamic Platform and Thermal Framework

https://990x.top/esif_assist_64-exe-chto-eto-za-protsess-esif_uf-exe.html

Не до конца понял где именно мне стоило это проверять, поэтому проверил всюду. Кидаю скрины, в установленных программах действительно есть, но в остальных местах (окно Электропитание, Диспетчер устройств и в "Подробности" в Диспетчере задач) все есть.

Перейти

Антивирус перестал проводить сканирование файлов

Сообщений: 17

Баллов: 8

Регистрация: 29.11.2021

Размещено 02.12.2021 18:16:46

Цитата
RP55 RP55 написал: История более чем странная... С одной стороны - файл чистый с легальной цифровой подписью от Intel® Softwarel; файл известен с 2014 года. И он чист по всем антивирусным движкам: V.T. Но у него странный левый путь запуска: C:\WINDOWS\ TEMP \DPTF\ESIF_ASSIST_64.EXE И в вашей системе он с: 02.12.2021 в 14:58:27 Были ли обновления системы в этот день - вы сами что-то устанавливали, или система ? ---------- Откройте: C:\WINDOWS\TEMP\DPTF Сделайте снимок того, что там есть. ( по образу uVS - там три файла и все легальные ) + Нужен лог Tdsskiller Скачайте tdsskiller отсюда: http://support.kaspersky.ru/viruses/disinfection/5350 Лог в будет в корне диска. Мой компьютер диск С:\ Например: " TDSSKiller.3.6.4.0_28.11.2020_01.39.05_log.txt " * Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его. Лог в тему !

Цитата

RP55 RP55 написал:
История более чем странная...
С одной стороны - файл чистый с легальной цифровой подписью от Intel® Softwarel; файл известен с 2014 года.
И он чист по всем антивирусным движкам: V.T.

Но у него странный левый путь запуска: C:\WINDOWS\ TEMP \DPTF\ESIF_ASSIST_64.EXE
И в вашей системе он с: 02.12.2021 в 14:58:27
Были ли обновления системы в этот день - вы сами что-то устанавливали, или система ?
----------
Откройте: C:\WINDOWS\TEMP\DPTF
Сделайте снимок того, что там есть. ( по образу uVS - там три файла и все легальные )

+

Нужен лог Tdsskiller

Скачайте tdsskiller отсюда:
http://support.kaspersky.ru/viruses/disinfection/5350

*Лог в будет в корне диска.
Мой компьютер диск С:\
Например: " TDSSKiller.3.6.4.0_28.11.2020_01.39.05_log.txt "
** Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Лог в тему !

Это время моего первого запуска компьютера сегодня. Нет, ничего сам не устанавливал и обновлений не было, так как их временно отключил.

Цепляю снимок C:\WINDOWS\TEMP\DPTF. (если что, у меня включена функция показа скрытых файлов, так что ничего больше там не прячется)

Добавляю лог Tdsskiller. Он тоже ничего подозрительного не обнаружил.

Перейти

Антивирус перестал проводить сканирование файлов

Сообщений: 17

Баллов: 8

Регистрация: 29.11.2021

Размещено 02.12.2021 16:57:12

Цитата
RP55 RP55 написал: Подозрительной активности не наблюдается... Запустите Монитор активности процессов. ( так, как указано на фото ) И когда будет повышенная нагрузка на: gpu cpu - сделайте снимок и создайте новый образ автозапуска.

Цитата

RP55 RP55 написал:
Подозрительной активности не наблюдается...

Запустите Монитор активности процессов. ( так, как указано на фото )
И когда будет повышенная нагрузка на: gpu cpu - сделайте снимок и создайте новый образ автозапуска.

Вот снимок Монитора активности процессов (я выделил тот процесс который загружает cpu, при открытии Диспетчера задач, он в течении 5-10сек полностью перестает грузить cpu, а после закрытия Диспетчера - в течении 20 сек опять набирает обороты). Так же цепляю новый образ автозапуска.

Перейти

Антивирус перестал проводить сканирование файлов

Сообщений: 17

Баллов: 8

Регистрация: 29.11.2021

Размещено 02.12.2021 16:11:12

Цитата

santy написал:
загрузки процессора не было в этот раз?
папка C:\Windows\RegPolicy\ удалена?

выполните еще раз скрипт в uVS

Код
;uVS v4.11.12 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE regt 40 regt 42 restart

перегрузиться в безопасный режим SafeMode и сделать образ в uVS из безопасного режима.

Загрузка процессора все еще была и есть даже после выполнения последнего скрипта. Цепляю образ в безопасном режиме (кстати даже в нем была загрузка ЦП, правда чуток меньше, если обычно 90% и падает, то в безопасном было 63%)

Да, папка C:\Windows\RegPolicy\ удалена.

Плюс еще вопрос, нормально ли то что процесс ESET Service время от времени забивает ресурс "Диск"?

Перейти

Антивирус перестал проводить сканирование файлов

Сообщений: 17

Баллов: 8

Регистрация: 29.11.2021

Размещено 01.12.2021 17:37:12

Цитата

santy написал:
из безопасного режима системы SafeMode сделайте образ автозапуска
из нормального режима выполните такой скрипт

Код
;uVS v4.11.12 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE regt 39 regt 41 restart

система автоматически перегрузится,
затем сделать новый образ автозапуска в uVS сразу после перезагрузки системы.
из нормального режима

Вот образ автозапуска сразу же после перезагрузки

Перейти

Антивирус перестал проводить сканирование файлов

Сообщений: 17

Баллов: 8

Регистрация: 29.11.2021

Размещено 01.12.2021 16:23:36

Цитата

RP55 RP55 написал:
Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код
;uVS v4.11.12 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE dirzoo %SystemRoot%\REGPOLICY czoo crimg deldir %SystemRoot%\REGPOLICY sreg areg

После выполнения скрипта - программа сама\автоматически создаст новый образ автозапуска ( добавьте его на форум )

+

Архив из папки uVS; (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: ZOO_2021-00-20_18-49-40.rar/7z)
... отправить в почту [email protected], [email protected], [email protected]
*** если архив не был создан автоматически, самостоятельно добавьте папку Zoo в архив с паролем infected

Вот новый образ автозапуска.
Насчет второго, это на все 3 почты надо отправлять? + Архив не создался и папка Zoo пустая, я не уверен нормально это или нет.
И даже после этих операций "признаки майнера" в виде резкого падения загрузки ЦП с 100% все еще наблюдаются (может конечно я чего-то не понимаю).

Перейти

Антивирус перестал проводить сканирование файлов

Сообщений: 17

Баллов: 8

Регистрация: 29.11.2021

Размещено 01.12.2021 14:18:31

Цитата
RP55 RP55 написал: В системе много мусора ( ссылок на отсутствующие объекты ) - почистим. 1) Сохраните файл: fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! 2) Выполните лог в AdwCleaner http://forum.esetnod32.ru/forum9/topic7084/ после завершения сканирования: Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой ) На вкладке: Папки (Folders) для Mail.Ru и Yandex снимите [V] ...

Цитата

RP55 RP55 написал:
В системе много мусора ( ссылок на отсутствующие объекты ) - почистим.

1) Сохраните файл: fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru и Yandex снимите [V]

...

Провел Fix, вот Fixlog, но нигде не видел как сделать исключения, из-за чего потерял все закладки в Гугл Хроме, поэтому не особо уверен или хочу проводить AdwCleaner. Если скажите что еще что-то осталось, то тогда сделаю

Перейти