Вирус блокирующий TaskManager, cmd и Process Hacker
На основном ноутбуке (Win 10) ПК не выключается по средствам Пуск-Выключение, просто ничего не происходит, тогда же блокируются утилиты мониторинга и управления компьютером такие как TaskManager, Process Hacker и cmd, при запуске даже не открывается окно подтверждения запуска от админа. При жёстком выключении всё прошло и я забил, а зря.
Когда такое случилось второй раз через Win+R открыл msconfig и зайдя на вкладку "Автозагрузка" открыл Диспетчер Задач, а так как по умолчанию в настройках системы стоит Process Hacker, то открылся он, даже с админом. Проходит 2-3 секунды рабочий стол на обоих мониторах становится чёрным, пропадают все ярлыки, вылетает куча системных ошибок что-то про 16-ти разрядные приложения и CONFIG.SYS не успеваю я это чудо прочитать, как ноутбук просто выключается.
В общем ерунда полнейшая происходит.
После такого представления — накатил линукс от Dr Web на флешку и оставил сканироваться на 3 дня, ничего не нашёл кроме записей в файле Hosts (блокировка активации продуктов Adobe) и Trojan.Downloader-а, который недавно при входе в учётку Microsoft залез вместе с автоматической синхронизацией OneDrive, и будучи потёртым никакого интереса не представлял, но я хотя бы нашёл откуда это всё пошло.
Самое интересное, что забив болт и просто переустановив винду (в ноуте два физических диска, труда не составило, в плане сохранения информации) — через сутки та же ерунда. Гнев. Отрицание. Смирение. Поиски путей решения. Они-то завели меня к вам на форум, прошу помощи в решении этой проблемы, ноутбук основной он же рабочий, сижу на неплановом отпуске, подозрения на бэкдор.
Все нужные логи от AutoLogger-а прикладываю.
З.ы. уже после переустановки винды и до Autologger-а полазил через Process Hacker поглядел странные процессы, от explorer были запущены драйвера Conexant для аудио, снёс их через UninstallTool, после перезагрузки были на своём месте, будто бы и не удалял их, тогда вручную снёс их из ProgramFiles вместе с папкой, после этого уже 3 дня ПК работает относительно нормально, а драйвера для аудио ставить не пришлось — работает.
З.з.ы. в самом конце написал подозрения на бэкдор, потому что ESET вечно блокирует Chrome от доступа к вебкамере, пару раз слышал какие-то непонятные звуки из колонок, когда им взяться неоткуда было и полное отсутствие рекламы или торможения ноутбука, как бывает при других вирусах, рекламных или майнерах.
Process Hacker для Windows
Process Hacker — бесплатный, мощный и многофункциональный менеджер задач, процессов и служб с открытым исходным кодом. Обладает очень богатым набором функций.
Возможность завершения абсолютно любых процессов (в том числе антивирусов и файерволов), просмотр подробной статистики процессов, составление графиков производительности, просмотр выделенной процессом памяти, просмотр и редактирование дескрипторов безопасности для процессов, потоков, маркеров и множество других функций.
Ключевые особенности программы:
- Исчерпывающая информация по всем процессам: полная история выполнения процесса, листинги потоков и стеки с символами dbghelp, информация о токенах, карта виртуальной памяти, переменные среды, хендлы и многое другое.
- Полный контроль над всеми процессами, даже над процессами, защищенными руткитами или защитным программным обеспечением. Драйвер программы работает в режиме ядра, что дает уникальные возможности, позволяющие завершать, останавливать и запускать любые процессы и потоки, включая программы типа IceSword, avast! Anti-virus, AVG Antivirus, COMODO Internet Security и т.д.
- Находит скрытые процессы и завершает их. Process Hacker обнаруживает процессы, спрятанные простыми руткитами, такими как Hacker Defender и FU.
- Простые DLL инъекции и выгрузка — просто кликните правой кнопкой мыши по процессу и выберите «Inject DLL» для инъекции, затем кликните правой клавишей по модулю и выберите «Unload».
CCleaner — популярное приложение для оптимизации ПК, чистки реестра и удаления различного.
MSI Afterburner — настоящая находка для истинного оверклокера, с помощью которой можно.
Простой в использовании твикер для Windows, с помощью которого можно быстро и легко.
Mem Reduct — небольшая портативная утилита, которая позволяет высвободить до 25% используемой.
CCleaner Portable — портативная (переносная, не требующая инсталляции на компьютер) версия утилиты CCleaner для чистки системного мусора.
Process Hacker — мощное приложение для полного контроля над задачами, процессами и службами, с.
Отзывы о программе Process Hacker
Солевая Шлюха про Process Hacker 2.39.124 [11-03-2022]
Программа очень полезная сам пользуюсь уже 2 года
1 | 6 | Ответить
Tony про Process Hacker 2.39.124 [18-12-2021]
Что это за официальный сайт для скачивания портативной версии /proceshacker-2.39-bin.zip/,
так как скачанный из него файл . . . содержит 20 вредоносных элементов .
13 | 25 | Ответить
Lol про Process Hacker 2.39.124 [05-06-2020]
Не запускаеться даже если открыть от имени админа
4 | 24 | Ответить
HackerPro1331 в ответ Lol про Process Hacker 2.39.124 [30-06-2021]
боже я ржу с комментов здесь вирусов больше чем когда ты делаешь сам вирус люди проверяйте вирусы на VirusTotal это сайт если что для совсем чаников)
5 | 27 | Ответить
123321321122 про Process Hacker 2.39.124 [18-02-2020]
полезная прога + вирусы можно удолять
5 | 9 | Ответить
aillla про Process Hacker 2.39.124 [12-01-2020]
А с этой программой можно взломать все что тебе нужно или нет подскажите пожалуйста.
12 | 21 | Ответить
игорь в ответ aillla про Process Hacker 2.39.124 [31-01-2020]
Дима в ответ игорь про Process Hacker 2.39.124 [06-03-2020]
это программа как диспечер задач она останавливает или замораживает
6 | 9 | Ответить
Process Hacker — менеджер процессов и служб Windows
Process Hacker – мощная многофункциональная замена стандартному Диспетчеру задач, инструмент для мониторинга активных процессов и служб, обнаружения вредоносных приложений по их активности. Используется как инжектор для внедрения читов геймерами, например, в КС:ГО, позволяет исследовать расход системных ресурсов, отлаживать программы, управлять службами Виндовс. Программа позволяет удалять вирусы благодаря работающему на уровне операционной системы ядру. Скачать Process Hacker 3 для Windows 7, 10, 11 бесплатно можно по ссылке внизу.
Адекватной версии приложения на русском языке не существует, встречаются только «кривые» переводы с массой английских слов, поэтому русификатор для неё не ищите.
Возможности программы
Process Hacker распространяется с открытыми исходниками, что подтверждает искренность разработчиков.
Вкладка Process
Первая вкладка позволяет брать под контроль системные и сторонние процессы Виндовс:
- Перезапускать – завершать с последующим автоматическим запуском.
- Завершать – прерывать работу программ, например, зависших, без сохранения результатов.
- Приостанавливать выполнение – заморозить процесс – временно очистит оперативную память для других задач.
- Управлять приоритетностью задач.
Менеджер задач отображает сервисы в иерархическом виде с подробными сведениями о них: статистика расхода аппаратных ресурсов (ОЗУ, обращения к диску, задействование GPU, CPU), сетевая активность, используемые модули и файлы, к которым обращается процесс.
В виде таблице содержатся следующие сведения о процессах (через тире – что они означают):
- Name – название;
- PID – уникальный идентификатор;
- CPU – нагрузка на процессор;
- Private bytes – расход оперативной памяти;
- Description – краткое описание;
- File name – путь к файлу.
Вы можете выводить другие столбцы, спрятать ненужные (об этом ниже).
В Process Hacker можно менять цвет названий процессов или их групп для быстрого визуального определения системных задач и раскраску элементов графиков. Через приложение можно проверять загруженные в оперативную память файлы на вирусы через Virustotal и иные сервисы.
Вкладка Services
Аналог системного инструмента «Службы». Выводит сведения об установленных на компьютере / ноутбуке сервисах, позволяет управлять их запуском – менять статус; работой, например, останавливать.
Для простоты отслеживания они сортируются по любому из столбцов, которые настраиваются через правый клик по названию – опция «Choose columns».
Вкладка Network
Инструмент мониторинга сетевой активности, помогает выявить вирусные и вредоносные приложения. Он отображает подключённые к интернету программы, приводит сведения об адресах, к которым они обращаются, используемых протоколах.
Вкладка Disk
Показывает программы и службы, которые работают с накопителем: скорость чтения / записи, приоритетность доступа.
Дополнительные инструменты
Системный монитор Process Hacker поможет обнаружить пожирателей ресурсов, вызывается Ctrl + I. Программа в реальном времени строит графики нагрузки на процессор (или отдельные по каждому ядру), видеокарту, активности обращения к диску, использования сетевого соединения.
При двойном клике по участку графика отображает окно с подробностями о процессе.
Функция «Hide process from other users» сделает выбранную задачу невидимой для других пользователей, вызывается через пункт меню «Service». Утилита Create Service позволяет добавлять в Windows собственные службы.
Как установить ПО
Для инсталляции Process Hacker скачайте приложение по прямой ссылке ниже – вам не нужно посещать официальный сайт или искать торрент, тем более программа занимает 3 МБ. У нас можете загрузить переносную версию (portable) или установщик.
Для портативной версии распакуйте папку x64 или x32 в соответствии с разрядностью операционной системы и создайте ярлык на Рабочем столе, панели задач.
В случае с установщиком запустите и разрешите его выполнение.
Примите условия эксплуатации ПО.
Выберите или введите путь к папке для распаковки приложения.
Отметьте флажками нужные плагины (рекомендуем ничего не трогать).
Можете отказаться от создания ярлыков в Пуске.
Жмите «Next» и запускайте утилиту кнопкой «Finish».
Системные требования
Приложение работает на Windows 7 – 11, 32 или 64 бита.
Как пользоваться Process Hacker
После установки Процесс Хакер необходимо настроить. Начнём из столбцов. Вы можете вывести
100 дополнительных столбцов с информацией посредством правого клика по заголовку любого из них. Рекомендуем добавить «File name» для отображения путей к файлам.
Столбцы можно перемещать, изменять их размеры, подбирать ширину автоматически (опция «Size all columns to fit»).
В главном меню вызовите «Hacker» – «Options», перейдите во вкладку «Highlights». Здесь настраиваются цвета подсветки групп процессов: системные, динамические библиотеки, 32-битные приложения, службы…
Для перекраски определённой строчки (процесса) откройте её контекстное меню, выберите «Miscellaneous» – «Highlights», укажите цвет, сохраните изменения.
Чтобы удалить процесс, кликните по задаче правой клавишей, вызовите команду «Terminate», подтвердите её выполнение. Если нужно завершить дерево задач, щёлкните «Terminate tree».
Менеджер умеет приостанавливать процессы с возможностью восстановления их работоспособности – освобождать аппаратные ресурсы для других задач. В контекстном меню выберите «Suspend». Вследствие приложение будет заморожено, используемые им ресурсы освобождены, а содержимое ОЗУ запишется на жёсткий диск. Сама задача подсветится серым цветом, её копия опустится вниз таблицы. Для запуска вызовите команду «Resume».
Process Hacker позволяет проводить инжекцию dll-библиотек – внедрять читы в компьютерные игры: через контекстное меню приложения выберите «Miscellaneous» – «Inject DLL».
Дальше нужно открыть внедряемый файл двойным кликом.
В приложении можно удалить строки из процесса, описывающие активность чита для скрытия его применения в онлайн-играх.
- Откройте свойства игрушки клавишей Enter, во вкладке «Memory» кликните «Strings…».
- Введите «4», щёлкните «ОК».
- В открывшемся окне щёлкайте «Filter» – «Contains».
- Введите интересующее значение, щёлкните «ОК».
- Установите Python.
- Откройте командную строку с правами администратора (Win + X), выполните в ней две строки: «pip install pyqt5», «pip install pymem».
- Скачайте и запустите приложение.
- Введите PID процесса (указан в заголовке окна) в соответствующую строку String Remover.
- В строку «Address» введите адрес строчки из первой колонки, в поле «Lenght» (правильно Length, разработчик сделал опечатку) – длину из второго столбца.
- Нажмите «Remove».
Если всё сделали правильно, появится уведомление «Done!»
Process Hacker решит проблему с прожорливыми приложениями: отсортируйте их по уровню нагрузки на процессор (столбик «CPU»), расходу ОЗУ («Private bytes»), объёму трафика («Network bytes») и завершите самые ресурсоёмкие, предварительно сохранив результаты работы. Процессы цвета морской волны не трогайте, даже если они сильно грузят ЦП.
Возможные проблемы
При появлении ошибки «Не удалось загрузить подпись драйвера ядра» воспользуйтесь рекомендациями с сайта Microsoft. Ошибка «unable to start» устраняется перезапуском проблемного процесса, перезагрузкой компьютера или использованием «ночной» сборки.
Как удалить Process Hacker
Для деинсталляции портативной версии Процесс Хакер закройте программу, удалите папку с её файлами клавишей Delete или комбинацией Shift + Del.
Для избавления от установленной версии откройте «Приложения и возможности» через Win + X.
Кликните по названию программы, затем – по двум кнопкам «Удалить».
Подтвердите намерения и закрывайте деинсталлятор.
Как скачать process hacker если браузер блокирует
" A free, powerful, multi-purpose tool that helps you monitor system resources, debug software and detect malware. "
Process Hacker – это профессиональный набор инструментов управления ОС работающий с ядром через Native API (API ядра) предназначенный управляния процессами и их потоками, контроля использования памяти ЭВМ, дисковой и сетевой активности, управления состоянием и параметрами, устанавки и удаления сервисов и драйверов, может освобождать заблокированные другими процессами объекты, использоваться в качестве отладчика уровня ядра и осуществлять поиск некоторых типов руткитов и иных скрытых процессов, удалять не удаляемые иными инструментами зависшие или защищённые процессы (некоторые его возможности могут быть недоступны из-за ограничений ОС либо недостаточного уровня привилегий пользователя).
Текущая стабильная версия: v2.39 от 29.03.2016
В разработке: v3.00 , исходники смотрим на GitHub.
Примечание: исходники в репозитории включают не все патчи! Пользовательские патчи ищите на форуме, в теме или на Git. Их применение целиком на ваше усмотрение и риск!
1.xх (для работы необходим MS .NET Framework 2.х) | 2.хx: Setup (EXE) | Portable (Zip) | Source (Zip) | SDK (Zip) | Debugging Tools for Windows — ссылка на страницу MSDN для загрузки необходимого движка отладчика уровня ядра встроенного в программу. О системной dbghelp.dll .
Тестовые сборки:
* Plugins-Extra это находящиеся в стадии разработки плагины которые могут содержать ошибки или быть удалены в любой момент. Используйте их на свой страх и риск!
Локализованные сборки:
от KLASS x64 + x86 на основе текущих Git-сборок (Zip) и Setup (Git, от Victor_VG, смотрите номер версии) | устаревшие
Полноценный перевод на уровне исходников не ждите т.к. исходники обновляются намного раньше, чем может быть сделан такой перевод.
Цитата:
| У меня нет опыта работы с i18n, поэтому я не знаю, как управлять переводами в PH. |
так что не всегда переведённый проект будет работоспособен или иметь встроенную поддержку локализации, даже если есть люди готовые его переводить и поддерживать перевод поскольку разработчик не всегда может обеспечить поддержку i18n (полная локализация, включая документацию) / l10n (интернационализация, полный или частичный перевод интерфейса). Перевод Process Hacker осуществляется по мере возможности согласно модели L10n.
В локализованных вариантах возможны произвольные ошибки в работе!
Системные требования:
Минимальная версия операционной системы зависит от версии Process Hacker:
3.xx — Windows 7/Server 2008 R2 и выше, 32/64-bit редакции,
2.39 — Windows Vista/Server 2008, 32/64-bit редакции, операции использующие драйвер уровня ядра доступны в Windows 7 и выше
2.xx — до v2.38 включительно — Windows XP SP2/2003 и выше, 32/64-bit редакции,
1.хx — Windows 2000 и выше, требует MS .NET Framework v2.0, только 32-бит
Для переключения Process Hacker в "Portable mode" (настройки хранятся в каталоге Process Hacker) до его первого запуска рядом с ProcessHacker.exe создаем файлы ProcessHacker.exe.settings.xml и usernotesdb.xml.
ВНИМАНИЕ! Обязательно внимательно прочитайте документацию которая есть на сайте и в архивах с дистрибутивом! Программа изначально создана для профессионалов, а потому требует от пользователя достаточно высокого уровня знаний!
Добавлено:
Если попытаться отправить на вирустотал большой файл, то вылазит окно с ошибкой. все верно, тока окно немного срезано по кнопке Закрыть
Вопрос про Dbghelp.dll
У меня Windows 10.
Какую из двух:
Цитата:
| Windows 10/2016 — ./DLL/SDK v10/ Windows 10/2016 RS1 — ./DLL/SDK v10 RS1/ |
мне закидывать в папку с программой? Что такое RS1?
По идее при запрете просто должно звать браузер, но не падать, а уж тем паче с AV. Сейчас в отладчике погляжу кто, что как. Баг, оформлю.
Смотрим версию оси если там указана сборка 14393 и выше это Windows 10/2016 RS1, всё что ниже нет. Маркировка не моя, мелкомягкие такую придумали.
Мы предоставляем простой API для массового сканирования файлов. Его используют наши AV программы. Для получения информации о нём свяжитесь с нами.
Связаться предлагают по e-mail и ответ зависит от них. А при тестовой отправке к ним файлов на проверку на моей сборке без вкомпиленного ключа VirusTotal соединение висит не ограничено, на ночнушке с офсайта ловлю AV в OnlineChecks.dll в том же месте кода, на той же команде cmp dword ptr [RDX],EBX с RDX=0, EBX=0.
Victor_VG
Проверил последний переведенный основной файл PH, как всегда при этом нашелся "бдительный" AV, после этого как можно пользоваться такими ресурсами как VT, если саму программу подозревают. Возможно, ошибаюсь, но при прочих равных отдам предпочтение в обнаружении вирусной деятельности PH и PE, хотя и AV совсем сбрасывать со счетов не следует.
Запросто. А я пока разбирался с причинами AV (Access Violation) в OnlineCheck успел только заготовку баг-репорта подготовить
как r344 пришла:
dmex OnlineChecks: Fixed Jotti upload; Fixed upload dialog exit; Added taskbar upload progress; Added upload error dialog; (13 минут назад)
которую ставлю на сборку и будем смотреть. Возможно заготовка и не понадобится, но факт — падало на одной и той же машинной команде обращавшейся по адресу 0х0 куда программы не имеют права доступа.
Добавлено:
Process Hacker v3.0.0.345
Исправления в исходники внёс dmex
v3.0.0.345, архив (а этого кода нет в их БД — он свежий, но заранее подгадить):
AegisLab Risktool.W32.Prochack!c 20161229
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9693 20161207
Kaspersky not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen 20161228
Kaspersky not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen 20161228
Qihoo-360 HEUR/QVM06.1.0000.Malware.Gen 20161229
— сработали все дежурные параноики, как обычно.
Исправления в исходники внёс dmex
По поводу выбора DbgHelp.dll добавил в шапку таблицу — сверяйтесь с ней. Видимо так будет проще разобраться в сём зоопарке.
Исправления в исходники внёс dmex
Цитата:
| r22240 OnlineChecks: Added new tools > upload menu, Fixed memory leaks, Updated dialog text. |
Постоянный линк в шапке, проблем у себя я не заметил, архив обновлён.
Исправления в исходники внёс dmex
r22244
Updater: Improve dialog text and error checking
r22243
OnlineChecks: Add VirusTotal detection actions to the options window (Not working yet); Fix build errors;
r22242
Updater: Hide nightly changelog text by default
Всех с прошедшим и наступающим Новым Годом и Рождеством!
Спасатели предупредили о сильных морозах, так что осторожнее. Особенно за детьми присматривайте — морозы с ветром будут стремится к -40, а это секунды на обморожение.
Добавлено:
и ревизия 353 с исправлением ошибок до кучи. Текст списка и номер версии поправлены, архив понятно так же уточнён.
Цитата:
| Всех с прошедшим и наступающим Новым Годом и Рождеством! |
Взаимно, Вить!
Могло ли в последнее время поломаться что-то, что связано с отображением памяти?
Вот, что имею сейчас:
Исправления в исходники внёс dmex
Там нечему ломаться, просто TaskManager и PH считаются по разному. Системный монитор врёт по многим параметрам — например он не учитывает динамически выделяемые буфера ОЗУ считая только ту память которая распределена при инициализации процесса после распаковки кода, неверно считает использование времени основываясь на подсчёте числа циклов ЦП длительность которых определяет исходя из его номинальной тактовой частоты без учёта того, что у современных ЦП коэффициент умножения частоты (ратио) величина переменная, а РН считает время по аппаратному таймеру.
Если присмотреться к твоим картинкам — то врёт TaskManagr выводя только объём памяти занятой машинным кодом программы, РН выводит размер выделенной программе памяти с учётом всех буферов — Private bytes и размер виртуальной памяти используемой программой — Working set получая их из таблиц диспетчера памяти ядра.
Цитата:
| Process Hacker v3.0.0.355_RUS |
Для удобства использования сделал из вашего варианта SFX (x86/x64):
https://www.upload.ee/files/6540135/PH_30355RU.rar.html
Готовый — ProcessHacker_RU.exe
Новые версии можно обновлять самому в папках Px86/Px64)
и получать готовый, запуская z_Pack_EXE.CMD
Для РН это излишне. Просто распаковывается любой архив и запускается ProcessHacker.exe, а SFX и прочее только мешает. Тут только что гудков с твинаппом не отметился.
Да это понятно, он же на 100% портабельный.
Но! — с собой носить иногда неплохо и один .exe, не в плане портабельности, а для удобства.
Я уже как-то привык, например.
Еще одно "неправильное" решение — вот PH в комапнии с CFF Explorer:
https://www.upload.ee/files/6540216/CFF-Explorer_8000Fix_RU.rar.html
Т.е. на чужом ПК — запустил PH из меню, нашел процесс, ПКМ — и открыл его в CFF Exlorer.
И смотришь, что это за зверь. Вышел из меню — ассоциации с CFF убрались.
Проще — открыл процесс, нажал на иконку лупы около поля Image file name — и встроенная в Process Hacker утилита PEView (собирается вместе с РН из общего пакета исходников и что "криминал" одним и тем же солюшеном ) расскажет о нём всё:
параметры образа, стек вызовов, секции, параметры запуска.
А вот БД GeoLite стоит обновить — первый вторник месяца наступил и новая БД с 03.01.2017 на серверах. Её размер 48 Мб, в тарбалле 23 Мб.
Добавлено:
единственное что на флешке не держу это БД GeoLite — зело габаритная мадам, пардон-с.