[РЕШЕНО] svchost грузит на 50% цп

[dreamkie]

Здравствуйте! Проблема такая Сегодня появился процесс svchost который грузит цп максимально до 50% 
Сканировал Dr.web curreit ничего не найдено.  KVRT не запускается выдаёт ошибку - для работы программы требуется установленное обновление kb4474419
Установить обновление не получается, идёт откат восстановление прошлой точки запуска или что то типа того. Проблема на время "убивается" программой Tdsskiller но спустя время компьютер автоматически перезагружается и всё по-новой. 
Помогите решить проблему. Скрин от Tdsskiller , карантин файл от него же https://disk.yandex.ru/d/CPwLzvp1TS0J-g, пароль virus

Есть программы -  avz, uvs, HiJackThis

Изменено 18 августа, 2022 пользователем dreamkie

[thyrex]

Здравствуйте.
Порядок оформления запроса о по-мощи.
Логи прикрепите к следующему сообщению в данной теме.
 

[dreamkie]

вот

CollectionLog-2022.08.18-12.14.zip

 

5 часов назад, dreamkie сказал:

вот 

CollectionLog-2022.08.18-12.14.zip 56.5 kB · 0 загрузок

В данный момент не грузит ЦП уже больше часа. После очередного сканирования Tdsskiller  Но на долго ли....  

[thyrex]

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
  DeleteFile('C:\Windows\winstart.bat','32');
 DeleteFile('C:\Windows\winstart.bat','64');
 DeleteSchedulerTask('StartDVR');
ExecuteSysClean;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[dreamkie]

Вот. Второй раз

CollectionLog-2022.08.18-13.04.zip

 

Зашёл в игру на минут 40 потом синий экран, перегрев. Перезагружаюсь а там lsma22 грузить до 80 процентов, этот сайт закрывает. Удалил вручную пустило. Что делать?

 

И conhoy.exe какой то кажись тоже вирус

 

В этот раз dr.web curreit нашёл кучу угроз. 29 шт.
лог  - https://disk.yandex.ru/d/7FOwqNqLj7E5Dw 

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan (Сканировать).

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[dreamkie]

Сделал. Вчера устанавливал видеодрайвер через софт, он мне подсунул  360 total security беспл.версию . недолго думая оставил на всякий случай. Сегодня утром этот антивир мне пишет о неких процессах которые идут в cmd.exe - EternalBlue   вроде бы , нажал блокировать.  Вчера так же нашёл пару вирусов. Удалил. Сейчас изредка этот антивир пишет о блокированном  выполнении  в cmd.exe 

Desktop.rar

Изменено 19 августа, 2022 пользователем dreamkie

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
S2 mssecsvc2.0; C:\WINDOWS\mssecsvc.exe -m security [X]
S2 mssecsvc2.1; C:\WINDOWS\mssecsvr.exe -m security [X]
Task: {FDE46757-3350-42E2-8485-981B870BD54D} - System32\Tasks\MicrosoftsWindowsy => c:\windows\temp\conhoy.exe (Нет файла) <==== ВНИМАНИЕ
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

И надо искать способ запустить KVRT. Тот вариант майнера, с которым Вы столкнулись, начинает работу с загрузочного сектора.

Попробуйте установить на свою семерку обновления из пакетов от simplix.

 

[dreamkie]

А в какой программе скрипт запускать? К сожалению нужно отьехать на пару дней. Через 2-3 дня вернусь сделаю, отпишу тут. Спасибо 

[thyrex]

2 минуты назад, dreamkie сказал:

А в какой программе скрипт запускать?

Инструкцию читайте внимательно. Там же по пунктам все расписано.

[dreamkie]

Извиняюсь , невнимательный.. 
Глупый вопрос но при заходе в игру вылазит спустя короткое время синий экран. (раньше не было такого) Стоит ли чинить эту развалюху от вирусов если играть не смогу? 

Fixlog.txt

Изменено 19 августа, 2022 пользователем dreamkie

[thyrex]

Это сами решайте

 

На данный момент все следы, обнаруженные в логах, устранены.

[dreamkie]

Благодарю за помощь! ❤️
 А если поставить win 10. Проблем с ней меньше будет в дальнейшем чем с 7кой пираткой? Я просто чайник, имею в виду чтобы были закрыты изначально уязвимости. И  обновления необходимые для программ , в том числе антивирусов  все стабильно работали. Пираткой этой пользовался довольно длительное время ( лет 7-8) Прекрасно знал что в сборке есть вирусы, но проблемы решались банальным сканером касперским, dr web curreit, malwarebytes.  
5 сек назад антивир 360 тотал секьюрити (который каким то макаром сам установился вместе с драйвером)  заблокировал выполнение некой команды в cmd.exe. и так раза 3 уже...

Изменено 19 августа, 2022 пользователем dreamkie

[thyrex]

Этот майнер намного моложе Вашей пиратской системы. Так что подхватили Вы его скорее через такие же пиратские игры или репаки к ним.

 

В общем устанавливайте обновления с помощью указанного мной пакета и пробуйте запускать KVRT.

[dreamkie]

В общем винда окончательно сдохла несколько дней назад. Пришлось ставить такую же. Пиратских игр не было , но в комплекте с этой виндой шли всякие дополнения - torrent , 7zip, winrar , paint  и тд. Которые в этот раз устанавливать не стал, отключать центр обновления виндовс тоже не стал и KVRT запустился.  Вчера проверял весь компьютер и все разделы - ничего не найдено. Думаю ещё раз проверить на днях как закончу с установкой игр и тд.  Игры стимовские лицензионные.