[РЕШЕНО] svchost.exe

[francesca555]

Здравствуйте. Касперски (в тч Kaspersky Virus Removal Tool и еще пару программ использовала) в упор ничего не видит, но мне кажется, что компьютер заражен. Ноутбук намертво завис во время просмотра видео (дело точно не в нем), все пропало и осталась только иконка браузера (весь остальной экран был черный) пришлось перезагружать ноутбук, после этого экран загрузки как-то странно выглядел (как будто расширение неправильно выбрано), запустился вроде более менее нормально, но фон рабочего стола исчез, и вместо него черный экран. Через время перезагрузила еще раз, картинка вернулась на рабочий стол и начало происходить что-то очень странное. Я выделила несколько иконок и под ними пропал фон, при том, что в целом он оставался. Когда я продолжала выделять, фон постепенно пропадал. Я не стала до конца его убирать, но в итоге он сам пропал. При следующей загрузке ситуация повторилась, только наоборот. Рабочий стол загрузился черным, а как начала выделять, начал появляться... Я не исключаю, конечно, что не в вирусе дело, но я никогда такого не видела и в интернете ничего об этом не нашла. Как только открываю диспетчер задач, нагрузка цп падает с 40-75% до 7-15% + появились нетипичные подвисания и ноутбук сильно греется. В диспетчере задач нашла процесс svchost.exe, запущенный от имени пользователя. Если смотреть расположение файла, выдает Windows/System32/svchost.exe.

Подскажите, пожалуйста, что делать в этой ситуации?

CollectionLog-2025.01.28-09.19.zip

[safety]

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[francesca555]

ANASTASIA_2025-01-28_11-59-39_v4.99.8v x64.7z

[safety]

ПК домашний или рабочий? VPN используете?

[francesca555]

Домашний пк. Впн использую

Изменено 28 января, 2025 пользователем francesca555

[safety]

Зависания на всех браузерах или на одном?

 

Censor Tracker с какой целью используете?

+

Добавьте логи анализа системы при помощи Farbar Recovery Scan Tool

Изменено 28 января, 2025 пользователем safety

[francesca555]

Цитата

Зависания на всех браузерах или на одном?

Наблюдала только в хроме, яндекс вроде нормально работает. 

Цитата

Censor Tracker с какой целью используете?

На одном сайте с фильмами порекомендовали использовать, чтобы он включался из России, его банят часто, так как там пиратское кино. 

Addition.txt FRST.txt

[safety]

Пробуйте временно отключить Censor Tracker и проверить как будет работать видео в Chrome

[francesca555]

Повторилось абсолютно то же самое. Пропали все вкладки, кроме диспетчера задач

[safety]

Добавьте так же отчет о сканировании и обнаружении угроз из установленного антивируса Касперского.

[francesca555]

Проверял дольше, чем обычно, но опять ничего не нашел

касперски отчет.txt

[safety]

Выполним очистку системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы.

;uVS v4.99.8v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
dnsreset
winsockreset
hide %SystemDrive%\USERS\ONTHE\DOWNLOADS\AUTOLOGGER\AUTOLOGGER\RSIT\RSITX64.EXE
;------------------------autoscript---------------------------

delref 127.0.0.1:10801
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %Sys32%\..\SYSWOW64\NAHIMICSVC32.EXE
delref %Sys32%\.\NAHIMICSVC64.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\120.0.6099.130\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\120.0.6099.130\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\120.0.6099.130\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\131.0.6778.69\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\ONTHE\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.3.1250\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\ONTHE\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.3.1250\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\ONTHE\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.3.1250\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\ONTHE\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.3.1250\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\ONTHE\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.3.1250\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\120.0.2210.91\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\120.0.2210.91\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\120.0.2210.91\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\120.0.2210.91\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\120.0.2210.91\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\120.0.2210.91\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\120.0.2210.91\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\120.0.2210.91\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\120.0.2210.91\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.42\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
;-------------------------------------------------------------

restart

После перезагрузки:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Напишите, что с проблемой в Chrome.

[francesca555]

Картинка рабочего стола опять то пропадает, то возвращается, а видео нормально смотрятся (по крайней мере пока), больше не зависает. Спасибо!

2025-01-28_20-40-26_log.txt

[safety]

Ну хотя бы так. :), может так и должно быть.

 

 Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

[francesca555]

Ахах, может быть

SecurityCheck.txt