Процессы без имени нагружают ЦП

[wanted3866]

Здравствуйте. Не так давно я заметил, что в диспетчере задач начали появляться пачки процессов без имени.Они грузят процессор и через какое то время пропадают. Периодически это заканчивается этой ошибкой

 

После этого, активно нагружать ЦП начинает процесс "утилита атрибутов" (до 50% использования ресурсов процессора), которая также через какое то время закрывается.  Я подумал, что словил какой то вирус, но антивирусные утилиты (Ваша и adw cleaner) ничего не нашли. В интернете про эту ошибку говорят только иностранные источники, которые ссылаются на трояны. Процессы появляются, в основном, при запуске каких нибудь игр. Заметного снижения производительности я не заметил, но выскакивающий баннер с ошибкой не слишком приятен. В диспетчере задач они выглядят так.

Не уверен, что я обратился по адресу, но если это действительно какой то вирус, то помогите пожалуйста. Если же нет, то посоветуйте форум, на который стоит обратиться с данной проблемой. Заранее спасибо.

лог почему то не прикрепился

[regist]

Порядок оформления запроса о помощи
 

[wanted3866]

лог

CollectionLog-2017.06.27-18.17.zip

[regist]

Здравствуйте!

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Users\Alex\AppData\Local\Temp\Rar$EXa0.070\Svchost Viewer.exe');
 TerminateProcessByName('C:\Users\Alex\AppData\Roaming\Microsoft\Windows\svchost.exe');
 QuarantineFile('C:\WINDOWS\system32\bstreamsvc.dll','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_AD2529C7DB5B63D28C23362385276129');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleChromeAutoLaunch_AD2529C7DB5B63D28C23362385276129');
 QuarantineFile('C:\Users\Alex\AppData\Local\Temp\Rar$EXa0.070\Svchost Viewer.exe', '');
 QuarantineFile('C:\Users\Alex\AppData\Roaming\Microsoft\Windows\svchost.exe', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Users\Alex\AppData\Local\Temp\Rar$EXa0.070\Svchost Viewer.exe', '32');
 DeleteFile('C:\Users\Alex\AppData\Roaming\Microsoft\Windows\svchost.exe', '32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "SystemCheck" /F', 0, 15000, true);
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteDirectory('c:\program files (x86)\zaxar');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Zaxar');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

 

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

• Скачайте AdwCleaner

и сохраните его на Рабочем столе.

• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

Изменено 27 июня, 2017 пользователем regist

[wanted3866]

KLAN-6456685879

AdwCleanerS16.txt

CollectionLog-2017.06.27-19.21.zip

[regist]

1)

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

"Пофиксите" в HijackThis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://nqaqeba.ru/?utm_source=startpage03&utm_content=c08d131bc9bf107f5cf4658225c11c43
O4 - HKCU\..\Run: [GoogleChromeAutoLaunch_AD2529C7DB5B63D28C23362385276129] "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --no-startup-window /prefetch:5
O18 - Protocol: mso-minsb-roaming.16 - {83C25742-A9F7-49FB-9138-434302C88D07} - (no file)
O18 - Protocol: mso-minsb.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - (no file)
O18 - Protocol: osf-roaming.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - (no file)
O18 - Protocol: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O22 - ScheduledTask: (Disabled) PeriodicScanRetry - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\MCUpdate.exe -pscn 0 (file missing)
O22 - ScheduledTask: (Disabled) RecordingRestart - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehrec /RestartRecording (file missing)
O22 - ScheduledTask: (Ready) ActivateWindowsSearch - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehPrivJob.exe /DoActivateWindowsSearch (file missing)
O22 - ScheduledTask: (Ready) Adobe Flash Player Updater - {root} - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (file missing)
O22 - ScheduledTask: (Ready) ConfigureInternetTimeService - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehPrivJob.exe /DoConfigureInternetTimeService (file missing)
O22 - ScheduledTask: (Ready) DispatchRecoveryTasks - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehPrivJob.exe /DoRecoveryTasks $(Arg0) (file missing)
O22 - ScheduledTask: (Ready) DllKitPRO - {root} - "C:\Program Files (x86)\DllKitPRO\dllkitpro.exe" start (file missing)
O22 - ScheduledTask: (Ready) InstallPlayReady - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehPrivJob.exe /InstallPlayReady $(Arg0) (file missing)
O22 - ScheduledTask: (Ready) MediaCenterRecoveryTask - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\mcupdate.exe -MediaCenterRecoveryTask (file missing)
O22 - ScheduledTask: (Ready) OCURActivate - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehPrivJob.exe /OCURActivate (file missing)
O22 - ScheduledTask: (Ready) OCURDiscovery - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehPrivJob.exe /OCURDiscovery $(Arg0) (file missing)
O22 - ScheduledTask: (Ready) ObjectStoreRecoveryTask - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\mcupdate.exe -ObjectStoreRecoveryTask (file missing)
O22 - ScheduledTask: (Ready) PBDADiscovery - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehPrivJob.exe /PBDADiscovery (file missing)
O22 - ScheduledTask: (Ready) PBDADiscoveryW1 - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehPrivJob.exe /wait:7 /PBDADiscovery (file missing)
O22 - ScheduledTask: (Ready) PBDADiscoveryW2 - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehPrivJob.exe /wait:90 /PBDADiscovery (file missing)
O22 - ScheduledTask: (Ready) PvrRecoveryTask - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\mcupdate.exe -PvrRecoveryTask (file missing)
O22 - ScheduledTask: (Ready) PvrScheduleTask - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\mcupdate.exe -PvrSchedule (file missing)
O22 - ScheduledTask: (Ready) RegisterSearch - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehPrivJob.exe /DoRegisterSearch $(Arg0) (file missing)
O22 - ScheduledTask: (Ready) ReindexSearchRoot - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehPrivJob.exe /DoReindexSearchRoot (file missing)
O22 - ScheduledTask: (Ready) SqlLiteRecoveryTask - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\mcupdate.exe -SqlLiteRecoveryTask (file missing)
O22 - ScheduledTask: (Ready) StartRecording - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehrec /StartRecording (file missing)
O22 - ScheduledTask: (Ready) SystemCheck - \System - C:\Users\Alex\AppData\Roaming\Microsoft\Windows\svchost.exe -WindowsCheck (file missing)
O22 - ScheduledTask: (Ready) UpdateRecordPath - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehPrivJob.exe /DoUpdateRecordPath $(Arg0) (file missing)
O22 - ScheduledTask: (Ready) ehDRMInit - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehPrivJob.exe /DRMInit (file missing)
O22 - ScheduledTask: (Ready) mcupdate - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\mcupdate $(Arg0) (file missing)
O22 - ScheduledTask: (Ready) mcupdate_scheduled - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\mcupdate -crl -hms -pscn 15 (file missing)

 

3) Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
 

[wanted3866]

...

AdwCleanerS17.txt

WANTED3866_2017-06-27_20-26-10.7z

[regist]

AdwCleanerS17.txt

Не тот лог прикрепили. Перечитайте внимательно, что я просил.

Поясню, что нужен лог с буквой [CX], вместо Х цифра.

DLL-Files.com Fixer - нежелательное ПО, деинсталируйте.

 

Unity Web Player, Uplay - если сами не ставили, то тоже деинсталируйте.

 

 

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.0.5 [http://dsrt.dyndns.org]
  ;Target OS: NTv10.0
  v400c
  BREG
  ;---------command-block---------
  dirzooex %SystemDrive%\PROGRAM FILES\GET-STYLES 2.0
  delref %SystemDrive%\USERS\ALEX\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\MBLAUNCHER.EXE
  delref %SystemDrive%\USERS\ALEX\APPDATA\LOCAL\MAIL.RU\GAMECENTER\GAMECENTER@MAIL.RU.EXE
  delref HTTP://NQAQEBA.RU/?UTM_SOURCE=STARTPAGE03&UTM_CONTENT=C08D131BC9BF107F5CF4658225C11C43
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
  delref G:\SOFT\FRAMEWORK.NET\DOTNETFX35.EXE
  delref G:\SOFT\FRAMEWORK.NET\DOTNETFX2.EXE
  delref %SystemDrive%\PROGRAM FILES (X86)\CCLEANER\CCLEANER.EXE
  apply
  
  restart
  zoo %SystemRoot%\SYSWOW64\BSTREAMSVC.DLL
  bl 24599C5C53C3173DB261CA73889DF971 275968
  addsgn 79132211B9E9317E0AA1AB5925901205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5AA6CAC9C4616EAF249DBF8FB58DE84283DFEB12FF30232FA 64 TrojanDownloader.Stantinko.BC 7
  
  zoo %SystemRoot%\SYSWOW64\OPTSATADC.DLL
  bl DF5958459F89D775687190650DE4F08B 405504
  addsgn 79132211B9E9317E0AA1AB5900A51205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A57AD3D21473A209FE6D88174799CCB63DD2A15B1A0F102462 64 TrojanDownloader.Stantinko.BC 7
  
  zoo %SystemDrive%\PROGRAM FILES\GET-STYLES 2.0\HOMEPAGEGUARD.EXE
  bl E55B381FEB8FDF3CDC4882772ADE460C 127096
  addsgn BA6F9BB2BDA553720B9C2D754C2104FBDA75303AC171DB300C9BCDF4D9BE6904AA67E31FB7058D1E6AD4C5CA074008AD355C04321851C92460FC85664C771A3E 8 Trojan.Triosir.165 [DrWeb] 7
  
  chklst
  delvir
  
  czoo

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

  Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

• Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
• Подробнее читайте в этом руководстве.

 

 

Сделайте свежий образ автозапуска.

Изменено 27 июня, 2017 пользователем regist

[wanted3866]

Ой, простите, не заметил.

Файл я отправил на сайт, но я так и не понял как его назвать. Назвал его virusinfo_cure.

....

WANTED3866_2017-06-27_22-04-55.7z

AdwCleanerC6.txt

[regist]

 

 

Файл я отправил на сайт, но я так и не понял как его назвать. Назвал его virusinfo_cure.

Отправляли через форму как понимаю? Но сегодня вообще с фанклаба карантины не приходили, ни через форму, ни на почту. Отправьте ещё раз.

+

1)

 

DLL-Files.com Fixer - нежелательное ПО, деинсталируйте.

не сделали.

 

и "Игровой центр" если не используете также деинсталируйте.

 

2)

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

 

3) что с проблемой?

[wanted3866]

Меня перекидывает на этот сайт http://www.oszone.net/virusnet/ 
Я сделал все, о чём просили и мне показали баннер мол консультант сообщит о результатах проверки. Отправил еще раз.

 

1) А как DLL-Files.com Fixer вредит компьютеру? Мне его когда- то посоветовал IT-отдел моей работы и тогда он здорово поднял производительность машины.

2) Сделано

3) Проблема ушла после 1 скрипта. Во всяком случае она себя пока что не проявляла. Я думаю, что проблема решена. Спасибо вам большое. Это был все таки вирус?

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.