lsmo.exe перешедший в дублированные svchost

[ImTheRequiem]

Здравствуйте.

 

Ситуация обстоит следующим образом:

День назад процесс стал поедать 60% мощности процессора и такое же количество оперативной памяти. С помощью антивируса он был удален и на время все пришло в норму. Затем, спустя примерно пару часов, стали дублироваться процессы. Например explorer.exe, svchost.exe. Утечек памяти или времени процессора на глаз либо не заметно, либо это компенсируется количеством процессов. Также появилась тонна мусора в системных папках. Попутно стали создаваться процессы,с вязанные с Nvidia и обозначенные как container. Решилось путем удаления драйверов видеокарты и зачистки оставшихся файлов специальной утилитой. Антивирус находил трояны (wanna.a и wanna) и майнеры (lsmo.exe и еще один), но удалил. На данный момент беспокоят только файлы svchost, которые иногда маскируются под копиями других процессов или же видимы только в мониторе ресурсов. Дефолтное кол-во процессов в моей системе до заражения ~55, но сейчас же их стабильно 80-90.

На последнее не влияют никакие утилиты (антивирусы не видят). Только AVZ ругается на какой-то Jorik.Kbot, но ничего с ним сделать не может. Свалил все в кучу, но решил не упускать детали.

Надеюсь, запрос составлен верно.

CollectionLog-2017.07.14-12.14.zip

Изменено 14 июля, 2017 пользователем ImTheRequiem

[thyrex]

Патч против WannaCry установлен?

 

Выполните скрипт в AVZ

begin
 DeleteService('mssecsvc2.0');
 DeleteFile('C:\WINDOWS\mssecsvc.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[ImTheRequiem]

У меня стоит наичистейшая Windows 7 Home Premium образца примерно 2009-го года. Обновлений никаких не ставилось из опаски, поскольку система не приняла родной лицензионный ключ и была активирована до просто рабочего состояния.

 

Скрипт выполнил. Компьютер перезагрузился. Ситуация в процессах не поменялась.

Мне нужно предоставлять логи в таком виде? Не совсем понял о каких "новых" идет речь, после скрипта или что-то еще.

CollectionLog-2017.07.14-12.55.zip

Изменено 14 июля, 2017 пользователем ImTheRequiem

[thyrex]

Установите патч для своей системы https://forum.kasperskyclub.ru/index.php?showtopic=55543(смотреть ссылки в первом сообщении)

 

+ Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[ImTheRequiem]

Выполнил вторую часть инструкции. Обновление ставится.

 

UPD: Вроде как установилось. По крайней мере была обычная процедура установки обновлений.

Farbar.zip

Изменено 14 июля, 2017 пользователем ImTheRequiem

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-1270700378-1395472123-910566924-1000_Classes\CLSID\{073CB204-6B29-46FC-AB98-451F1D068741}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2016\Inventor Server\Bin\TestServer.dll => No File
CustomCLSID: HKU\S-1-5-21-1270700378-1395472123-910566924-1000_Classes\CLSID\{8C23B656-4E6E-4B45-9920-9617168D39A3}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2016\Inventor Server\Bin\TestServer.dll => No File
CustomCLSID: HKU\S-1-5-21-1270700378-1395472123-910566924-1000_Classes\CLSID\{E5B0515D-48D2-4F04-906D-0192ED65A2DD}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2016\Inventor Server\Bin\TestServer.dll => No File
ContextMenuHandlers01: [DrwMenuHandlers] -> {E7593602-124B-47C9-9F73-A69308EDC973} =>  -> No File
ContextMenuHandlers03: [FAExt] -> {05672D66-9736-42F5-8BEB-FA1DD3CA51C4} =>  -> No File
ContextMenuHandlers05: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
ContextMenuHandlers06: [DrwMenuHandlers] -> {E7593602-124B-47C9-9F73-A69308EDC973} =>  -> No File
Task: {1E94009D-4764-45B4-9D7F-A440D063CE47} - \ok -> No File <==== ATTENTION
Task: {1FB180B5-91AF-48E3-9DC1-1666C62EFC19} - \Mysa1 -> No File <==== ATTENTION
Task: {DFABF0AE-2569-427E-A343-6A291656706B} - \Mysa2 -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[ImTheRequiem]

Сделано

UPD: На всякий случай уточню, что у меня отключено создание точек восстановления. Советы от горе-мастеров по лечению таких случаев и моя им вера тому виной.

Есть ли смысл включать восстановление и проделывать те же действия в FRST?

На свой страх и риск. Вот лог с включенной точкой восстановления. Вдруг пригодится.

Fixlog.txt

Fixlog2.txt

Изменено 14 июля, 2017 пользователем ImTheRequiem

[thyrex]

Что с проблемой?

[ImTheRequiem]

Без изменений, к сожалению. Дубликаты процессов в диспетчере и процессы, которых раньше не было. Много кэшированной физической памяти (5 ГБ). Иногда возникают процессы, берущие облик какой-либо запущенной программы. Антивирус ничего не видит, антималавары тоже молчат.

Много процессов svchost.exe, один из которых постоянно имеет 200мб памяти. Автоматически возникают связанные в Nvidia файлы, хотя драйвер был удален с концами.

Изменено 14 июля, 2017 пользователем ImTheRequiem

[thyrex]

Количество процессов svchost.exe зависит от количества служб, в работе которых он нужен.

 

Сделайте качественные скриншоты диспетчера задач со списком процессов, которые вызывают у Вас подозрение.

[ImTheRequiem]

Первые два это скриншоты диспетчера. Остальное из монитора ресурсов, поскольку некоторые процессы видно только там. На последнем я подчеркнул кажущиеся лично мне подозрительными процессы.

Но я сам не знаю, что здесь можно считать подозрительным. Знаю только, что раньше процессов было меньше и большинства не наблюдалось.

Изменено 14 июля, 2017 пользователем ImTheRequiem

[thyrex]

Нормальные легитимные процессы

[ImTheRequiem]

Не знаю, как объяснить... Система не выглядит такой, какой она была к примеру дней пять назад или в ночь перед заражением (как самое ближайшее). Папки Nvidia появляются сами, как и процесс с .container (хотя драйвер и прочее ПО были удалены).

На ваш взгляд все выглядит в пределах нормы? Я в этом разбираюсь совсем немного и лишь могу судить поверхностно. Но для меня процессов многовато. Мне кажется, не все они работают по своей воле и некоторые мне кажется лишними.

Изменено 14 июля, 2017 пользователем ImTheRequiem

[thyrex]

Папки Nvidia появляются сами, как и процесс (хотя драйвер и прочее ПО были удалены).

Из списка установленного

 

NVIDIA HairWorks For Autodesk 3ds Max 2016 64bit (HKLM\...\{809A5E93-1476-4CB1-957F-21A44AE8C0C3}) (Version: 1.1.11028.13482 - NVIDIA Corporation)

NVIDIA Photoshop Plug-ins 64 bit (HKLM-x32\...\{5E386C5B-CDE7-435A-B5C9-EC73A1B0553A}) (Version: 8.50 - )

В общем умерьте свою подозрительность.

 

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Скопируйте содержимое файла в свое следующее сообщение.

[ImTheRequiem]

SecurityCheck by glax24 & Severnyj v.1.4.0.51 [13.06.17]
WebSite: www.safezone.cc
DateLog: 14.07.2017 20:17:53
Path starting: C:\Users\Requiem\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Requiem
VersionXML: 4.48is-05.07.2017
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) HomePremium Lang: Russian(0419)
Дата установки ОС: 03.10.2016 22:02:05
Статус лицензии: Windows® 7, HomePremium edition Срок окончания начального льготного периода: 42840 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Mozilla Firefox\firefox.exe
Системный диск: C: ФС: [NTFS] Емкость: [921.5 Гб] Занято: [533.4 Гб] Свободно: [388.1 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя включен
Автоматическое обновление отключено
Дата установки обновлений: 2017-01-12 15:39:38
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------- [ HotFix ] --------------------------------
HotFix KB3124000 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2013 x64 v.15.0.4569.1506
---------------------------- [ Antivirus_WMI ] ----------------------------
Dr.Web Security Space (включен и обновлен)
Malwarebytes (включен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
Dr.Web Firewall (включен)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Malwarebytes (включен и обновлен)
Windows Defender (включен и устарел)
Dr.Web Security Space (включен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Dr.Web Security Space v.11.0.5.07100
-------------------------- [ SecurityUtilities ] --------------------------
Malwarebytes, версия 3.1.2.1733 v.3.1.2.1733
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.29 v.7.29.102 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.0.43916 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 54.0.1 (x86 ru) v.54.0.1
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Mozilla Firefox\firefox.exe v.54.0.1.6388
------------------ [ AntivirusFirewallProcessServices ] -------------------
Dr.Web Scanning Engine (DrWebEngine) (DrWebEngine) - Служба работает
C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe v.11.1.10.4260
Dr.Web Control Service (DrWebAVService) - Служба работает
C:\Program Files\DrWeb\dwservice.exe v.11.0.16.6200
Dr.Web Firewall Service (DrWebFwSvc) - Служба работает
C:\Program Files\DrWeb\frwl_svc.exe v.11.1.5.2200
Dr.Web Net Filtering Service (DrWebNetFilter) - Служба работает
C:\Program Files\DrWeb\dwnetfilter.exe v.11.1.11.4270
C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwarkdaemon.exe v.11.1.10.4260
C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwantispam.exe v.11.1.10.4260
C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwwatcher.exe v.11.1.10.4260
C:\Program Files\DrWeb\frwl_notify.exe v.11.1.5.2200
C:\Program Files\DrWeb\spideragent.exe v.11.0.15.7070
C:\Anti-Malware\mbamtray.exe v.3.0.0.1068
Malwarebytes Service (MBAMService) - Служба работает
C:\Anti-Malware\MBAMService.exe v.3.1.0.479
Защитник Windows (WinDefend) - Служба работает
---------------------------- [ UnwantedApps ] -----------------------------
AusLogics BoostSpeed Premium Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
IObit Unlocker v.1.1.2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Razer Game Booster v.4.2.42.0 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

Изменено 14 июля, 2017 пользователем ImTheRequiem