ImTheRequiem 0 Опубликовано 14 июля, 2017 Share Опубликовано 14 июля, 2017 (изменено) Здравствуйте. Ситуация обстоит следующим образом: День назад процесс стал поедать 60% мощности процессора и такое же количество оперативной памяти. С помощью антивируса он был удален и на время все пришло в норму. Затем, спустя примерно пару часов, стали дублироваться процессы. Например explorer.exe, svchost.exe. Утечек памяти или времени процессора на глаз либо не заметно, либо это компенсируется количеством процессов. Также появилась тонна мусора в системных папках. Попутно стали создаваться процессы,с вязанные с Nvidia и обозначенные как container. Решилось путем удаления драйверов видеокарты и зачистки оставшихся файлов специальной утилитой. Антивирус находил трояны (wanna.a и wanna) и майнеры (lsmo.exe и еще один), но удалил. На данный момент беспокоят только файлы svchost, которые иногда маскируются под копиями других процессов или же видимы только в мониторе ресурсов. Дефолтное кол-во процессов в моей системе до заражения ~55, но сейчас же их стабильно 80-90.На последнее не влияют никакие утилиты (антивирусы не видят). Только AVZ ругается на какой-то Jorik.Kbot, но ничего с ним сделать не может. Свалил все в кучу, но решил не упускать детали. Надеюсь, запрос составлен верно. CollectionLog-2017.07.14-12.14.zip Изменено 14 июля, 2017 пользователем ImTheRequiem Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 14 июля, 2017 Share Опубликовано 14 июля, 2017 Патч против WannaCry установлен? Выполните скрипт в AVZ begin DeleteService('mssecsvc2.0'); DeleteFile('C:\WINDOWS\mssecsvc.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger Цитата Ссылка на сообщение Поделиться на другие сайты
ImTheRequiem 0 Опубликовано 14 июля, 2017 Автор Share Опубликовано 14 июля, 2017 (изменено) У меня стоит наичистейшая Windows 7 Home Premium образца примерно 2009-го года. Обновлений никаких не ставилось из опаски, поскольку система не приняла родной лицензионный ключ и была активирована до просто рабочего состояния. Скрипт выполнил. Компьютер перезагрузился. Ситуация в процессах не поменялась. Мне нужно предоставлять логи в таком виде? Не совсем понял о каких "новых" идет речь, после скрипта или что-то еще. CollectionLog-2017.07.14-12.55.zip Изменено 14 июля, 2017 пользователем ImTheRequiem Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 14 июля, 2017 Share Опубликовано 14 июля, 2017 Установите патч для своей системы https://forum.kasperskyclub.ru/index.php?showtopic=55543(смотреть ссылки в первом сообщении) + Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
ImTheRequiem 0 Опубликовано 14 июля, 2017 Автор Share Опубликовано 14 июля, 2017 (изменено) Выполнил вторую часть инструкции. Обновление ставится. UPD: Вроде как установилось. По крайней мере была обычная процедура установки обновлений. Farbar.zip Изменено 14 июля, 2017 пользователем ImTheRequiem Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 14 июля, 2017 Share Опубликовано 14 июля, 2017 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-1270700378-1395472123-910566924-1000_Classes\CLSID\{073CB204-6B29-46FC-AB98-451F1D068741}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2016\Inventor Server\Bin\TestServer.dll => No File CustomCLSID: HKU\S-1-5-21-1270700378-1395472123-910566924-1000_Classes\CLSID\{8C23B656-4E6E-4B45-9920-9617168D39A3}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2016\Inventor Server\Bin\TestServer.dll => No File CustomCLSID: HKU\S-1-5-21-1270700378-1395472123-910566924-1000_Classes\CLSID\{E5B0515D-48D2-4F04-906D-0192ED65A2DD}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2016\Inventor Server\Bin\TestServer.dll => No File ContextMenuHandlers01: [DrwMenuHandlers] -> {E7593602-124B-47C9-9F73-A69308EDC973} => -> No File ContextMenuHandlers03: [FAExt] -> {05672D66-9736-42F5-8BEB-FA1DD3CA51C4} => -> No File ContextMenuHandlers05: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File ContextMenuHandlers06: [DrwMenuHandlers] -> {E7593602-124B-47C9-9F73-A69308EDC973} => -> No File Task: {1E94009D-4764-45B4-9D7F-A440D063CE47} - \ok -> No File <==== ATTENTION Task: {1FB180B5-91AF-48E3-9DC1-1666C62EFC19} - \Mysa1 -> No File <==== ATTENTION Task: {DFABF0AE-2569-427E-A343-6A291656706B} - \Mysa2 -> No File <==== ATTENTION Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера. Цитата Ссылка на сообщение Поделиться на другие сайты
ImTheRequiem 0 Опубликовано 14 июля, 2017 Автор Share Опубликовано 14 июля, 2017 (изменено) Сделано UPD: На всякий случай уточню, что у меня отключено создание точек восстановления. Советы от горе-мастеров по лечению таких случаев и моя им вера тому виной. Есть ли смысл включать восстановление и проделывать те же действия в FRST? На свой страх и риск. Вот лог с включенной точкой восстановления. Вдруг пригодится. Fixlog.txt Fixlog2.txt Изменено 14 июля, 2017 пользователем ImTheRequiem Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 14 июля, 2017 Share Опубликовано 14 июля, 2017 Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
ImTheRequiem 0 Опубликовано 14 июля, 2017 Автор Share Опубликовано 14 июля, 2017 (изменено) Без изменений, к сожалению. Дубликаты процессов в диспетчере и процессы, которых раньше не было. Много кэшированной физической памяти (5 ГБ). Иногда возникают процессы, берущие облик какой-либо запущенной программы. Антивирус ничего не видит, антималавары тоже молчат. Много процессов svchost.exe, один из которых постоянно имеет 200мб памяти. Автоматически возникают связанные в Nvidia файлы, хотя драйвер был удален с концами. Изменено 14 июля, 2017 пользователем ImTheRequiem Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 14 июля, 2017 Share Опубликовано 14 июля, 2017 Количество процессов svchost.exe зависит от количества служб, в работе которых он нужен. Сделайте качественные скриншоты диспетчера задач со списком процессов, которые вызывают у Вас подозрение. Цитата Ссылка на сообщение Поделиться на другие сайты
ImTheRequiem 0 Опубликовано 14 июля, 2017 Автор Share Опубликовано 14 июля, 2017 (изменено) Первые два это скриншоты диспетчера. Остальное из монитора ресурсов, поскольку некоторые процессы видно только там. На последнем я подчеркнул кажущиеся лично мне подозрительными процессы. Но я сам не знаю, что здесь можно считать подозрительным. Знаю только, что раньше процессов было меньше и большинства не наблюдалось. Изменено 14 июля, 2017 пользователем ImTheRequiem Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 14 июля, 2017 Share Опубликовано 14 июля, 2017 Нормальные легитимные процессы Цитата Ссылка на сообщение Поделиться на другие сайты
ImTheRequiem 0 Опубликовано 14 июля, 2017 Автор Share Опубликовано 14 июля, 2017 (изменено) Не знаю, как объяснить... Система не выглядит такой, какой она была к примеру дней пять назад или в ночь перед заражением (как самое ближайшее). Папки Nvidia появляются сами, как и процесс с .container (хотя драйвер и прочее ПО были удалены). На ваш взгляд все выглядит в пределах нормы? Я в этом разбираюсь совсем немного и лишь могу судить поверхностно. Но для меня процессов многовато. Мне кажется, не все они работают по своей воле и некоторые мне кажется лишними. Изменено 14 июля, 2017 пользователем ImTheRequiem Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 14 июля, 2017 Share Опубликовано 14 июля, 2017 Папки Nvidia появляются сами, как и процесс (хотя драйвер и прочее ПО были удалены).Из списка установленного NVIDIA HairWorks For Autodesk 3ds Max 2016 64bit (HKLM\...\{809A5E93-1476-4CB1-957F-21A44AE8C0C3}) (Version: 1.1.11028.13482 - NVIDIA Corporation) NVIDIA Photoshop Plug-ins 64 bit (HKLM-x32\...\{5E386C5B-CDE7-435A-B5C9-EC73A1B0553A}) (Version: 8.50 - ) В общем умерьте свою подозрительность. Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Скопируйте содержимое файла в свое следующее сообщение. Цитата Ссылка на сообщение Поделиться на другие сайты
ImTheRequiem 0 Опубликовано 14 июля, 2017 Автор Share Опубликовано 14 июля, 2017 (изменено) SecurityCheck by glax24 & Severnyj v.1.4.0.51 [13.06.17]WebSite: www.safezone.ccDateLog: 14.07.2017 20:17:53Path starting: C:\Users\Requiem\AppData\Local\Temp\SecurityCheck\SecurityCheck.exeLog directory: C:\SecurityCheck\IsAdmin: TrueUser: RequiemVersionXML: 4.48is-05.07.2017___________________________________________________________________________Windows 7(6.1.7601) Service Pack 1 (x64) HomePremium Lang: Russian(0419)Дата установки ОС: 03.10.2016 22:02:05Статус лицензии: Windows® 7, HomePremium edition Срок окончания начального льготного периода: 42840 мин.Режим загрузки: NormalБраузер по умолчанию: C:\Program Files (x86)\Mozilla Firefox\firefox.exeСистемный диск: C: ФС: [NTFS] Емкость: [921.5 Гб] Занято: [533.4 Гб] Свободно: [388.1 Гб]------------------------------- [ Windows ] -------------------------------Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^Контроль учётных записей пользователя включенАвтоматическое обновление отключеноДата установки обновлений: 2017-01-12 15:39:38Центр обновления Windows (wuauserv) - Служба работаетЦентр обеспечения безопасности (wscsvc) - Служба работаетУдаленный реестр (RemoteRegistry) - Служба остановленаОбнаружение SSDP (SSDPSRV) - Служба работаетСлужбы удаленных рабочих столов (TermService) - Служба остановленаСлужба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена------------------------------- [ HotFix ] --------------------------------HotFix KB3124000 Внимание! Скачать обновленияHotFix KB3140735 Внимание! Скачать обновленияHotFix KB3138962 Внимание! Скачать обновленияHotFix KB3145739 Внимание! Скачать обновленияHotFix KB3156013 Внимание! Скачать обновленияHotFix KB3153171 Внимание! Скачать обновленияHotFix KB3178034 Внимание! Скачать обновленияHotFix KB3185911 Внимание! Скачать обновленияHotFix KB3184122 Внимание! Скачать обновленияHotFix KB3192391 Внимание! Скачать обновленияHotFix KB3197867 Внимание! Скачать обновленияHotFix KB3205394 Внимание! Скачать обновленияHotFix KB4019263 Внимание! Скачать обновленияHotFix KB4022722 Внимание! Скачать обновления------------------------------ [ MS Office ] ------------------------------Microsoft Office 2013 x64 v.15.0.4569.1506---------------------------- [ Antivirus_WMI ] ----------------------------Dr.Web Security Space (включен и обновлен)Malwarebytes (включен и обновлен)---------------------------- [ Firewall_WMI ] -----------------------------Dr.Web Firewall (включен)--------------------------- [ AntiSpyware_WMI ] ---------------------------Malwarebytes (включен и обновлен)Windows Defender (включен и устарел)Dr.Web Security Space (включен и обновлен)---------------------- [ AntiVirusFirewallInstall ] -----------------------Dr.Web Security Space v.11.0.5.07100-------------------------- [ SecurityUtilities ] --------------------------Malwarebytes, версия 3.1.2.1733 v.3.1.2.1733--------------------------------- [ IM ] ----------------------------------Skype™ 7.29 v.7.29.102 Внимание! Скачать обновления--------------------------------- [ P2P ] ---------------------------------µTorrent v.3.5.0.43916 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.------------------------------- [ Browser ] -------------------------------Mozilla Firefox 54.0.1 (x86 ru) v.54.0.1--------------------------- [ RunningProcess ] ----------------------------C:\Program Files (x86)\Mozilla Firefox\firefox.exe v.54.0.1.6388------------------ [ AntivirusFirewallProcessServices ] -------------------Dr.Web Scanning Engine (DrWebEngine) (DrWebEngine) - Служба работаетC:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe v.11.1.10.4260Dr.Web Control Service (DrWebAVService) - Служба работаетC:\Program Files\DrWeb\dwservice.exe v.11.0.16.6200Dr.Web Firewall Service (DrWebFwSvc) - Служба работаетC:\Program Files\DrWeb\frwl_svc.exe v.11.1.5.2200Dr.Web Net Filtering Service (DrWebNetFilter) - Служба работаетC:\Program Files\DrWeb\dwnetfilter.exe v.11.1.11.4270C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwarkdaemon.exe v.11.1.10.4260C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwantispam.exe v.11.1.10.4260C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwwatcher.exe v.11.1.10.4260C:\Program Files\DrWeb\frwl_notify.exe v.11.1.5.2200C:\Program Files\DrWeb\spideragent.exe v.11.0.15.7070C:\Anti-Malware\mbamtray.exe v.3.0.0.1068Malwarebytes Service (MBAMService) - Служба работаетC:\Anti-Malware\MBAMService.exe v.3.1.0.479Защитник Windows (WinDefend) - Служба работает---------------------------- [ UnwantedApps ] -----------------------------AusLogics BoostSpeed Premium Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.IObit Unlocker v.1.1.2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.Razer Game Booster v.4.2.42.0 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.----------------------------- [ End of Log ] ------------------------------ Изменено 14 июля, 2017 пользователем ImTheRequiem Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.