svchost.exe грузит процессор

[Иван Шабанов]

Недавно заметил, что компьютер начал подтормаживать. Зашел в диспетчер и увидел такую картину: процесс svchost.exe грузит процессор от 50% и выше. Если попытаться его закрыть, то компьютер выключается и пишет, что якобы произошла какая-то системная ошибка. 

Так же имеются такие аномалии:

1. После перезагрузки компьютера, в антивирусе выключена функция защиты от файлов.

2. Появляется CMD строка, которая загружает или отправляет куда то какой то не понятный файл. 

3. В подробностях это svchost.exe, а в процессах просто безымянный непонятный то ли процесс, то ли служба.

4. Процессор запущен от имени пользователя.

5. Сам файл находится в папке .../windows/sysWOW64.

6.Файл не удаляется просит права администратора, даже если зайти через учетную запись администратора.

7. Антивирусы его не видят.

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Иван Шабанов]

логи

CollectionLog-2018.01.01-16.25.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
ExecuteFile('schtasks.exe', '/delete /TN "tzvqiIoXCyJo" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "yYYieHRuyP" /F', 0, 15000, true);
 QuarantineFile('C:\Users\vikcha\AppData\Local\ygEOWGhDHKPAi.bat','');
 QuarantineFile('C:\WINDOWS\SysWOW64\GYEUoiImQz.bat','');
 DeleteFile('C:\WINDOWS\SysWOW64\GYEUoiImQz.bat','32');
 DeleteFile('C:\Users\vikcha\AppData\Local\ygEOWGhDHKPAi.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Иван Шабанов]

Вот новые логи.

KLAN-7449409635

 

 

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
ygEOWGhDHKPAi.bat
GYEUoiImQz.bat

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com https://www.securelist.com"

--------------------------------------------------------------------------------
Sent: 1/1/2018 12:21:00 PM
To: newvirus@kaspersky.com
Subject:

CollectionLog-2018.01.01-19.27.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Иван Шабанов]

Готово.

Otchet.rar

[thyrex]

Ace Stream Media 3.1.16.3.1 удалите через Установку программ.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKU\S-1-5-21-3232930735-2196186829-3370892384-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ligncphnohhjkgekjkghahajihclailj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
2017-03-19 06:59 - 2017-03-19 06:59 - 000001160 _____ () C:\Users\vikcha\ifqUA.bat
2017-12-26 23:36 - 2017-12-26 23:36 - 000000001 _____ () C:\Users\vikcha\AppData\Local\WMI.ini
2017-12-26 23:36 - 2017-03-19 06:59 - 000000059 _____ () C:\Users\vikcha\AppData\Local\ygEOWGhDHKPAi
Task: {99247EDC-BB20-4BD0-8B3E-544629ABE1D9} - System32\Tasks\ibeDecpbv => C:\WINDOWS\SysWOW64\GYEUoiImQz.bat <==== ATTENTION
Task: {4012D0AF-DD8F-4DA9-BC11-B0A83D812E89} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Иван Шабанов]

Готово.

Fixlog.txt

[thyrex]

Что с проблемой?

[Иван Шабанов]

Процессор не загружен, но процесс от имени пользователя остался, просто занимает немного памяти. После перезагрузки перестала появляться консоль. И вот еще, svchost.exe теперь находится в папке system32. Если все так и должно быть. То огромное вам спасибо, промучился весь вчерашний день, сканируя множеством утилит. Буду следить за нагрузкой на процессор. Если вдруг снова будут проблемы, то напишу в эту же тему.

Изменено 1 января, 2018 пользователем Иван Шабанов

[thyrex]

И вот еще, svchost.exe теперь находится в папке system32

так и должно быть

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Иван Шабанов]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 01.01.2018 20:46:30

Path starting: C:\Users\vikcha\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: Vikcha

VersionXML: 4.81is-30.12.2017

___________________________________________________________________________

 

Windows 10(6.3.16299) (x64) CoreSingleLanguage Версия: 1709 Lang: Russian(0419)

Дата установки ОС: 31.12.2017 17:12:38

Статус лицензии: Windows®, CoreSingleLanguage edition Постоянная активация прошла успешно.

Статус лицензии: Office 16, Office16ProPlusVL_KMS_Client edition Срок окончания начального льготного периода: 42148 мин.

Режим загрузки: Normal

Браузер по умолчанию: C:\Users\vikcha\AppData\Local\Yandex\YandexBrowser\Application\browser.exe

Системный диск: C: ФС: [NTFS] Емкость: [930.4 Гб] Занято: [342.4 Гб] Свободно: [588 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.125.16299.0

Контроль учётных записей пользователя включен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Уведомлять о загрузке и установке обновлений

Уведомлять о загрузке и установке обновлений

Центр обновления Windows (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2007 v.12.0.6425.1000

---------------------------- [ Antivirus_WMI ] ----------------------------

Kaspersky Internet Security (включен и обновлен)

Windows Defender (выключен и обновлен)

Malwarebytes (включен и обновлен)

---------------------------- [ Firewall_WMI ] -----------------------------

Kaspersky Internet Security (включен)

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Malwarebytes (включен и обновлен)

Kaspersky Internet Security (включен и обновлен)

Windows Defender (выключен и обновлен)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Kaspersky Internet Security v.18.0.0.405

Kaspersky Secure Connection v.18.0.0.405

-------------------------- [ SecurityUtilities ] --------------------------

Malwarebytes, версия 3.3.1.2183 v.3.3.1.2183

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления

TeamViewer 11 v.11.0.59518 Внимание! Скачать обновления

TeamViewer 11 (TeamViewer) - Служба работает

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.1.44332 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 28 PPAPI v.28.0.0.126

------------------------------- [ Browser ] -------------------------------

Yandex v.17.11.0.2260 Внимание! Скачать обновления

^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Google Chrome v.63.0.3239.108

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.63.0.3239.108

------------------ [ AntivirusFirewallProcessServices ] -------------------

Kaspersky Anti-Virus Service 18.0.0 (AVP18.0.0) - Служба работает

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 18.0.0\avp.exe v.18.0.0.405

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 18.0.0\avpui.exe v.18.0.0.405

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 2.0\ksde.exe v.18.0.0.405

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 2.0\ksdeui.exe v.18.0.0.405

C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe v.3.0.0.1284

Malwarebytes Service (MBAMService) - Служба работает

C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe v.3.1.0.595

C:\Program Files\Windows Defender\MSASCuiL.exe v.4.12.16299.15

Антивирусная программа "Защитника Windows" (WinDefend) - Служба остановлена

Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена

---------------------------- [ UnwantedApps ] -----------------------------

Ace Stream Media 3.1.16.3.1 v.3.1.16.3.1 Внимание! Нежелательное ПО. Описание программы.

Служба автоматического обновления программ Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Appset Updater 1.1.301.0 v.1.1.301.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

----------------------------- [ End of Log ] ------------------------------

[thyrex]

Выполните рекомендованное, и на этом закончим

[Иван Шабанов]

Еще раз, огромное вам спасибо!