AlexAndr11 0 Опубликовано 26 февраля, 2018 Автор Share Опубликовано 26 февраля, 2018 Здравствуйте!Вернулся к ноутбуку.Сделал скриншоты в программах ProcessExplorer и ProcessMonitor.(Программа Скайп на компьютере не установлена. А в памяти присутствует программа skypehost.)Собрал логи.На флешке при переносе файлов появился файл .info.txt с сегодняшним доступом. .info.txt CollectionLog-2018.02.26-12.40.zip screen.zip Цитата Ссылка на сообщение Поделиться на другие сайты
AlexAndr11 0 Опубликовано 4 марта, 2018 Автор Share Опубликовано 4 марта, 2018 Процесс шифрующий файлы - найден! Это svchost.exe(netsvcs). Скрин монитора ресурсов прилагаю. screen.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 5 марта, 2018 Share Опубликовано 5 марта, 2018 Иногда вредоносные программы маскируются под этот файл, но в Вашем случае это не так. Удалите папку Autologger вместе с содержимым. Скачайте заново и повторите CollectionLog. Цитата Ссылка на сообщение Поделиться на другие сайты
AlexAndr11 0 Опубликовано 5 марта, 2018 Автор Share Опубликовано 5 марта, 2018 Спасибо! Вот логи. Еще забыл сказать, что если указанный процесс приостановить, то диск успокаивается, но становится невозможно запустить любую программу. CollectionLog-2018.03.05-11.00.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 5 марта, 2018 Share Опубликовано 5 марта, 2018 "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O2 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O2-32 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive1 - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive2 - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive3 - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive4 - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive5 - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file) Вероятно система обновляется, из-за этого и "тормозит". Дождитесь окончания обновления и сообщите результат. Цитата Ссылка на сообщение Поделиться на другие сайты
AlexAndr11 0 Опубликовано 5 марта, 2018 Автор Share Опубликовано 5 марта, 2018 Фикс произвел.Если приостановить указанный svchost.exe, вместе с ним останавливаются 3 процесса:SearchUI.exeShellExperienceHost.exeSkypeHost.exeКоторые запускаются следующими строками:"C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe" -ServerName:CortanaUI.AppXa50dqqa5gqv4a428c9y1jjw7m3btvepj.mca"C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe" -ServerName:App.AppXtk181tbxbce2qsex02s8tw7hfxa9xb3t.mca"C:\Program Files\WindowsApps\Microsoft.Messaging_2.15.20002.0_x86__8wekyb3d8bbwe\SkypeHost.exe" -ServerName:SkypeHost.ServerServerКаталог с которым работает svchost вот такой: Содержимое папки c:\Windows\SoftwareDistribution\Download05.03.2018 12:03 <DIR> 079b85869c16538febb1809af4ebaeee25.02.2017 15:28 <DIR> 2bcec784902f1c8b3aca9721ac08244c14.08.2017 21:17 <DIR> 2c61697c2b32bc4cb79e167069472a4f05.03.2018 12:11 <DIR> 302bc7ed35b74a8c174b8e78363283d513.08.2017 23:35 <DIR> 3d771220a80188db46bc23d76ebc2f7813.08.2017 23:35 <DIR> 47693728e374003d155d04dd0e29b70013.08.2017 23:35 <DIR> 499b9a32a59787940c1baf98941375e305.03.2018 12:04 <DIR> 5590472ab197c15617899d3587f97c4d13.08.2017 23:35 <DIR> 6565beff1b7a86fd712d52353d7caa1614.08.2017 21:16 <DIR> c045feb455331ec9265fd044041293ef08.02.2018 16:56 <DIR> c3d43459fe0a382643ae8c3046989bb713.08.2017 23:35 <DIR> cc38c614757069993059973dc156264908.02.2018 16:56 <DIR> cdd7f68501a321758e2de7f9184e8d5a08.02.2018 16:56 <DIR> e0d31884d439c8235f8c3db2c7403a0113.08.2017 23:35 <DIR> e20d188294715076cf3e13a8e9db118e03.07.2017 17:38 44 003 024 fa55118639f665d58899d11e8c1c1619e39baf4a14.08.2017 21:17 <DIR> fec8a9f32abe7c9d52f02746f71d4049Работа происходит с каталогом оканчивающимся на d5. Вот как он выглядит внутри: Содержимое папки C:\Windows\SoftwareDistribution\Download\302bc7ed35b74a8c174b8e78363283d508.07.2017 10:23 713 amd64_000a8ac39718427ec71dd3cdb653c199_31bf3856ad364e35_10.0.10586.494_none_07db0a652e170af5.manifest08.07.2017 10:23 713 amd64_00140955cb80bb096761a7fe4d169af9_31bf3856ad364e35_10.0.10586.494_none_447f480a163e48c8.manifest08.07.2017 10:23 1 093 amd64_00217a36551ceaacf91244a0832a0e01_31bf3856ad364e35_10.0.10586.672_none_9500ad5b5068fe90.manifest08.07.2017 10:23 727 amd64_002761748e37c990b21fdcf5562d24d2_31bf3856ad364e35_10.0.10586.17_none_92dba9f37ee58fc9.manifest08.07.2017 10:23 720 amd64_0028149ecc4ad8d5801e828c282aae9a_31bf3856ad364e35_10.0.10586.672_none_c576628322df9e30.manifest08.07.2017 10:23 666 amd64_00288240f4b53dfd260596edde9a235b_b03f5f7f11d50a3a_4.0.10586.916_none_54e6d8f979ca8b2d.manifest08.07.2017 10:23 1 046 amd64_002da15fc0983356613a772302653f6d_31bf3856ad364e35_11.0.10586.1007_none_f3e0173fe870f893.manifestИ порядка 5 тысяч подобных файлов и каталогов с цифро-буквенными именами.Не думаю, что таким образом происходит обновление....Оставлял ноутбук на несколько часов, диск все так же загружен.Скриншот Processexplorer'a и полный список каталога в котором работает svchost прилагаю. screen.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 5 марта, 2018 Share Опубликовано 5 марта, 2018 Java у вас установлена старая (дрявая), удалите её. Если нужна для работы, то потом скачайте и поставьте старую. Если приостановить указанный svchost.exe, вместе с ним останавливаются 3 процесса: с такой паронойей ставить windows 10 противопоказано.Да и по системному журналу ошибок у вас действительно есть события связанные с Cortana, только к вирусам это никакого отношения не имеет. Если хотите можете создать тему в соседнем разделе: Компьютерная помощь 1 Цитата Ссылка на сообщение Поделиться на другие сайты
AlexAndr11 0 Опубликовано 5 марта, 2018 Автор Share Опубликовано 5 марта, 2018 Конечно, это не мой ноут. У меня ХР ) Про Java и тему я понял. Спасибо! Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.