Возможное заражение

[Psevdo-kos]

Всем здравствуйте. Проблема заключается в следующем , NahimicService.exe стал вести себя странно. Странность заключается в гигантском потреблении оперативной памяти . Я периодически заглядываю в монитор ресурсов и смотрю потребление системой или ещё чем оперативки. Так вот поиграл я в игру , вышел из игры , зашёл в монитор ресурсов и удивился тому что  NahimicService.exe потреблял 11 гигабайт оперативной памяти. Я попытался выключить его через касперского и через диспетчер задач но отключить его не смог , было отказано в доступе. Потребление оперативки не снижалось. Помогла только перезагрузка П.К.  Через некоторое время этот процесс опять стал потреблять много памяти. Вчера я увидел что он потребляет 6 гигов операвтивки. Выключить через диспетчер его не возможно , отказано в доступе. Помогла опять перезагрузка. Я занёс его в не доверенные и включил запись в отчётах. И вот после перезагрузки см.скрин , он пытается залезть по пути . Не знаю с чем связано потребление памяти этим процессом , может через него кто то проникает в мою систему ? У меня установлен KIS 20.0.14 1085(e). Проверка системы не антивирусом не сторонними сканерами заражений не выявила. Сколько использую Windows 10 такой проблемы никогда не было. Весь софт только лицензионный. Не знаю связано ли это с данным случаем , но недавно я залез в свойства диска С и во вкладке безопасность обнаружил неизвестного пользователя . По клику на него было написано что это неизвестный пользователь и стояли знаки вопроса. Я быстро его удалил. Вроде больше пока не появлялся. Не знаю кто и что это было. После вернул компьютер в исходное состояние. Вроде всё шло нормально но через неделю опять появилась проблема с NahimicService.exe который несчастно ест оперативку . Что это ? Может через уязвимость данного приложения кто то проникает ко мне ?

 

Вот ещё скрин. 

 

 

CollectionLog-2019.11.10-23.31.zip

[SQ]

Здравствуйте,

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

 

[Psevdo-kos]

Готово.

DESKTOP-D8JPS9V_2019-11-11_03-39-37_v4.1.8.7z

[SQ]

В логах ничего плохого не заметил.

Могли бы предоставить еще следующий лог.

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[Psevdo-kos]

Вот логи. Итак я перезагрузил П.К. Запустился опять NahimicService.exe и стал потихоньку потреблять память. Я снял скрин за 30 секунд его работы после запуска системы. Потребление памяти потихоньку увеличивается . В скине номер 2 видно что программа имеет цифровую подпись и вроде всё нормально. Но потребление памяти в 11 гигабайт для неизвестного для меня приложения недопустимо. Есть ли какие нибудь инструменты , программы , что бы можно было посмотреть что конкретно делает это приложение у меня на компе в момент потребления большого объёма оперативной памяти ?

Не может оно потреблять такой объем и ничего не делать. Как узнать ?

FRST.txt

Addition.txt

[SQ]

Здравствуйте,

Могли бы пожалуйста предоставить логи утилиты FRST под учетной записью администратор.

Ran by Psevdo-Kos (ATTENTION: The user is not administrator) on DESKTOP-D8JPS9V (11-11-2019 12:33:27)

По каким-то причинам служба NahimicService не может запуститься и возникают дампы, возможно из-за этого и происходит учетка памяти.
 

Error: (11/11/2019 03:37:01 AM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Сбой при запуске службы "NahimicService" из-за ошибки 
Отказано в доступе.


Error: (11/11/2019 03:36:55 AM) (Source: volmgr) (EventID: 46) (User: )
Description: Не удалось инициализировать аварийный дамп.


Error: (11/11/2019 01:53:52 AM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Сбой при запуске службы "NahimicService" из-за ошибки 
Отказано в доступе.

[Psevdo-kos]

Вот новые логи. Программа не могла запустится потому , что я её занёс в список не доверенных программ в KIS и запретил ей любую активность. Но на время снятия логов , сейчас поместил в доверенные.

Addition.txt

FRST.txt

[SQ]

Странно у вас домащняя версия ОС (Windows 10 Home), при этом имеются какие-то записи локальной групповой политики

GroupPolicyScripts\User: Restriction <==== ATTENTION

 

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Start::
CreateRestorePoint:
CloseProcesses:
Task: {0067e27c-a8af-4886-80f4-a3471da07851} - no filepath
Task: {00f52586-94f8-4a24-929e-811e0b279a18} - no filepath
Task: {04227f8d-3a20-4240-989f-eb9618df99aa} - no filepath
Task: {04cac6b3-fcc4-4ad0-b7b7-fd7a18415a6d} - no filepath
Task: {0650b9d4-5519-4fa4-8cc7-568d1ddbb998} - no filepath
Task: {06b02d39-26fc-46f6-9b84-d7c57f7e78ba} - no filepath
Task: {0b760a6b-64c5-4e6a-ab64-840b136d07a1} - no filepath
Task: {1311031e-1a12-4148-98ae-4a346b8008a5} - no filepath
Task: {1359c650-bd8f-42f5-9c25-a5e7846c06d6} - no filepath
Task: {13aa5ff7-504b-432b-a541-ffffd2c506bc} - no filepath
Task: {1f5b4eec-99bb-4709-a2d4-ee4c594e58ee} - no filepath
Task: {24890a45-ad95-4841-a110-cda2b59bb9cc} - no filepath
Task: {28c585ce-b22d-4459-8c9a-b49ba129c612} - no filepath
Task: {2a454655-a227-4608-9f26-5494189f1c4d} - no filepath
Task: {31b9416d-03e1-48f5-a934-59fcbe758fbd} - no filepath
Task: {38d9bd8b-2553-45ff-99df-524e39c14ccd} - no filepath
Task: {4742ed1f-ef8b-4950-ac6a-59d3f0d815ea} - no filepath
Task: {4b960d4d-92fd-4f8c-8f7e-37af82f1cb82} - no filepath
Task: {4e3aebf8-ec0b-41e5-82f1-1199f90d97b2} - no filepath
Task: {56c5c55a-59c3-41f8-b90d-d78cfcd36412} - no filepath
Task: {5bfdeef7-cc1f-4df2-9cf2-b89cd4c690fc} - no filepath
Task: {5d0a0fd9-52ef-43c8-be7a-6550180948c9} - no filepath
Task: {5dbee089-045c-4341-bafb-e91236430cf4} - no filepath
Task: {5e529f70-7f20-487f-8012-3604f4c9d1a2} - no filepath
Task: {62e950cb-30e9-42bf-a758-960132bf5f84} - no filepath
Task: {650e8a99-4f7f-4861-be42-b65fa0bf12b0} - no filepath
Task: {655fc049-344f-493f-93af-c713119c9549} - no filepath
Task: {65f95ac5-ceb7-477f-afa6-dc815ec2a709} - no filepath
Task: {6e02bfe5-8f8a-4a85-ac2d-e94e8e246865} - no filepath
Task: {7048292f-b8cd-4b94-9779-1f3094c2a9d9} - no filepath
Task: {718146a1-72bf-4f68-9db7-4166ee563458} - no filepath
Task: {725480d4-10c6-4e20-9ae7-66e238a9ec35} - no filepath
Task: {76b604d0-f727-4806-a22d-66631e926f98} - no filepath
Task: {798c2d89-ffa6-4085-8517-e7a85df4a7fa} - no filepath
Task: {84b8750f-63db-47d1-a17c-fb071e5362be} - no filepath
Task: {8a23afcc-a883-4ac0-a327-068ced170196} - no filepath
Task: {8a55d992-144e-4837-979e-d6893997dee9} - no filepath
Task: {8adfa87f-5034-4966-8a21-10f6c3d3b021} - no filepath
Task: {8afe3d62-c88f-4514-a0cb-ca2d9aabc008} - no filepath
Task: {8b08f2a1-df79-445b-bf79-dd1032928a11} - no filepath
Task: {8f35a733-5e50-42f6-9fd7-cdc6cff22913} - no filepath
Task: {97770916-86d1-4947-b222-f88e97ca4e25} - no filepath
Task: {a4b7b158-1d47-4993-86f8-3575c005df3b} - no filepath
Task: {a5e57378-225e-4abf-acaa-f05156deee02} - no filepath
Task: {a67e6712-b2f9-4f84-8470-9ec391342673} - no filepath
Task: {a7eb5bd1-fdc3-4561-916d-12f35dd54fd3} - no filepath
Task: {a931a2f0-8c78-4a7f-bb2b-85624c8f8aad} - no filepath
Task: {aa2b24ff-b865-48ce-a5b1-db6a87029834} - no filepath
Task: {abff5b84-ed37-46ca-90e8-7ea6998a8166} - no filepath
Task: {b16dc67d-deaf-4a20-b01f-9e5ef319bc5d} - no filepath
Task: {b62fb8fa-8c53-40df-ad1b-0d8dfb718dcf} - no filepath
Task: {b7bfa189-7e6f-4e59-9688-d6e9d8add2ac} - no filepath
Task: {bbb2ae3a-b14e-4fed-ad44-36941bcc6a91} - no filepath
Task: {bd2a6112-e826-4e45-aebf-f2ad142866db} - no filepath
Task: {c2d76b32-8dc1-4a80-b2d9-7a1870ebadc4} - no filepath
Task: {cee9c588-ab4b-4803-99ca-fdde567404d9} - no filepath
Task: {d095744f-d250-4491-9534-a69f5e877ec4} - no filepath
Task: {d3568875-7705-4dff-988f-3506d6620533} - no filepath
Task: {d4f9bdce-9862-4f65-be86-3555f4b396eb} - no filepath
Task: {d695f7f0-7be8-4345-84cf-f642af5d8bb4} - no filepath
Task: {e1b943ef-3fc6-4a27-bafc-0c518eaed166} - no filepath
Task: {ef22ae2d-ffc1-44eb-921a-f429207e80d0} - no filepath
Task: {f16381ef-d50e-408b-a98d-954ec65bb284} - no filepath
Task: {f20d5d7f-d811-47d1-9932-39b7219d3543} - no filepath
Task: {f41efd0d-fbc3-4e05-b1dc-f762695c5a5b} - no filepath
Task: {f984ea2a-7c29-4ca8-8088-fd2b3d2f2bf7} - no filepath
Task: {fc027a85-27bd-48dc-a602-dbe7b19d29b3} - no filepath
Task: {fcab57c0-20e4-4a9f-a7d8-001e69b2c5d7} - no filepath
Toolbar: HKU\S-1-5-21-1576563500-1700412814-2618566724-1001 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} -  No File
File: C:\WINDOWS\SysWOW64\hfelmsg.dll
File: C:\WINDOWS\system32\EEURestart.exe
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [133]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [143]
Reboot:
End::

Запустите FRST и нажмите один раз на кнопку Fix и подождите. 

Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

В событиях логируются много ошибок, проверьте пожалуйста если в режиме чистой загрузке проблема воспроизводиться. Скорее всего проблема системная или апаратная не связанная с вирусами.

[Psevdo-kos]

Вот лог.

Fixlog.txt

[SQ]

Проверьте, пожалуйста если проблема воспроизводится в безопасном режиме, по возможности также проверьте память утилитой memtest, чтобы исключить RAM как возможную причину.

[Psevdo-kos]

Итак . При чистой загрузке Windows проблема не воспроизводится. Данный процесс не работает.  Проверил оперативку с начало средствами windows все тесты пройдены без ошибок. Затем проверил утилитой memtest тоже без ошибок.

Сейчас оставлю комп на всю ночь для загрузки игр . Понаблюдаю воспроизведётся ли проблема. и днём отпишу. Может скрипт поможет.

[Psevdo-kos]

Итак по итогам наблюдения могу сказать что всё нормализовалось. Возможно помог скрипт. Прошла вся ночь и пройдено несколько перезагрузок П.К. Данное приложение запускается и работает но потребляет всего 20 мб оперативки. Думаю тему можно закрывать. Если ситуация повторится просто добавлю данное приложение в не доверенные насовсем. Спасибо большое всем кто помогал.

[SQ]

В завершение:

1.

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Psevdo-kos]

Вот лог.

SecurityCheck.txt

[SQ]

---------------------------- [ UnwantedApps ] -----------------------------
UmmyVideoDownloader v.1.10.3.2 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция.