[РЕШЕНО] microsofthost, процесс, нагружающий компьютер

[BaronADA]

Здравствуйте, появился процесс microsofthost, нагружающий компьютер. Вместе с ним куча скрытых папок (в основном, названия антивирусов) с закрытым доступом.

Все папки удалил, прошёлся Dr.Web CureIt, удалил всё, что нашлось.... но Касперский даёт ошибку 1003 при установке.

CollectionLog-2021.10.24-17.08.zip

[SQ]

Здравствуйте!

 

Скачайте AV block remover.

Распакуйте, запустите и следуйте инструкциям.

После перезагрузки системы соберите новый CollectionLog Автологером.

[BaronADA]

CollectionLog-2021.10.24-17.29.zip

[SQ]

 

 

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

 

[BaronADA]

AdwCleaner[S00].txt

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[BaronADA]

AdwCleaner[C01].txt

[SQ]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

1. Нажмите кнопку Scan.
2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[BaronADA]

Addition.txt FRST.txt

 

На данном этапе удалось установить KIS

Изменено 24 октября, 2021 пользователем BaronADA

[SQ]

Знакома ли Вам?

Task: {181D5531-E78A-4C62-9F92-F6EE80213391} - System32\Tasks\Microsoft\Windows\Clean\Cleans temporal directories => C:\Windows\Clean\CleanTemp.vbs [108 2021-04-24] () [Файл не подписан]

1. Закройте и сохраните все открытые приложения.
2. Выделите следующий код::

   Start::
   CreateRestorePoint:
   CloseProcesses:
   HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
   HKU\S-1-5-21-1761253535-2535718111-1113675825-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
   CMD: Type C:\Windows\system32\s
   CMD: Type C:\Windows\system32\ps
   2021-08-18 12:21 - 2021-08-18 12:22 - 000000000 __SHD C:\Users\User\AppData\Roaming\wyUpdate AU
   Folder: C:\Program Files (x86)\Microvirt
   CMD: Type C:\Users\User\inittk.ini
   Folder: C:\Users\User\AppData\Local\NoxSrv
   CMD: Type C:\Users\User\useruid.ini
   CMD: Type C:\Users\User\nuuid.ini
   CMD: Type C:\Users\User\inst.ini
   FirewallRules: [{23AA8B67-3D6D-4476-AB0E-569D9C4AAF8B}] => (Allow) C:\Users\User\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
   FirewallRules: [{59ADE71C-8A4C-4476-B421-F88DEFEE3AE0}] => (Allow) C:\Users\User\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
   FirewallRules: [{06663790-21E8-4862-B904-9E46D509E323}] => (Allow) C:\Users\User\Downloads\AnyDesk.exe => Нет файла
   FirewallRules: [{8B8595C8-753C-4F83-BA9E-5443997A8601}] => (Allow) C:\Users\User\Downloads\AnyDesk.exe => Нет файла
   FirewallRules: [{AF5A199A-6E3D-4A7D-AA5C-65C20FE36DF1}] => (Allow) C:\Users\User\Downloads\AnyDesk.exe => Нет файла
   FirewallRules: [{4A69D974-1BBC-451F-AC1B-08F45207BCFB}] => (Allow) C:\Users\User\Downloads\AnyDesk.exe => Нет файла
   FirewallRules: [TCP Query User{51656222-EACC-45B6-8B45-FA1A7B759D17}C:\users\user\appdata\roaming\utorrent web\utweb.exe] => (Allow) C:\users\user\appdata\roaming\utorrent web\utweb.exe => Нет файла
   FirewallRules: [UDP Query User{BEE9B221-A6BE-41D1-9756-8699D0FF3F5D}C:\users\user\appdata\roaming\utorrent web\utweb.exe] => (Allow) C:\users\user\appdata\roaming\utorrent web\utweb.exe => Нет файла
   FirewallRules: [{43011FBB-5E6F-4893-8219-0FFF98AAF0D5}] => (Allow) C:\Users\User\Downloads\AnyDesk (2).exe => Нет файла
   FirewallRules: [{CF07BA8D-3E88-497F-A5DD-60EBF8857647}] => (Allow) C:\Users\User\Downloads\AnyDesk (2).exe => Нет файла
   FirewallRules: [{F238FC93-6BF6-4216-9E82-115D56D6068A}] => (Allow) C:\Users\User\Downloads\AnyDesk (2).exe => Нет файла
   FirewallRules: [{643E95F0-3915-4FEC-9352-975D8CC20552}] => (Allow) C:\Users\User\Downloads\AnyDesk (2).exe => Нет файла
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
6. Обратите внимание, что компьютер будет возможно перезагружен.

[BaronADA]

13 минут назад, SQ сказал:

Знакома ли Вам?

нет

 

 

Fixlog.txt

[SQ]

1. Закройте и сохраните все открытые приложения.
2. Выделите следующий код::

   Start::
   CreateRestorePoint:
   Task: {181D5531-E78A-4C62-9F92-F6EE80213391} - System32\Tasks\Microsoft\Windows\Clean\Cleans temporal directories => C:\Windows\Clean\CleanTemp.vbs [108 2021-04-24] () [Файл не подписан]
   C:\Windows\system32\s
   C:\Windows\system32\ps
   C:\Users\User\inittk.ini
   C:\Users\User\nuuid.ini
   C:\Users\User\inst.ini
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
6. Обратите внимание, что компьютер будет возможно перезагружен.

Сообщите, что с проблемой?

[BaronADA]

Fixlog.txt

15 минут назад, SQ сказал:

Сообщите, что с проблемой?

пока не наблюдается

[SQ]

Завершающие шаги:

1. Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Проверьте уязвимые места и устаревшее критическое ПО: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

[BaronADA]

Стал появляться bsod =(

4 минуты назад, SQ сказал:

Завершающие шаги:

 

не успел приступить