Процесс Svchost.exe потребляет много оперативки

[Maks666 1]

У меня подозрение о том, что на ноутбуке есть вирусы. 

1)Процесс Svchost.exe часто при запуске системы потребляет по пол гига оперативы, такого раньше не было. Он появляется на какое-то время после того как ноут включился и потом исчезает, а сейчас и вовсе не появляется при запуске системы в процесс эскплорер, но при этом что-то все равно жрет оперативку. Это как минимум странно.

Я даже специально ноут перезагружал, чтобы узнать более подробно о процессе Svchost.exe, но после перезагрузки его уже не было.

1 скрин: Процесс Svchost.exe есть и он потребляет пол гига оперативы.

А два последующих скрина это после перезагрузки, там этого процесса уже нет, но нагрузка на оперативку все равно выше положенного.

 

2)Также фото в формате jpg и png перестали открываться, и на флешке и на ноутбуке, обычно это говорит о деятельности вируса, но эту проблему я смог решить, без стороннего софта. До того как и на флешке и на самом ноутбуке перестали открываться фото я скачивал музыку(звуки) без авторских прав, и вроде бы как аудио файлы должны быть безопасны, подозрение было на них (меня смутило, то, что на сайте было написано файлы безопасны, не сразу обратил на это внимание). Я сканировал ноут с флешкой при помощи двух утилит: Касперский антивирус ремовал тул и доктор веб курелт, они ничего не нашли. Затем просканировал систему с флешкой при помощи 360 тотал секьюрити он нашел на флешке вирус и вроде бы его устранил.

Файл (компас) на этом скрине просто не может быть трояном, т.к. мне его скинул человек, который сам не раз им пользовался. 360 тотал вроде бы не в первые на этот файл ругается. 

 

Сборщик логов:

CollectionLog-2021.11.19-17.45.zip

 

 

 

 

[Sandor 1032]

Здравствуйте!

 

Проверьте, есть ли подобное в безопасном режиме?

[Maks666 1]

Я так и не смог запустить Виндовс в безопасном режиме, пробовал и f8 нажимать и f8 + fn, ноут не ооинтраз перезагружал.

 

Я не знаю чудо ли это или совпадение, но все стало нормально нагрузка на оперативку не подымается выше 28%. Правда при следующей перезагрузке нагрузка на до 35% поднялась.

У ноута 3 гига оперативы, 7 винда.

 

Когда я включал ноут перед появлением логотипа Виндовс зажимал f8 + fn появилось это

А через поиск Виндовс вбивать msconfig и запускать от туда систему в безопасном режиме не стал, в моем случае это риск, .т.к однажды Винда уже запускалась в безопасном режиме из-за вирусов.

 

Изменено 20 ноября, 2021 пользователем Maks666

[Maks666 1]

19.11.2021 в 22:28, Sandor сказал:

Здравствуйте!

 

Проверьте, есть ли подобное в безопасном режиме? 

Я все таки смог запустить винду в безопасном режиме, нагрузка на оперативу 34-36%, что в для 7-й винды и 3-х гигов оперативы нормально. Опять началились проблемы с оперативкой нагрузка до 50-55% поднимается, при том, что должна быть в районе 35-36%.

[Sandor 1032]

Прошло много времени. Скачайте заново Автологер и соберите новый CollectionLog.

[Maks666 1]

CollectionLog-2022.01.25-16.47.zip

[Sandor 1032]

Деинсталлируйте нежелательное ПО - Driver Booster 9

 

В системных ошибках виден CCleaner. Тоже его удалите. Компьютерные эксперты более не рекомендуют использовать подобные программы.

 

В ошибках также фигурирует антивирус 360 Total Security, хотя в перечне установленных программ его нет.

Скачайте его заново, установите и затем деинсталлируйте.

 

После этого:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Maks666 1]

FRST.txt Addition.txt

[Sandor 1032]

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-284707090-3996021007-3543062772-1000\...\MountPoints2: F - F:\AutoRun.exe
  HKU\S-1-5-21-284707090-3996021007-3543062772-1000\...\MountPoints2: {8361cbe0-e92e-11e2-b659-00266c89862a} - F:\AutoRun.exe
  HKU\S-1-5-21-284707090-3996021007-3543062772-1000\...\MountPoints2: {b4dc1ba5-92c4-11e0-9437-4cedde30c329} - F:\AutoRun.exe
  HKU\S-1-5-21-284707090-3996021007-3543062772-1000\...\MountPoints2: {b4dc1dc0-92c4-11e0-9437-4cedde30c329} - F:\AutoRun.exe
  HKU\S-1-5-21-284707090-3996021007-3543062772-1000\...\MountPoints2: {bfaa4a46-f1e5-11e0-9f9b-4cedde30c329} - F:\AutoRun.exe
  HKU\S-1-5-21-284707090-3996021007-3543062772-1000\...\MountPoints2: {d988114f-d949-11e0-879f-4cedde30c329} - F:\AutoRun.exe
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\Пользователь\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  Task: {94FF7C4C-DEFA-47F8-A2A3-F99568C1C047} - System32\Tasks\{F8538193-D6A8-4CC8-8227-54CA1EA997B5} => C:\Windows\system32\pcalua.exe -a C:\Users\Пользователь\Desktop\amigo_setup.exe -d C:\Users\Пользователь\Desktop
  C:\Users\Пользователь\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
  C:\Users\Пользователь\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
  CHR HKU\S-1-5-21-284707090-3996021007-3543062772-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
  swMSM (HKLM-x32\...\{612C34C7-5E90-47D8-9B5C-0F717DD82726}) (Version: 12.0.0.1 - Adobe Systems, Inc) Hidden
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
  WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
  WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  FirewallRules: [{60C32997-173D-4835-9235-EF4C03F8A661}] => (Allow) LPort=20111
  FirewallRules: [{33BF641F-D768-4CF7-BE85-2F0F9295B8BD}] => (Allow) LPort=20111
  FirewallRules: [{C0EA3DD7-2BA6-4781-9E76-8BD660C9E9F8}] => (Allow) LPort=80
  FirewallRules: [{4E324FFA-DA87-45C4-81B1-3036131B4789}] => (Allow) LPort=443
  FirewallRules: [{F031016F-74A1-48CF-B645-2FCAA17E8B61}] => (Allow) LPort=20010
  FirewallRules: [{F0DB723F-6BCB-487F-9761-0C21E2B1743B}] => (Allow) LPort=3478
  FirewallRules: [{5D002F25-6736-4861-A318-5FD58143314E}] => (Allow) LPort=7850
  FirewallRules: [{FF878BDB-2FDB-4AA9-B182-9D0FD1525F4B}] => (Allow) LPort=7852
  FirewallRules: [{F32F0874-8C4D-4E19-867A-DB0CA8C574B3}] => (Allow) LPort=7853
  FirewallRules: [{320AEA3C-BC01-4B71-B155-D93A542B1DF8}] => (Allow) LPort=27022
  FirewallRules: [{47FF5E14-4CB4-447D-8AE0-1D094A9F05B7}] => (Allow) LPort=6881
  FirewallRules: [{414E5BB8-5760-49B7-B5F3-2BF658397593}] => (Allow) LPort=33333
  FirewallRules: [{8822008E-07C7-44DC-A203-E90F20E7AA81}] => (Allow) LPort=20443
  FirewallRules: [{B5656DF9-477B-4A18-B9C5-1F4BD45CB00D}] => (Allow) LPort=8090
  FirewallRules: [{0C074D21-EA39-4DA0-86D7-5F7CFDB83B5A}] => (Allow) LPort=20111
  FirewallRules: [{EA6B79B6-AC63-4C51-B548-B74D8687B862}] => (Allow) LPort=80
  FirewallRules: [{65F85C96-2D9B-426C-AEDA-CE80AF4D9F7E}] => (Allow) LPort=443
  FirewallRules: [{B2E70F46-2D30-481B-99A5-36FC31BE9003}] => (Allow) LPort=20010
  FirewallRules: [{DB1CFBEE-B12D-488E-873B-96CF6F4D6BCA}] => (Allow) LPort=3478
  FirewallRules: [{3C696449-FF6E-41BE-A9CA-8FE90C2C87DA}] => (Allow) LPort=7850
  FirewallRules: [{0ED5B39E-7D18-4509-848E-BBCC6489B2FF}] => (Allow) LPort=7852
  FirewallRules: [{D991432A-296B-4818-B773-A10FF4061429}] => (Allow) LPort=7853
  FirewallRules: [{F11F6822-1562-4873-965B-84562C05E1E8}] => (Allow) LPort=27022
  FirewallRules: [{9D3341B4-8294-4F5A-87FE-D3C5E8B84805}] => (Allow) LPort=6881
  FirewallRules: [{10E1CF6E-76AB-4324-B973-59125749B80A}] => (Allow) LPort=33333
  FirewallRules: [{B0646A4D-0727-497C-9739-ADD8D5ECE53A}] => (Allow) LPort=20443
  FirewallRules: [{0735523D-AB08-4BAD-8D08-3BE2E352438F}] => (Allow) LPort=8090
  FirewallRules: [{5217A9F8-BDE4-4600-9F7D-4CEB2A064C30}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
  FirewallRules: [{4F6ADD72-B251-4DF1-BBCF-330FC71E1DE2}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Maks666 1]

Fixlog.txt

[Sandor 1032]

Если проблема сохраняется, сделайте следующее:

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS).
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

[Maks666 1]

Спасибо, помогло.

Похоже вина была в Driver Booster 9, потому что среди всего что я скачивал в последнее время был только этот софт.

[Sandor 1032]

Отлично!

 

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.