Самовостанавливающийся svchost.exe.exe (именно с двумя .exe)

@4310V343k · Регистрация: 30.09.2017

Author24 — интернет-сервис помощи студентам

Кушает около 50% ЦП. При попытке зайти в папку с файлом, выбивает ошибку. Через свойства получил права и удалил файл, но через некоторое время он там опять появился! Хочу в игры поиграть на ноуте, а вот это все не дает. Помогоите, пожалуйста, поскорее. Нигде не нашел, как его удалить так, что бы он не появлялся заново.

@severnyj · 30.09.2017, 11:44

Деинсталлируйте следующее ПО:

SnapDo [2016/11/21 16:34:43]-->"C:\Program Files (x86)\Common Files\Zaamnamtam\uninstall.exe" shuz -f "C:\Program Files (x86)\Common Files\Zaamnamtam\uninstall.dat" -a uninstallme A8F0F925-2C32-458A-942B-6D9FA632D300 DeviceId=9059471d-66d5-6c11-ce1b-a05c19717c14 BarcodeId=50027003 ChannelId=3 DistributerName=APSnapdoAMRev
UC Browser [20170329]-->"C:\Program Files (x86)\UCBrowser\Application\Uninstall.exe" --uninstall --system-level --verbose-logging
UmmyVideoDownloader [20160105]-->"C:\Users\Igor\AppData\Local\UmmyVideoDownloader\unins000.exe"
Unity Web Player [2017/04/07 18:09:36]-->C:\Users\Администратор\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser

Выполните скрипт в AVZ

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('C:\Windows\Microsoft\svchost.exe.exe');
 TerminateProcessByName('c:\windows\microsoft\svchost.exe');
 QuarantineFile('C:\Users\Администратор\appdata\roaming\microsoft\msi.exe', '');
 QuarantineFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\0FDECAA3-3C97-4CED-BF76-AB1062BBAEC4.exe', '');
 QuarantineFile('C:\Program Files (x86)\Common Files\52F8B40D-C342-4B9D-8035-A2BE2B82F197\3F5B894C-549A-4E1E-BC64-E04181445338.exe', '');
 QuarantineFile('C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll', '');
 QuarantineFile('C:\Users\836D~1\AppData\Roaming\SETUPS~1\ml.py', '');
 QuarantineFile('C:\Users\836D~1\AppData\Roaming\SETUPS~1\python\pythonw.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\PBot\launchall.py', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\PBot\python\pythonw.exe', '');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\Users\Igor\AppData\Local\Temp\svchost.exe', '');
 QuarantineFile('C:\Windows\Microsoft\svchost.exe.exe', '');
 QuarantineFile('c:\windows\microsoft\svchost.exe', '');
 DeleteFile('C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.5\facemoodssrv.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Local\Amigo\Application\amigo.exe', '32');
 DeleteFile('C:\Users\Igor\AppData\Local\Temp\svchost.exe', '32');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\PBot\python\pythonw.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\PBot\launchall.py', '32');
 DeleteFile('C:\Users\836D~1\AppData\Roaming\SETUPS~1\python\pythonw.exe', '32');
 DeleteFile('C:\Users\836D~1\AppData\Roaming\SETUPS~1\ml.py', '32');
 DeleteFile('C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll', '32');
 DeleteFile('C:\Program Files (x86)\Common Files\52F8B40D-C342-4B9D-8035-A2BE2B82F197\3F5B894C-549A-4E1E-BC64-E04181445338.exe', '32');
 DeleteFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\0FDECAA3-3C97-4CED-BF76-AB1062BBAEC4.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\AADE66439-881A-43BD-B568-6D670C38D357', '64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\A3F5B894C-549A-4E1E-BC64-E04181445338', '64');
 DeleteFile('C:\Windows\system32\Tasks\setupsk_upd', '64');
 DeleteFile('C:\Windows\microsoft\svchost.exe', '32');
 DeleteFile('C:\Windows\microsoft\svchost.exe.exe', '32');
 DeleteFile('C:\Users\Администратор\appdata\roaming\microsoft\msi.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "setupsk_upd" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "A3F5B894C-549A-4E1E-BC64-E04181445338" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "AADE66439-881A-43BD-B568-6D670C38D357" /F', 0, 15000, true);
 DeleteService('SvcHost Service Host');
 DelBHO('{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}');
 DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
 DelBHO('{9BFBA68E-E21B-458E-AE12-FE85E903D2C0}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run-', 'facemoods');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ba4c12bee3027d94da5c81db2d196bfd', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Kinoroom Browser', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\njwzaoomgx', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PBot', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\setupsk_upd', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\uldtzmxlzq', 'command');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
BC_ImportAll;
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Скачайте и распакуйте из архива программу ClearLNK.exe

Перетащите файл-отчет ...\AutoLogger\CheckBrowserLnk\Check_Browsers_LNK.log на файл программы.

ВНИМАНИЕ: Приложите в теме, где Вам оказывают помощь, отчет ClearLNK-<Дата>.log, который будет создан в папке LOG рядом с программой.
Если отчет слишком большой, упакуйте его в архив формата ZIP.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

@4310V343k · 30.09.2017, 19:42 **[ТС]**

Спасибо за помощь! Логи ниже, письмо отправил. Файл в диспетчере задач больше не появляется.

@severnyj · 30.09.2017, 19:49

Подготовьте лог JRT: https://www.cyberforum.ru/viru... 05776.html

Затем подготовьте лог AdwCleaner: FAQ по работе с утилитой AdwCleaner

@4310V343k · 30.09.2017, 20:24 **[ТС]**

Вот логи из этих программ. Если можно задать вопрос, то вот он: наверху темы есть кнопка "Отправить файлы карантина". Обязательно отправлять зип на почту, или можно по этой ссылке?

@severnyj · 30.09.2017, 21:04

Отключите синхронизацию расширений в Chrome и удалите все найденное в AdwCleaner: FAQ по работе с утилитой AdwCleaner
Лог AdwCleaner[C0].txt после удаления прикрепите

Подготовьте логи FRST: FAQ по работе с утилитой Farbar Recovery Scan Tool

Сообщение от 4310V343k

"Отправить файлы карантина". Обязательно отправлять зип на почту, или можно по этой ссылке?

Можно и так, и так)

@4310V343k · 30.09.2017, 21:18 **[ТС]**

Сообщение от severnyj

Лог AdwCleaner[C0].txt

Может быть AdwCleaner[C1].txt?

@4310V343k · 30.09.2017, 22:02 **[ТС]**

Вот логи

@severnyj · 01.10.2017, 08:53

Деинсталлируйте следующее ПО:

AkelPadApp4 (HKU\S-1-5-21-414749390-1440782396-1838001701-500\...\AkelPadApp4) (Version: - )
bloknot (HKU\S-1-5-21-414749390-1440782396-1838001701-500\...\bloknot) (Version: 660 - )
Html5 geolocation provider (HKLM-x32\...\{0DADC228-827E-40E2-AE6D-B9D62DA7CC32}) (Version: 3.6.3.901 - AlterGeo)
SnapDo (HKLM-x32\...\{A8F0F925-2C32-458A-942B-6D9FA632D300}) (Version: 1.0.0.0 - Resoft) <==== ATTENTION
Update for Html5 geolocation provider (HKLM-x32\...\{65C64E3D-539F-4B81-993B-364C6169F8F5}) (Version: 3.5.8.884 - AlterGeo)
Update for Html5 geolocation provider (HKLM-x32\...\{71D05F96-6AF4-4961-9E9C-AE4B8C9793E9}) (Version: 3.7.2.909 - AlterGeo)

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.

Windows Batch file

start
CreateRestorePoint:
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKU\S-1-5-21-414749390-1440782396-1838001701-500\Software\Microsoft\Internet Explorer\Main,Start Page = 
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> DefaultScope value is missing
SearchScopes: HKU\S-1-5-21-414749390-1440782396-1838001701-500 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = 
SearchScopes: HKU\S-1-5-21-414749390-1440782396-1838001701-500 -> {66CA6D5D-7A0A-460D-B1EC-88BB35704618} URL = hxxp://services.zinio.com/search?s={searchTerms}&rf=sonyslices
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=D1445089F13D221FF2D1A1213CF7CE2A&utm_d=20160523
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-04-03]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-04-02]
FF Plugin HKU\.DEFAULT: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll [No File]
FF Plugin HKU\S-1-5-21-414749390-1440782396-1838001701-500: @mail.ru/GameCenter -> C:\Users\Администратор\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File]
CHR HomePage: Profile 1 -> go.mail.ru
CHR StartupUrls: Profile 1 -> "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=D1445089F13D221FF2D1A1213CF7CE2A&utm_d=20160523"
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [icanjjkadceebmhanpekkofdhclnoijl] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (0) - C:\Users\Администратор\AppData\Roaming\Opera Software\Opera Stable\Extensions\ahggfmgiidlaceichjfemgbaggnbaloe [2017-06-08]
OPR Extension: (0) - C:\Users\Администратор\AppData\Roaming\Opera Software\Opera Stable\Extensions\gmajgdopdpbkhimjdoofehjejbpgofmf [2016-08-11]
2017-09-29 22:41 - 2016-05-24 13:48 - 000000258 __RSH C:\Users\Администратор\ntuser.pol
2017-09-29 22:12 - 2017-06-24 14:56 - 000000258 __RSH C:\Users\Все пользователи\ntuser.pol
2017-09-29 22:12 - 2017-06-24 14:56 - 000000258 __RSH C:\ProgramData\ntuser.pol
2017-09-10 14:59 - 2016-02-21 15:33 - 000000448 __RSH C:\Users\Igor\ntuser.pol
2016-05-23 16:19 - 2016-05-23 16:19 - 000000000 __RSH () C:\Program Files (x86)\360
2016-05-23 16:19 - 2016-05-23 16:19 - 000000000 __RSH () C:\Program Files (x86)\bittorrent
2016-05-23 16:19 - 2016-05-23 16:19 - 000000000 __RSH () C:\Program Files (x86)\ByteFence
2016-05-23 16:19 - 2016-05-23 16:19 - 000000000 __RSH () C:\Program Files (x86)\comoboss
2016-05-23 16:19 - 2016-05-23 16:19 - 000000000 __RSH () C:\Program Files (x86)\contentprotector
2016-05-23 16:19 - 2016-05-23 16:19 - 000000000 __RSH () C:\Program Files (x86)\dlsecuretb
2016-05-23 16:19 - 2016-05-23 16:19 - 000000000 __RSH () C:\Program Files (x86)\DriverPack Notifier
2016-05-23 16:19 - 2016-05-23 16:19 - 000000000 __RSH () C:\Program Files (x86)\filter
2016-05-23 16:19 - 2016-05-23 16:19 - 000000000 __RSH () C:\Program Files (x86)\Hostify
2016-05-23 16:19 - 2016-05-23 16:19 - 000000000 __RSH () C:\Program Files (x86)\IObit
2016-05-23 16:19 - 2016-05-23 16:19 - 000000000 __RSH () C:\Program Files (x86)\Max Driver Updater
2016-05-23 16:19 - 2016-05-23 16:19 - 000000000 __RSH () C:\Program Files (x86)\Muftion
2016-05-23 16:19 - 2016-05-23 16:19 - 000000000 __RSH () C:\Program Files (x86)\PCfix
2016-05-23 16:19 - 2016-05-23 16:19 - 000000000 __RSH () C:\Program Files (x86)\Preghpluaph
2016-05-23 16:19 - 2016-05-23 16:19 - 000000000 __RSH () C:\Program Files (x86)\qksee
2016-05-23 16:19 - 2016-05-23 16:19 - 000000000 __RSH () C:\Program Files (x86)\spart
2016-05-23 16:19 - 2016-05-23 16:19 - 000000000 __RSH () C:\Program Files (x86)\sunnyday
2016-05-23 16:19 - 2016-05-23 16:19 - 000000000 __RSH () C:\Program Files (x86)\SunnyDay21
2016-05-23 16:19 - 2016-05-23 16:19 - 000000000 __RSH () C:\Program Files (x86)\WinZipper
2016-05-23 16:19 - 2016-05-23 16:19 - 000000000 __RSH () C:\Program Files (x86)\zaxar
2016-05-23 16:19 - 2016-05-23 16:19 - 000000000 __RSH () C:\ProgramData\Cloudprinter
2016-05-23 16:19 - 2016-05-23 16:19 - 000000000 __RSH () C:\ProgramData\emailnotifier
2016-05-23 16:19 - 2016-05-23 16:19 - 000000000 __RSH () C:\ProgramData\IObit
2016-05-23 16:19 - 2016-05-23 16:19 - 000000000 __RSH () C:\ProgramData\Ronzap
2016-05-23 16:19 - 2016-05-23 16:19 - 000000000 __RSH () C:\ProgramData\Statdex
2016-05-23 16:19 - 2016-05-23 16:19 - 000000000 __RSH () C:\ProgramData\xifs
2016-05-23 16:19 - 2016-05-23 16:19 - 000000000 __RSH () C:\ProgramData\xwinpx
2017-05-30 20:43 - 2017-05-30 20:43 - 000611601 _____ (                                                            ) C:\Users\Igor\AppData\Local\Temp\6d672538-2c9f-4732-94bf-d6dcc937511e.exe
2017-05-13 17:29 - 2017-05-13 17:29 - 000592045 _____ (                                                            ) C:\Users\Igor\AppData\Local\Temp\b534b257-43ee-4559-bbc5-da88700fb58e.exe
2017-06-16 21:57 - 2017-06-16 21:42 - 000880720 _____ () C:\Users\Администратор\AppData\Local\Temp\433A.tmp.exe
2017-06-25 21:07 - 2017-06-25 14:17 - 000893952 _____ () C:\Users\Администратор\AppData\Local\Temp\73D3.tmp.exe
2017-06-25 21:07 - 2017-06-25 14:17 - 000893952 _____ () C:\Users\Администратор\AppData\Local\Temp\73E2.tmp.exe
2017-06-14 07:31 - 2017-06-14 07:30 - 000783336 _____ (MPEG STD Created) C:\Users\Администратор\AppData\Local\Temp\7D59.tmp.exe
2017-06-25 21:07 - 2017-06-25 14:17 - 000893952 _____ () C:\Users\Администратор\AppData\Local\Temp\7DAE.tmp.exe
2017-06-25 21:07 - 2017-06-25 14:17 - 000893952 _____ () C:\Users\Администратор\AppData\Local\Temp\7FC3.tmp.exe
2017-06-25 21:07 - 2017-06-25 14:17 - 000893952 _____ () C:\Users\Администратор\AppData\Local\Temp\7FD1.tmp.exe
2017-06-25 21:07 - 2017-06-25 14:17 - 000893952 _____ () C:\Users\Администратор\AppData\Local\Temp\7FF0.tmp.exe
2017-06-25 11:37 - 2017-06-25 10:15 - 000889856 _____ () C:\Users\Администратор\AppData\Local\Temp\83AF.tmp.exe
2017-06-25 21:07 - 2017-06-25 14:17 - 000893952 _____ () C:\Users\Администратор\AppData\Local\Temp\860A.tmp.exe
2017-06-25 21:07 - 2017-06-25 14:17 - 000893952 _____ () C:\Users\Администратор\AppData\Local\Temp\A50C.tmp.exe
2017-06-09 00:21 - 2017-06-09 00:22 - 000022167 _____ () C:\Users\Администратор\AppData\Local\Temp\c0.exe
2017-06-09 00:22 - 2017-06-09 00:23 - 000024969 _____ () C:\Users\Администратор\AppData\Local\Temp\c1.exe
2017-08-17 13:49 - 2017-08-17 13:09 - 000775144 _____ () C:\Users\Администратор\AppData\Local\Temp\C4D8.tmp.exe
2017-06-14 07:30 - 2017-06-14 07:30 - 000783336 _____ (MPEG STD Created) C:\Users\Администратор\AppData\Local\Temp\C87C.tmp.exe
2017-06-08 23:16 - 2017-06-08 23:16 - 005539629 _____ () C:\Users\Администратор\AppData\Local\Temp\DpjP5iM42q8C.exe
2017-08-17 13:36 - 2017-08-17 13:09 - 000775144 _____ () C:\Users\Администратор\AppData\Local\Temp\E67B.tmp.exe
2017-06-08 23:14 - 2017-06-08 23:14 - 000415232 _____ (Searchgo) C:\Users\Администратор\AppData\Local\Temp\g5GwSKvaJIFX.exe
2017-05-14 16:56 - 2017-05-14 16:56 - 000024064 _____ () C:\Users\Администратор\AppData\Local\Temp\installer_x64.exe
2017-05-14 16:56 - 2017-05-14 16:56 - 000019968 _____ () C:\Users\Администратор\AppData\Local\Temp\installer_x86.exe
2017-06-20 17:27 - 2017-06-20 17:27 - 035366216 _____ (Performix LLC) C:\Users\Администратор\AppData\Local\Temp\setup.exe
2017-05-29 16:24 - 2009-11-09 22:00 - 000607800 ____R (HP) C:\Users\Администратор\AppData\Local\Temp\siinst.exe
Task: {004E022C-D79D-4DE2-8264-F64B1B1A7564} - \callculator -> No File <==== ATTENTION
Task: {06D7C5E9-FC35-46FE-983B-4F2961179F41} - \Microsoft\F4F774FC379015F0A2B9EDC387CF2F5A -> No File <==== ATTENTION
Task: {0C12308E-60AA-454E-94DC-2A203F8D0404} - \Microsoft\Windows\F4F774FC379015F0A2B9EDC387CF2F5ASB -> No File <==== ATTENTION
Task: {0CE8586F-8154-49F6-A29A-17FE83246760} - \Microsoft\Windows\Media Center\PvrScheduleTask -> No File <==== ATTENTION
Task: {13552A41-4FBE-4CE4-808D-B077955B64A3} - \One Drive Update -> No File <==== ATTENTION
Task: {1550BF37-C6B3-439C-A1C9-6ABF5766E061} - \Microsoft\Windows\F4F774FC379015F0A2B9EDC387CF2F5A -> No File <==== ATTENTION
Task: {1A5F9307-B7BB-49D0-82BF-D1FE69658CC4} - \{699988C6-9B52-42B2-B990-20514AC92FD9} -> No File <==== ATTENTION
Task: {1CE39FFC-9BDA-4652-B952-AEC0905B74E9} - \bloknot -> No File <==== ATTENTION
Task: {1EAC82D5-CB33-449A-A58A-81D4E1D8F6A9} - \{CD6EA404-AD22-40B2-AB38-271B56CACB31} -> No File <==== ATTENTION
Task: {1EC983B5-5901-43FC-A873-EB12AAD3534B} - \setupsk -> No File <==== ATTENTION
Task: {22B1F911-754F-40D7-A32B-B7A2F322FAE7} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> No File <==== ATTENTION
Task: {2B8E3F53-CA45-4F04-B80B-62D76C1B462E} - \{F1257BC8-8276-42F1-B78E-820BAE6C700A} -> No File <==== ATTENTION
Task: {351A15DC-2F93-465C-BA3F-0C976B062E47} - \{F501446A-8BCF-4EDD-8644-4AB342322A31} -> No File <==== ATTENTION
Task: {386ECD10-D3E9-4CB3-8A2B-B267EEE75BB6} - \{686A905D-34C5-4ED0-B83B-56ED530901B8} -> No File <==== ATTENTION
Task: {42710B65-FC17-46F9-AC8A-44C854374ECB} - \{769E818B-1FAE-4AD4-8D67-B0D62C777B90} -> No File <==== ATTENTION
Task: {46C6E7F0-33C6-4701-9732-1FBAC3440D40} - \{3B15DAD6-E0B3-4C6A-93ED-07AF15C2D73B} -> No File <==== ATTENTION
Task: {4D58FE85-E34F-40B2-BAB0-74B1B58C14EC} - \Microsoft\Windows\extsetupSB -> No File <==== ATTENTION
Task: {4D5F467E-8BD8-49E2-9E1D-065F2DA3E0FC} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> No File <==== ATTENTION
Task: {5471A771-B114-40C0-8083-645F3FBE686F} - \{81D79EA3-582A-46C5-B75E-7A4F06C7C945} -> No File <==== ATTENTION
Task: {58808C77-692F-4E5D-8622-CE06623121E5} - \{AA0C1F6E-DDA6-4ED3-8075-3E9D63EF6308} -> No File <==== ATTENTION
Task: {6A9AC2D0-AEB9-4251-AF1C-8D3F220CFFA1} - \{B0A2542C-0978-4D23-9FE5-946DDB868738} -> No File <==== ATTENTION
Task: {6A9AC2D0-AEB9-4251-AF1C-8D3F220CFFA1} - \{B0A2542C-0978-4D23-9FE5-946DDB868738} -> No File <==== ATTENTION
Task: {75B9D22A-DED3-4456-8EA3-D03BCE725A4C} - \{1E69870D-0A09-41EC-A767-409CC81384DE} -> No File <==== ATTENTION
Task: {77417936-FBB4-4D3D-9336-06B319D38303} - \GMon Updater -> No File <==== ATTENTION
Task: {7D8E2EEB-E966-44D6-A98F-3A7C0F4C0ED0} - \Microsoft\Windows\A3F5B894C-549A-4E1E-BC64-E04181445338 -> No File <==== ATTENTION
Task: {80293965-1EE3-4458-811C-CF8B947047F7} - System32\Tasks\AlterGeoUpdater-S-1-5-18 => C:\Program Files (x86)\AlterGeo\Html5 geolocation provider\html5locsvc.exe
Task: {8BFDF2AB-16B8-4DC2-BD80-58467A5A9DE0} - \Launch HTC Sync Loader -> No File <==== ATTENTION
Task: {8C9F8EC5-A53F-4940-8EE3-ADCB404988C2} - \{E2115DCA-D8FC-4358-9A2E-446FCA0E70D1} -> No File <==== ATTENTION
Task: {982E2A72-1D8E-4838-AD04-A0606CF4A949} - \GameXPService Autoupdate -> No File <==== ATTENTION
Task: {98A1B825-2FFF-4EBA-876E-4933656917D2} - \{39CE2C24-5654-499F-AC06-90CA8AC04670} -> No File <==== ATTENTION
Task: {A04E131F-9F62-4901-AE57-29959A123D93} - \{8414A763-071E-4135-8F5C-FDDE067D46F3} -> No File <==== ATTENTION
Task: {A31D11FE-B576-448E-929E-FCA2D01C6511} - \{856CD578-8555-4428-AA44-B852BF7561B6} -> No File <==== ATTENTION
Task: {B056FC7F-0328-4C1A-B9FD-15058EE344C5} - \{4B8B1AC7-6F02-446F-B041-CA054CC5D28B} -> No File <==== ATTENTION
Task: {B2BB27EC-4DF2-4F03-B5D4-F202A74EA9FA} - \Microsoft\Windows\AADE66439-881A-43BD-B568-6D670C38D357 -> No File <==== ATTENTION
Task: {BCF41F0B-2CAB-4B3D-BFDE-856095FA4D22} - \{9BE8E50A-28AA-47FD-BA03-888AD8A240AC} -> No File <==== ATTENTION
Task: {BF137A8A-B473-4DB9-BEB5-93D0D9B7B5A1} - \PowerMonitor -> No File <==== ATTENTION
Task: {C5A3868C-ADD7-4AE5-B706-7DF68CA4A5A6} - \MSI -> No File <==== ATTENTION
Task: {CE247AF3-6D65-48A1-873C-D06B509EAF4A} - System32\Tasks\AlterGeoUpdaterS-1-5-18 => C:\Program Files (x86)\AlterGeo\Html5 geolocation provider\html5locsvc.exe
Task: {D4CF442C-6BE1-4B42-92FB-6F1F350B006A} - \{5961307D-DB6C-4729-A6DD-1CDB8C93C7F1} -> No File <==== ATTENTION
Task: {D4CF442C-6BE1-4B42-92FB-6F1F350B006A} - \{5961307D-DB6C-4729-A6DD-1CDB8C93C7F1} -> No File <==== ATTENTION
Task: {E278C566-FE13-46D0-8E54-DDB50FB36FAC} - \{5A3ED536-AA34-4640-B463-3E3151F85D3C} -> No File <==== ATTENTION
Task: {F573E53E-374E-40D0-A5CD-8EB8A4F02854} - \{86FE3BD1-1D9A-4B8E-BA45-6AF23F801FDA} -> No File <==== ATTENTION
Task: {FA0F4C05-D91A-49CB-A719-38E2B34125B5} - \Microsoft\extsetupSB -> No File <==== ATTENTION
Task: {FE764515-B463-47AB-83D1-6D65EFEC9DBA} - \Microsoft\F4F774FC379015F0A2B9EDC387CF2F5ASB -> No File <==== ATTENTION
Task: C:\Windows\Tasks\AlterGeoUpdater-S-1-5-18.job => C:\Program Files (x86)\AlterGeo\Html5 geolocation provider\html5locsvc.exe
Task: C:\Windows\Tasks\AlterGeoUpdaterS-1-5-18.job => C:\Program Files (x86)\AlterGeo\Html5 geolocation provider\html5locsvc.exe
MSCONFIG\startupreg: amigo => 
MSCONFIG\startupreg: ba4c12bee3027d94da5c81db2d196bfd => 
MSCONFIG\startupreg: Kinoroom Browser => 
MSCONFIG\startupreg: njwzaoomgx => explorer "http://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=D1445089F13D221FF2D1A1213CF7CE2A&utm_d=20160523"
MSCONFIG\startupreg: PBot => 
MSCONFIG\startupreg: setupsk_upd => 
MSCONFIG\startupreg: uldtzmxlzq => explorer "http://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=D1445089F13D221FF2D1A1213CF7CE2A&utm_d=20160523"
CMD: ipconfig /flushdns
CMD: IPCONFIG /release
CMD: IPCONFIG /renew
CMD: gpupdate /force
CMD: bitsadmin /reset /allusers
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически

@4310V343k · 01.10.2017, 22:37 **[ТС]**

И опять готово. Зачем все это? ЦПмайнера уже нет, а я все скидываю какие-то логи)

@severnyj · 02.10.2017, 09:07

Сообщение от 4310V343k

Зачем все это? ЦПмайнера уже нет, а я все скидываю какие-то логи)

Мусора много было, напоследок для конечных рекомендаций, подготовьте лог SecurityCheck by glax24: https://safezone.cc/resources/... ersion=924

+ После выкладывания лога:
Скачайте Delfix по этой ссылке
Установите галочки напротив следующих пунктов:
Activate UAC
Remove disinfection tools
Create registry backup
Purge system restore
Нажмите кнопку Run

@4310V343k · 02.10.2017, 15:55 **[ТС]**

Сообщение от severnyj

Мусора много было

Спасибо за доп. помощь, и очередные логи.

@severnyj · 02.10.2017, 21:21

Установите антивирус!

Исправляйте, обновляйте:

Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Microsoft Silverlight v.5.1.41212.0 Внимание! Скачать обновления
Picasa 3 v.3.9 Данная программа больше не поддерживается разработчиком.
TeamViewer 11 v.11.0.53254 Внимание! Скачать обновления

Skype™ 7.39 v.7.39.102 Внимание! Скачать обновления

Java SE Development Kit 8 Update 5 (64-bit) v.8.0.50 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u144-windows-x64.exe)^
Java 7 Update 21 v.7.0.210 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u144-windows-i586.exe).
Java 8 Update 73 v.8.0.730.2 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u144-windows-i586.exe)^

QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.

Adobe AIR v.2.6.0.19120 Внимание! Скачать обновления
Adobe Flash Player 22 ActiveX v.22.0.0.210 Внимание! Скачать обновления
Adobe Flash Player 26 NPAPI v.26.0.0.131 Внимание! Скачать обновления
Adobe Flash Player 23 PPAPI v.23.0.0.207 Внимание! Скачать обновления

Yandex v.17.9.0.2081 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.58.0.3029.110 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^

И читайте: Рекомендации после удаления вредоносного ПО

Блоги программистов
Как перейти с Options API на Composition API в Vue.js BasicMan 06.01.2025 Почему переход на Composition API актуален В мире современной веб-разработки фреймворк Vue. js продолжает эволюционировать, предлагая разработчикам все более совершенные инструменты для создания. . .	Архитектура современных процессоров inter-admin 06.01.2025 Процессор (центральный процессор, ЦП) является основным вычислительным устройством компьютера, которое выполняет обработку данных и управляет работой всех остальных компонентов системы. Архитектура. . .	История создания реляционной модели баз данных, правила Кодда Programming 06.01.2025 Предпосылки создания реляционной модели В конце 1960-х годов компьютерная индустрия столкнулась с серьезными проблемами в области управления данными. Существовавшие на тот момент модели данных -. . .	Полезные поделки на Arduino, которые можно сделать самому raxper 06.01.2025 Arduino как платформа для творчества Arduino представляет собой удивительную платформу для технического творчества, которая открывает безграничные возможности для создания уникальных проектов. Эта. . .	Подборка решений задач на Python IT_Exp 06.01.2025 Целью данной подборки является предоставление возможности ознакомиться с различными задачами и их решениями на Python, что может быть полезно как для начинающих, так и для опытных программистов. . . .	С чего начать программировать микроконтроллеры raxper 06.01.2025 Введение в мир микроконтроллеров Микроконтроллеры стали неотъемлемой частью современного мира, окружая нас повсюду: от простых бытовых приборов до сложных промышленных систем. Эти маленькие. . .
Из чего собрать игровой компьютер inter-admin 06.01.2025 Сборка игрового компьютера требует особого внимания к выбору комплектующих и их совместимости. Правильно собранный игровой ПК не только обеспечивает комфортный геймплей в современных играх, но и. . .	Обновление сайта www.historian.by Reglage 05.01.2025 Обещал подвести итоги 2024 года для сайта. Однако начну с того, что изменилось за неделю. Добавил краткий урок по последовательности действий при анализе вредоносных файлов и значительно улучшил урок. . .	Как использовать GraphQL в C# с HotChocolate Programming 05.01.2025 GraphQL — это современный подход к разработке API, который позволяет клиентам запрашивать только те данные, которые им необходимы. Это делает взаимодействие с API более гибким и эффективным по. . .	Модель полного двоичного сумматора с помощью логических операций (python) AlexSky-coder 04.01.2025 def binSum(x:list, y:list): s=^y] p=x and y for i in range(1,len(x)): s. append((x^y)^p) p=(x and y)or(p and (x or y)) return s x=list() y=list()	Это мы не проходили, это нам не задавали...(асихронный счётчик с управляющим сигналом зад Hrethgir 04.01.2025 Асинхронный счётчик на сумматорах (шестиразрядный по числу диодов на плате, но наверное разрядов будет больше - восемь или шестнадцать, а диоды на старшие), так как триггеры прошли тестирование и. . .	Руководство по созданию бота для Телеграм на Python IT_Exp 04.01.2025 Боты для Телеграм представляют собой автоматизированные программы, которые выполняют различные задачи, взаимодействуя с пользователями через интерфейс мессенджера. В данной статье мы рассмотрим,. . .

@severnyj 4065 / 2241 / 389 Регистрация: 04.04.2012 Сообщений: 8,197
	30.09.2017, 19:49	4
	Подготовьте лог JRT: https://www.cyberforum.ru/viru... 05776.html Затем подготовьте лог AdwCleaner: FAQ по работе с утилитой AdwCleaner 0

@severnyj 4065 / 2241 / 389 Регистрация: 04.04.2012 Сообщений: 8,197
	30.09.2017, 21:04	6
	Отключите синхронизацию расширений в Chrome и удалите все найденное в AdwCleaner: FAQ по работе с утилитой AdwCleaner Лог AdwCleaner[C0].txt после удаления прикрепите Подготовьте логи FRST: FAQ по работе с утилитой Farbar Recovery Scan Tool Сообщение от 4310V343k "Отправить файлы карантина". Обязательно отправлять зип на почту, или можно по этой ссылке? Можно и так, и так) 0

@4310V343k 14 / 10 / 4 Регистрация: 30.09.2017 Сообщений: 91
	30.09.2017, 21:18 [ТС]	7
	Сообщение от severnyj Лог AdwCleaner[C0].txt Может быть AdwCleaner[C1].txt? 0

@severnyj 4065 / 2241 / 389 Регистрация: 04.04.2012 Сообщений: 8,197
	02.10.2017, 09:07	11
	Сообщение от 4310V343k Зачем все это? ЦПмайнера уже нет, а я все скидываю какие-то логи) Мусора много было, напоследок для конечных рекомендаций, подготовьте лог SecurityCheck by glax24: https://safezone.cc/resources/... ersion=924 + После выкладывания лога: Скачайте Delfix по этой ссылке Установите галочки напротив следующих пунктов: Activate UAC Remove disinfection tools Create registry backup Purge system restore Нажмите кнопку Run 0

@severnyj 4065 / 2241 / 389 Регистрация: 04.04.2012 Сообщений: 8,197
	02.10.2017, 21:21	13
	Установите антивирус! Исправляйте, обновляйте: Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Microsoft Silverlight v.5.1.41212.0 Внимание! Скачать обновления Picasa 3 v.3.9 Данная программа больше не поддерживается разработчиком. TeamViewer 11 v.11.0.53254 Внимание! Скачать обновления Skype™ 7.39 v.7.39.102 Внимание! Скачать обновления Java SE Development Kit 8 Update 5 (64-bit) v.8.0.50 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jdk-8u144-windows-x64.exe)^ Java 7 Update 21 v.7.0.210 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u144-windows-i586.exe). Java 8 Update 73 v.8.0.730.2 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u144-windows-i586.exe)^ QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО. Adobe AIR v.2.6.0.19120 Внимание! Скачать обновления Adobe Flash Player 22 ActiveX v.22.0.0.210 Внимание! Скачать обновления Adobe Flash Player 26 NPAPI v.26.0.0.131 Внимание! Скачать обновления Adobe Flash Player 23 PPAPI v.23.0.0.207 Внимание! Скачать обновления Yandex v.17.9.0.2081 Внимание! Скачать обновления ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^ Google Chrome v.58.0.3029.110 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Google Chrome!^ И читайте: Рекомендации после удаления вредоносного ПО 0

Самовостанавливающийся svchost.exe.exe (именно с двумя .exe)

Решение