@selogunov

Здравствуйте. При включении интернета процессор загружается на 20-25%. Приходится поступать следующим образом. Виновный процесс C:\Windows\System32\svchost.exe -k netsvcs останавливаю через "Завершить дерево процессов". Интернет в результате вырубается, снова включаю его. Достаточно быстро история с загрузкой процессора в точности повторяется. Снова этот же трюк с "Завершить дерево процессов" и повторным включением Интернета и, к удивлению, svchost.exe -k netsvcs перестает бесить - нагрузка на процессор 0.
Начал смотреть системные папки - там тихий ужас. Мой файл hosts заменен на другой (я вернул мой прежний). В других системных папках - скрипты, бат-файлы, экзешники, все с той же датой изменения, что и левый файл hosts. Например, в папке C:\Windows\Fonts\Mysql лежит taskhost.exe весом 15 КБ, хотя оригинальный файл, который в System32 - 48 КБ. В папке C:\Windows\Installer находился free.bat, внутри которого упоминаются такие гадости, как Eternalblue, Doublepulsar... Батник этот я с испугу переименовал в текстовый и закинул в отдельную папку.
KIS несколько раз возмущался, удалял кучу файлов (помню, много из папки C:\Windows\Fonts\Mysql), но почему-то никак не реагирует даже на откровенно поддельные wget.exe и taskhost.exe в этой же папке.

Вложения

CollectionLog-2019.07.11-20.49.zip (70.9 Кб, 6 просмотров)

0

@Sandor

Здравствуйте!

У вас очень устаревшая и больше не поддерживаемая версия. Нужно обновить до актуальной.

Внимание! Рекомендации написаны специально для пользователя selogunov. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):
   
   
   Код

   begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
    ClearQuarantineEx(true);
    QuarantineFile('C:\Windows\Fonts\Mysql\svchost.exe', '');
    DeleteFile('C:\Windows\Fonts\Mysql\svchost.exe', '32');
    RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', '32');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
   BC_ImportALL;
   ExecuteSysClean;
    ExecuteWizard('SCU', 2, 3, true);
   BC_Activate;
   RebootWindows(true);
   end.

   Компьютер перезагрузится.
   
   После перезагрузки, выполните такой скрипт:
   
   
   Код

   begin
    DeleteFile(GetAVZDirectory+'quarantine.7z');
    ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
   end.

2. Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
   К сообщению прикреплять файл quarantine.7z не нужно!
   
   
   
3. Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

1

@selogunov

2019.07.12_quarantine_470851014a9445300e14524ba441cf99.7z

Вложения

CollectionLog-2019.07.12-10.20.zip (51.7 Кб, 1 просмотров)

0

@Sandor

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

0

@selogunov

Запустил FRST.exe при работающем KIS и включенном интернете. Не нашел указания, что антивирус должен быть отключен при запуске FRST. Каспер сразу файл FRST.exe удалил. Пришлось добавлять всю папку C:\FRST и FRST.exe в доверенные.
Файл Addition.txt не создался. Вместо него появился файл users00 (без расширения). FRST.txt и users00 упаковал в архив.

Вложения

FRST_01.rar (890 байт, 1 просмотров)

0

@Sandor

На время сбора логов отключите и повторите еще раз. Приложенные не получились.

0

@selogunov

Упаковал в архив FRST.txt и Addition.txt

Вложения

FRST_02.rar (87.3 Кб, 1 просмотров)

0

@Sandor

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код

  Start::
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  GroupPolicy: Restriction ? <==== ATTENTION
  Task: {3B67850B-E57B-4B2B-A3FB-9C8312CBE886} - \At1 -> No File <==== ATTENTION
  Task: {6954098D-D2DA-400D-8CA9-E4464B02CD2D} - \At2 -> No File <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{3291cb5a-74ed-4e69-b303-c74f2a1e747f} <==== ATTENTION (Restriction - IP)
  C:\Users\ALEKS\AppData\Roaming\Opera Software\Opera Stable\Extensions\cnbpedcoekjafichoehopgaaldogogch
  2019-06-19 20:33 - 2019-06-19 20:33 - 000000319 _____ C:\Windows\xxoo.vbs
  2019-06-19 20:33 - 2019-06-19 20:33 - 000000000 _RSHD C:\Windows\system32\dllhostex.exe
  Virustotal:C:\Windows\system\msinfo.exe;C:\Windows\system\lsaus.exe;C:\Windows\svchost.exe;C:\Windows\splwow64.exe
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

0

@selogunov

Лог-файл

Вложения

Fixlog.txt (3.6 Кб, 2 просмотров)

0

@Sandor

Что сейчас с проблемой?

0

@selogunov

svchost.exe -k netsvcs по прежнему нагружает проц, но не более 15%

0

@Sandor

Обновления системы давно ставили?

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

0

@selogunov

Система старая, с 2015. Обновления отключены. Собираюсь переустанавливать, правда не уверен, десятку или свежую семерку. Памяти мало, из 4 ГБ используется 3,5 ГБ (((
Меня смущает тот факт, что кто-то писал на нашем форуме, что переустановил систему с нуля, но вирус (майнер) опять проявляется. Где-то сохраняется в загрузочной области жесткого диска. Хотелось бы пролечить существующую сейчас у меня семерку, убрать всю заразу, а уж потом переустанавливаться со спокойной душой. Как-то так...

Вложения

SecurityCheck.rar (20.1 Кб, 1 просмотров)

0

@Sandor

Хм, об этом надо было написать в начале.
При полном форматировании диска вирус (если он даже был) не сохраняется.

0

@selogunov

Возможно, в ближайшее время переустановить не получится. Хотелось бы пролечить существующую систему...

0

@Sandor

Вполне нормальное поведение.

По возможности исправьте/обновите:
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17501 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2015-01-23 14:28:34
------------------------------- [ HotFix ] --------------------------------
HotFix KB3020369 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4503292 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Internet Security 2013 v.13.0.1.4190 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Git version 2.21.0 v.2.21.0 Внимание! Скачать обновления
K-Lite Mega Codec Pack 14.6.0 v.14.6.0 Внимание! Скачать обновления
VLC media player v.2.2.2 Внимание! Скачать обновления
Wireshark 2.6.0 32-bit v.2.6.0 Внимание! Скачать обновления
Microsoft .NET Framework 4.5.3 Preview v.4.5.53349 Внимание! Скачать обновления
Microsoft Office - профессиональный выпуск версии 2003 v.11.0.8173.0 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office XP - веб-компоненты v.11.0.8173.0 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2003 - веб-компоненты v.11.0.8173.0 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft .NET Framework 4.5.3, предварительная версия (русский) v.4.5.53349 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.21 бета 1 (32-разрядная) v.5.21.1 Внимание! Скачать обновления
7-Zip 9.38 v.9.38.00.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.4.4-I601 v.2.4.4-I601 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.5.41865 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 201 v.8.0.2010.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u211-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.1.5.3.9120 Внимание! Скачать обновления
Adobe Reader XI (11.0.05) - Russian v.11.0.05 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 59.0.3 (x86 ru) v.59.0.3 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera Stable 60.0.3255.170 v.60.0.3255.170 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
----------------------------- [ EmailClient ] -----------------------------
Windows Live Mail v.16.4.3528.0331 Данная программа больше не поддерживается разработчиком.
Почта Windows Live v.16.4.3528.0331 Данная программа больше не поддерживается разработчиком.
The Bat! v7.4.16 (32-bit) v.7.4.16 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
MiPony 2.5.0 v.2.5.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Ace Stream Media 3.1.16.1 v.3.1.16.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!


Читайте Рекомендации после удаления вредоносного ПО

0

@selogunov

Да, но после двух on/off сети нагрузка от него - 0%

0

@Sandor

Об особенностях работы этого процесса можете поинтересоваться в системном или сетевом разделе форума.

0