svchost грузит систему

[Эдик84]

День добрый!
При проверке машины Dr.Web CureIt! обнаружил около 30 зараженных файлов, после лечения система процесс svchost продолжает грузить систему от 30 до 60%, временами такая загрузка происходит с двух процессов svchost. Также иногда случается, что при прошествии определенного количества времени процесс перестает грузить систему, но такое бывает не всегда. При сборе информации через стандартные скрипты AVZ, "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" AVZ зависает и винда выдает сообщение что программа не отвечает и будет завершена работа. Как я заметил такое происходит при сканировании дисков, когда сканирование доходит до папки с кэешем Аваст, сам аваст отключен.
При отключении служб связанных с процессом svchost, процесс всеравно продолжает грузить систему

[Info_bot]

Уважаемый(ая) Эдик84, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\LyricsPal\116.dll','');
 QuarantineFile('C:\Users\Acer\AppData\Local\FilesFrog Update Checker\update_checker.exe','');
 QuarantineFile('C:\Users\Acer\AppData\Local\WebPlayer\FLV Player\WebPlayer.exe','');
 QuarantineFile('c:\progra~2\bitguard\271832~1.68\{c16c1~1\bitguard.dll','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xomjimkery','command');
  BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

- Сделайте лог Check Browsers' LNK и приложите его в теме.

[Эдик84]

Все сделал

[SQ]

Удалите следующие ярлыки вручную:

Код:

C:\Users\Acer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Вoйти в Интeрнет.lnk
C:\Users\Acer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Поиcк в Интeрнете.lnk
C:\Users\Acer\Desktop\Вoйти в Интeрнет.lnk
C:\Users\Acer\Desktop\Искать в Интернете.lnk

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Эдик84]

Готово.Только при первой чистке вылетела ошибка и AdwCleaner закрылась, поэтому прикладываю 2 лога

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Эдик84]

Сделал

[SQ]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  HKLM\...\runonceex: [Title] => Dr.Web Setup
  HKLM\...\runonceex: [Flags] => 136
  Toolbar: HKU\S-1-5-21-2702813416-2288039098-938103553-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  File: C:\Windows\system32\Drivers\amerp4s1.sys
  CustomCLSID: HKU\S-1-5-21-2702813416-2288039098-938103553-1000_Classes\CLSID\{2614C37E-2C78-4bfb-B7A6-E49B62B9CD9B}\localserver32 -> "C:\Users\Acer\AppData\Local\Yandex\Updater\yupdate-executor.exe" => No File
  CustomCLSID: HKU\S-1-5-21-2702813416-2288039098-938103553-1000_Classes\CLSID\{A2DF06F9-A21A-44A8-8A99-8B9C84F29160}\localserver32 -> "C:\Users\Acer\AppData\Local\Xpom\Application\28.1.1500.75\delegate_execute.exe" => No File
  CustomCLSID: HKU\S-1-5-21-2702813416-2288039098-938103553-1000_Classes\CLSID\{D236C998-BECE-472D-B939-541727B72AEF}\localserver32 -> "C:\Users\Acer\AppData\Local\Yandex\Updater\yupdate-executor.exe" => No File
  AlternateDataStreams: C:\ProgramData\TEMP:373E1720
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:373E1720
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xomjimkery]
  FirewallRules: [TCP Query User{F9871D33-34B0-4A5F-9FBE-6319753C3C27}C:\program files\google\chrome\application\chrome.exe] => (Block) C:\program files\google\chrome\application\chrome.exe
  FirewallRules: [UDP Query User{E8EE67A4-D959-4287-8781-3A0C824804DB}C:\program files\google\chrome\application\chrome.exe] => (Block) C:\program files\google\chrome\application\chrome.exe
  FirewallRules: [TCP Query User{C7965DF2-4BB3-46A6-9082-D48D3E14A9C9}C:\users\acer\appdata\local\yandex\yandexbrowser\application\browser.exe] => (Block) C:\users\acer\appdata\local\yandex\yandexbrowser\application\browser.exe
  FirewallRules: [UDP Query User{88491BA0-5D89-4220-A4CD-26BB359BD612}C:\users\acer\appdata\local\yandex\yandexbrowser\application\browser.exe] => (Block) C:\users\acer\appdata\local\yandex\yandexbrowser\application\browser.exe
  EmptyTemp:
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Эдик84]

Сделал

[SQ]

Что с проблемой?

[Эдик84]

Проблема осталась, при включение ноутбука где-то через полчаса проблема уходит

[SQ]

предоставть новый лог AVZ и FRST (FRST.txt, Additional.txt).

[Эдик84]

Сделал, только AVZ зависает когда делает скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info

[SQ]

Ничего плохово не вижу

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  Folder: C:\Program Files\LyricsPal
  Task: {2BF0D558-1F06-4D27-BAC9-21EE300D7DDC} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

Попробуйте удалить остатки Dr.Web раз используете Avast.

Также проверьте систему на целостность системных файлов:

Код:

sfc /scannow

[Эдик84]

Лог готов, проверку на целостность делал еще до обращения к вам, проверка выдала, что есть поврежденные файлы, но в логе я так и не разобрался, что именно поврежденно. Dr.Web почитсил утилитой с оф сайта

[SQ]

Вам знакомо?

Код:

========================= Folder: C:\Program Files\LyricsPal ========================

2013-07-28 03:43 - 2013-07-28 03:43 - 0021002 _____ () C:\Program Files\LyricsPal\125.crx
2013-07-30 22:22 - 2013-07-30 22:22 - 0002421 _____ () C:\Program Files\LyricsPal\125.dat
2013-07-30 22:22 - 2013-07-30 22:22 - 0009287 _____ () C:\Program Files\LyricsPal\125.xpi
2013-07-28 03:43 - 2013-07-28 03:43 - 0001062 _____ () C:\Program Files\LyricsPal\chrome.manifest
2013-07-18 04:57 - 2013-07-18 04:57 - 0612664 _____ () C:\Program Files\LyricsPal\sqlite3.dll
2013-07-06 22:32 - 2013-07-30 22:22 - 0143024 _____ () C:\Program Files\LyricsPal\Uninstall.exe

====== End of Folder: ======

Выполните следующую команду в командной строке (cmd.exe):

Код:

findstr /i /c:"[SR]" "%windir%\Logs\CBS\CBS.log" | findstr /i /v /c:"verify" > "%userprofile%\Desktop\sfc.txt

после выполнения на рабочем столе появиться файл sfc.txt приложите его к следующему сообщению.

[Эдик84]

Добрый день!
Отправляю sfc. По поводу LyricsPal нет не знакомо, но судя по гугл это какаято рекламная нехорошая штука Удалить ее из Program Files вручную?

[SQ]

) Удалить ее из Program Files вручную?

Либо вручную, либо могу прописать в скрипт для фикса.


Скачайте сторонную утилиту SFCFix.exe и поместите на рабочей стол.
- Запустите программу.
- При запросах, нажмите "enter" (в общем должно получиться три раза).
- подождите завершения.
- по окончанию нажмите "enter", на рабочем столе сформируется файл SFCFix.txt приложите его к следующем сообщение.

P.S. файл sfx.txt можете удалить с рабочего стола

[Эдик84]

Готово. Проблема так и не ушла