svchost грузит систему

День добрый!
При проверке машины Dr.Web CureIt! обнаружил около 30 зараженных файлов, после лечения система процесс svchost продолжает грузить систему от 30 до 60%, временами такая загрузка происходит с двух процессов svchost. Также иногда случается, что при прошествии определенного количества времени процесс перестает грузить систему, но такое бывает не всегда. При сборе информации через стандартные скрипты AVZ, [B]"Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" [/B]AVZ зависает и винда выдает сообщение что программа не отвечает и будет завершена работа. Как я заметил такое происходит при сканировании дисков, когда сканирование доходит до папки с кэешем Аваст, сам аваст отключен.
При отключении служб связанных с процессом svchost, процесс всеравно продолжает грузить систему

Уважаемый(ая) [B]Эдик84[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте,

AVZ [URL="http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804"]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files\LyricsPal\116.dll','');
QuarantineFile('C:\Users\Acer\AppData\Local\FilesFrog Update Checker\update_checker.exe','');
QuarantineFile('C:\Users\Acer\AppData\Local\WebPlayer\FLV Player\WebPlayer.exe','');
QuarantineFile('c:\progra~2\bitguard\271832~1.68\{c16c1~1\bitguard.dll','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xomjimkery','command');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR=#FF0000]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.

- Сделайте лог [URL="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]Check Browsers' LNK[/URL] и приложите его в теме.

Все сделал

Удалите следующие ярлыки вручную:
[CODE]C:\Users\Acer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Вoйти в Интeрнет.lnk
C:\Users\Acer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Поиcк в Интeрнете.lnk
C:\Users\Acer\Desktop\Вoйти в Интeрнет.lnk
C:\Users\Acer\Desktop\Искать в Интернете.lnk[/CODE]


[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Готово.Только при первой чистке вылетела ошибка и AdwCleaner закрылась, поэтому прикладываю 2 лога

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]

Сделал

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
HKLM\...\runonceex: [Title] => Dr.Web Setup
HKLM\...\runonceex: [Flags] => 136
Toolbar: HKU\S-1-5-21-2702813416-2288039098-938103553-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
File: C:\Windows\system32\Drivers\amerp4s1.sys
CustomCLSID: HKU\S-1-5-21-2702813416-2288039098-938103553-1000_Classes\CLSID\{2614C37E-2C78-4bfb-B7A6-E49B62B9CD9B}\localserver32 -> "C:\Users\Acer\AppData\Local\Yandex\Updater\yupdate-executor.exe" => No File
CustomCLSID: HKU\S-1-5-21-2702813416-2288039098-938103553-1000_Classes\CLSID\{A2DF06F9-A21A-44A8-8A99-8B9C84F29160}\localserver32 -> "C:\Users\Acer\AppData\Local\Xpom\Application\28.1.1500.75\delegate_execute.exe" => No File
CustomCLSID: HKU\S-1-5-21-2702813416-2288039098-938103553-1000_Classes\CLSID\{D236C998-BECE-472D-B939-541727B72AEF}\localserver32 -> "C:\Users\Acer\AppData\Local\Yandex\Updater\yupdate-executor.exe" => No File
AlternateDataStreams: C:\ProgramData\TEMP:373E1720
AlternateDataStreams: C:\Users\Все пользователи\TEMP:373E1720
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xomjimkery]
FirewallRules: [TCP Query User{F9871D33-34B0-4A5F-9FBE-6319753C3C27}C:\program files\google\chrome\application\chrome.exe] => (Block) C:\program files\google\chrome\application\chrome.exe
FirewallRules: [UDP Query User{E8EE67A4-D959-4287-8781-3A0C824804DB}C:\program files\google\chrome\application\chrome.exe] => (Block) C:\program files\google\chrome\application\chrome.exe
FirewallRules: [TCP Query User{C7965DF2-4BB3-46A6-9082-D48D3E14A9C9}C:\users\acer\appdata\local\yandex\yandexbrowser\application\browser.exe] => (Block) C:\users\acer\appdata\local\yandex\yandexbrowser\application\browser.exe
FirewallRules: [UDP Query User{88491BA0-5D89-4220-A4CD-26BB359BD612}C:\users\acer\appdata\local\yandex\yandexbrowser\application\browser.exe] => (Block) C:\users\acer\appdata\local\yandex\yandexbrowser\application\browser.exe
EmptyTemp:
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

Сделал

Что с проблемой?

Проблема осталась, при включение ноутбука где-то через полчаса проблема уходит

предоставть новый лог AVZ и FRST (FRST.txt, Additional.txt).

Сделал, только AVZ зависает когда делает скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info

Ничего плохово не вижу


[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
Folder: C:\Program Files\LyricsPal
Task: {2BF0D558-1F06-4D27-BAC9-21EE300D7DDC} - \Обновление Браузера Яндекс -> No File <==== ATTENTION
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

Попробуйте удалить остатки Dr.Web раз используете Avast.

Также проверьте систему на целостность системных файлов:
[CODE]sfc /scannow[/CODE]

Лог готов, проверку на целостность делал еще до обращения к вам, проверка выдала, что есть поврежденные файлы, но в логе я так и не разобрался, что именно поврежденно. Dr.Web почитсил утилитой с оф сайта

Вам знакомо?
[CODE]
========================= Folder: C:\Program Files\LyricsPal ========================

2013-07-28 03:43 - 2013-07-28 03:43 - 0021002 _____ () C:\Program Files\LyricsPal\125.crx
2013-07-30 22:22 - 2013-07-30 22:22 - 0002421 _____ () C:\Program Files\LyricsPal\125.dat
2013-07-30 22:22 - 2013-07-30 22:22 - 0009287 _____ () C:\Program Files\LyricsPal\125.xpi
2013-07-28 03:43 - 2013-07-28 03:43 - 0001062 _____ () C:\Program Files\LyricsPal\chrome.manifest
2013-07-18 04:57 - 2013-07-18 04:57 - 0612664 _____ () C:\Program Files\LyricsPal\sqlite3.dll
2013-07-06 22:32 - 2013-07-30 22:22 - 0143024 _____ () C:\Program Files\LyricsPal\Uninstall.exe

====== End of Folder: ======[/CODE]

Выполните следующую команду в командной строке (cmd.exe):
[CODE]findstr /i /c:"[SR]" "%windir%\Logs\CBS\CBS.log" | findstr /i /v /c:"verify" > "%userprofile%\Desktop\sfc.txt[/CODE]
после выполнения на рабочем столе появиться файл [B]sfc.txt[/B] приложите его к следующему сообщению.

Добрый день!
Отправляю sfc. По поводу LyricsPal нет не знакомо, но судя по гугл это какаято рекламная нехорошая штука:) Удалить ее из Program Files вручную?

[QUOTE=Эдик84;1362672]) Удалить ее из Program Files вручную?[/QUOTE]

Либо вручную, либо могу прописать в скрипт для фикса.


Скачайте сторонную утилиту [URL="http://www.sysnative.com/niemiro/apps/SFCFix.exe"]SFCFix.exe[/URL] и поместите на рабочей стол.
- Запустите программу.
- При запросах, нажмите "[B]enter[/B]" (в общем должно получиться три раза).
- подождите завершения.
- по окончанию нажмите "[B]enter[/B]", на рабочем столе сформируется файл [B]SFCFix.txt[/B] приложите его к следующем сообщение.

P.S. файл [B]sfx.txt[/B] можете удалить с рабочего стола

Готово. Проблема так и не ушла