svhost.exe грузит процессор до 100% [not-a-virus:RiskTool.Win32.BitCoinMiner.ibyu, not-a-virus:RiskTool.Win32.Agent.amrp ]

Printable View

12.10.2017, 23:17
Сергей999

svhost.exe грузит процессор до 100% [not-a-virus:RiskTool.Win32.BitCoinMiner.ibyu, not-a-virus:RiskTool.Win32.Agent.amrp ]

Доброй ночи.
Win sp1 7x64, Svhost.exe грузит процессор до 100%
Была не понятная ситуация в сети... пока не могу обнаружить что подцепил. Похоже на майнер.

Заранее благодарю за помощь
12.10.2017, 23:18
Info_bot

Уважаемый(ая) [B]Сергей999[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
12.10.2017, 23:42
Сергей999

Еще появляется звук рекламы, но нет открытых браузеров. Висел процесс firefox_чтототам завершил его и звук рекламы пропал.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[QUOTE=Сергей999;1466292]Еще появляется звук рекламы, но нет открытых браузеров. Висел процесс firefox_чтототам завершил его и звук рекламы пропал.[/QUOTE]

процесс spsvc.exe*32_описание_firefox. + пропал переход с русского на английский, процесс запускается периодически.
13.10.2017, 07:15
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\Fonts\svchost.exe','');
QuarantineFile('C:\supermegabest\run_setup.bat','');
SetServiceStart('werlsfks', 4);
SetServiceStart('spoolsrvrs', 4);
DeleteService('spoolsrvrs');
DeleteService('werlsfks');
TerminateProcessByName('c:\program files\common files\microsoft shared\hp\webisida.browser.exe');
QuarantineFile('c:\program files\common files\microsoft shared\hp\webisida.browser.exe','');
TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe');
QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe','');
TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe');
QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe','');
TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe');
TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe');
TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe');
QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe','');
QuarantineFile('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe','');
QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe','');
TerminateProcessByName('c:\windows\fonts\svchost.exe');
QuarantineFile('c:\windows\fonts\svchost.exe','');
TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe');
QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe','');
TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe');
QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe','');
TerminateProcessByName('c:\program files\common files\microsoft shared\hp\gecko\securesurf.browser.client.exe');
QuarantineFile('c:\program files\common files\microsoft shared\hp\gecko\securesurf.browser.client.exe','');
TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe');
TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe');
QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe','');
QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe','');
DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe','32');
DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe','32');
DeleteFile('c:\program files\common files\microsoft shared\hp\gecko\securesurf.browser.client.exe','32');
DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe','32');
DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe','32');
DeleteFile('c:\windows\fonts\svchost.exe','32');
DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe','32');
DeleteFile('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe','32');
DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe','32');
DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe','32');
DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe','32');
DeleteFile('c:\program files\common files\microsoft shared\hp\webisida.browser.exe','32');
DeleteFile('C:\supermegabest\run_setup.bat','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','SuperMegaBest');
DeleteFile('C:\Windows\system32\Tasks\DRPNPS','64');
DeleteFile('C:\Windows\system32\Tasks\GoogleUpdateTask','64');
DeleteFile('C:\Windows\system32\Tasks\GoogleUpdateTaskMashine','64');
DeleteFile('C:\Windows\Fonts\svchost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.

[B][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. [/color][/B]
13.10.2017, 07:21
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('c:\program files\common files\microsoft shared\hp\gecko\securesurf.browser.client.exe');
TerminateProcessByName('c:\program files\common files\microsoft shared\hp\webisida.browser.exe');
TerminateProcessByName('c:\windows\fonts\svchost.exe');
TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe');
TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe');
TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe');
TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe');
TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe');
TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe');
TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe');
TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe');
TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe');
StopService('spoolsrvrs');
StopService('werlsfks');
QuarantineFile('c:\program files\common files\microsoft shared\hp\gecko\securesurf.browser.client.exe', '');
QuarantineFile('c:\program files\common files\microsoft shared\hp\webisida.browser.exe', '');
QuarantineFile('C:\supermegabest\run_setup.bat', '');
QuarantineFile('C:\Users\KOLIDE~1\AppData\Local\Temp\DF9AAD7EE630F388A8\lines.bat', '');
QuarantineFile('c:\windows\fonts\svchost.exe', '');
QuarantineFile('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe', '');
QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe', '');
QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe', '');
QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', '');
QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', '');
QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe', '');
QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe', '');
QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe', '');
QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe', '');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\HP\gecko\Capinet.dll', '32');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\HP\gecko\freebl3.dll', '32');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\HP\gecko\icudt52.dll', '32');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\HP\gecko\icuin52.dll', '32');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\HP\gecko\icuuc52.dll', '32');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\HP\gecko\MemIPC.dll', '32');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\HP\gecko\mozalloc.dll', '32');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\HP\gecko\mozglue.dll', '32');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\HP\gecko\nss3.dll', '32');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\HP\gecko\nssckbi.dll', '32');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\HP\gecko\nssdbm3.dll', '32');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\HP\gecko\sandboxbroker.dll', '32');
DeleteFile('c:\program files\common files\microsoft shared\hp\gecko\securesurf.browser.client.exe', '32');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\HP\gecko\SecureSurf.dll', '32');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\HP\gecko\softokn3.dll', '32');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\HP\gecko\xul.dll', '32');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\HP\gecko\XulFx.dll', '32');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\HP\gecko\XulFx.Windows.Forms.dll', '32');
DeleteFile('c:\program files\common files\microsoft shared\hp\webisida.browser.exe', '32');
DeleteFile('C:\supermegabest\run_setup.bat', '32');
DeleteFile('C:\Users\KOLIDE~1\AppData\Local\Temp\DF9AAD7EE630F388A8\lines.bat', '32');
DeleteFile('c:\windows\fonts\svchost.exe', '32');
DeleteFile('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe', '32');
DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe', '32');
DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe', '32');
DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', '32');
DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', '32');
DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe', '32');
DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe', '32');
DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe', '32');
DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe', '32');
ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateTask" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateTaskMashine" /F', 0, 15000, true);
DeleteService('spoolsrvrs');
DeleteService('werlsfks');
DeleteFileMask('c:\program files\common files\microsoft shared\hp', '*', true);
DeleteFileMask('c:\supermegabest', '*', true);
DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true);
DeleteDirectory('c:\program files\common files\microsoft shared\hp');
DeleteDirectory('c:\supermegabest');
DeleteDirectory('c:\windows\inf\netlibrariestip');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'DeleteMarkAny');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'SPReview');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'SuperMegaBest');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'YSetupDel');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(1);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).
13.10.2017, 09:54
Сергей999

Вот логи
13.10.2017, 21:28
Vvvyg

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
IFEO\sethc.exe: [Debugger] seth.exe
CHR HKU\S-1-5-21-3139466187-2785809878-3887182306-2153\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bmkckgpgekmanipelfidlhmkfcjicion] - hxxps://clients2.google.com/service/update2/crx
S2 wcvvses; C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe [8192 2003-04-18] () [File not signed]
C:\Windows\Inf\axperflib
Task: {E3F7D745-6A51-47FA-AD53-9DBA2A241C54} - \DRPNPS -> No File <==== ATTENTION
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], в FRST нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Меняйте пароли, ограничивайте удалённый доступ к компьютеру.
13.10.2017, 23:07
Сергей999

fixlog
14.10.2017, 12:28
Vvvyg

Установите все доступные обновления для системы и MS Office.
Проблема решена?
15.10.2017, 15:44
Сергей999

Решено, можно закрывать.

Благодарю всех!
15.10.2017, 16:58
Vvvyg

Удалите папку C:\FRST со всем содержимым.

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
15.10.2017, 17:08
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\common files\microsoft shared\hp\webisida.browser.exe - [B]not-a-virus:RiskTool.MSIL.Sidaweb.q[/B] ( BitDefender: Gen:Variant.MSILPerseus.2843 )[*] c:\windows\fonts\svchost.exe - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.ibyu[/B] ( BitDefender: Gen:Application.Heur2.WoKfbKzjKBkib )[*] c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe - [B]not-a-virus:RiskTool.Win32.Agent.aouh[/B][*] c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe - [B]not-a-virus:RiskTool.Win32.Agent.amrp[/B][*] c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe - [B]not-a-virus:RiskTool.Win32.Agent.amrm[/B][/LIST][/LIST]