svchost РіСЂСѓР·РёС‚ СЃРёСЃС‚РµРјСѓ

Printable View

16.08.2018, 12:11
iivaannn

svchost РіСЂСѓР·РёС‚ СЃРёСЃС‚РµРјСѓ

Здравствуйте! Svchost грузит систему на 25-30%. Проверяли компьютер утилитой Cureit, найденные вирусы удалили, но не помогло. AutoLogger.exe запустили, распаковался, но не стартовало автоматическое сканирование утилитой AVZ. Если вручную запустить ее, то она моментально закрывается.

OS Windows 10 x64. Защита отключена.
16.08.2018, 12:13
Info_bot

Уважаемый(ая) [B]iivaannn[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
18.08.2018, 21:54
Vvvyg

Попробуйте сделать лог такой версией [URL="https://yadi.sk/d/7dgjMleO3E3E9b"]Autologger[/URL].
19.08.2018, 23:20
iivaannn

Аналогичная ситуация... Как только запускаешь, то моментально закрывается. Даже если попробовать зайти на сайт антивируса, так сразу закрывается браузер, если попытка установить какой-то антивирус, то при открытии тоже закрывается...
20.08.2018, 06:44
Vvvyg

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url]. Если start.exe не запустится - пробуйте start[COLOR="#FF0000"]f[/COLOR].exe, внимание: все процессы кроме системных будут принудительно завершены без вопросов!
20.08.2018, 11:52
iivaannn

Вложений: 1

UVS так и не получилось запустить, при открытии папки происходило её автоматическое закрытие. Пришлось загрузиться в безопасном режиме, сделать лог AutoLogger.exe
20.08.2018, 19:02
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
QuarantineFile('C:\Users\user\EoiAFouPH.exe', '');
QuarantineFile('C:\Users\user\j7lvbn1a0mpf.rus', '');
QuarantineFile('C:\WINDOWS\SysWOW64\ocvKoOOEy.exe', '');
QuarantineFile('C:\WINDOWS\SysWOW64\rvjcacnpuzkc.nyt', '');
DeleteFile('C:\Users\user\EoiAFouPH.exe', '64');
DeleteFile('C:\WINDOWS\SysWOW64\ocvKoOOEy.exe', '64');
ExecuteFile('schtasks.exe', '/delete /TN "{1D78CAB5-08E6-9C10-3351-E7FEC11C4CB6}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{71D1D576-8904-B368-3B96-3C06C8FF078A}" /F', 0, 15000, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте, распакуйте и запустите [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Audition CC 2018.lnk" -> ["C:\Program Files\Adobe\Adobe Audition CC 2018\Adobe Audition CC.exe"]
>>> "C:\Users\user\Desktop\MediaGet.lnk" -> ["C:\Users\user\AppData\Local\MediaGet2\mediaget.exe"]
>>> "C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet.lnk" -> ["C:\Users\user\AppData\Local\MediaGet2\mediaget.exe"]
>>> "C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2\MediaGet.lnk" -> ["C:\Users\user\AppData\Local\MediaGet2\mediaget.exe"]
>>> "C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk" -> ["C:\Users\defaultuser0\AppData\Local\Microsoft\OneDrive\OneDrive.exe"][/CODE]
Отчёт о работе прикрепите.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
21.08.2018, 11:17
iivaannn

Вложений: 2

Архив карантина от AVZ прикрепил сверху. Но почему-то вывело сообщение "Данный файл уже был загружен".
Отчет о работе ClearLNK прикрепил.
Архив с отчетами FRST прикрепил.
21.08.2018, 20:19
Vvvyg

Выделите и скопируйте в буфер обмена следующий код:[CODE]CreateRestorePoint:
2018-08-10 21:05 - 2018-08-10 21:06 - 000000000 ____D C:\ProgramData\uBar
Task: {4FB1B3FD-AD24-4ABF-A268-00D0E099A29D} - System32\Tasks\{1D78CAB5-08E6-9C10-3351-E7FEC11C4CB6} => C:\Users\user\EoiAFouPH.exe
Task: {94E298ED-2D8A-4C35-B00E-E5C654F9FAFA} - System32\Tasks\{71D1D576-8904-B368-3B96-3C06C8FF078A} => C:\WINDOWS\SysWOW64\ocvKoOOEy.exe
FirewallRules: [{8E521C7C-59B0-4EA3-AD43-72A5B6CC0029}] => (Allow) C:\WINDOWS\SysWOW64\msiexec.exe
FirewallRules: [{D1A0C985-CA16-4CBA-827B-914043DBE954}] => (Allow) C:\WINDOWS\SysWOW64\ocvKoOOEy.exe
FirewallRules: [{7D2D9137-ECDB-4291-90E4-E519233024B3}] => (Allow) C:\Users\user\EoiAFouPH.exe
Folder: C:\Users\user\AppData\Local\NTServices
Virustotal: C:\Users\user\AppData\Local\NTServices\msiexec64.exe
2018-08-13 10:50 - 2018-08-15 19:00 - 000000000 __SHD C:\Users\user\AppData\Local\NTServices
Virustotal: C:\Users\user\AppData\Local\NTServices\msiexec64.exe
FirewallRules: [{FEE94C75-955A-45B8-87C9-26FD11B85DF2}] => (Allow) C:\Users\user\AppData\Local\NTServices\msiexec64.exe
FirewallRules: [{28F55909-54CB-4ACB-A598-25646BA264D2}] => (Allow) C:\Users\user\AppData\Local\NTServices\msiexec64.exe
FirewallRules: [{1DFF7781-418D-456A-A9B6-586F3A33DE6F}] => (Allow) C:\Users\user\AppData\Local\NTServices\msiexec64.exe
FirewallRules: [{24B5722D-5902-4564-A019-857677923069}] => (Allow) C:\Users\user\AppData\Local\NTServices\msiexec64.exe
FirewallRules: [{84BA387D-0A2F-4121-879F-96FA65121418}] => (Allow) C:\Users\user\AppData\Local\NTServices\msiexec64.exe
FirewallRules: [{D3184A67-FAEA-4C09-BCEC-AC5CE2B90A06}] => (Allow) C:\Users\user\AppData\Local\NTServices\msiexec64.exe
FirewallRules: [{7EF6C3D3-AADA-45E7-9196-DDE2B19C23ED}] => (Allow) C:\Users\user\AppData\Local\NTServices\msiexec64.exe
FirewallRules: [{4E484F84-AA21-4204-ADA7-B90FB5963A91}] => (Allow) C:\Users\user\AppData\Local\NTServices\msiexec64.exe
FirewallRules: [{A8DCA8F5-63E9-44FA-9B94-0FAE6DE82421}] => (Allow) C:\Users\user\AppData\Local\NTServices\msiexec64.exe
FirewallRules: [{F22532D7-127C-4678-9C28-36204AD2A004}] => (Allow) C:\Users\user\AppData\Local\NTServices\msiexec64.exe
FirewallRules: [{AB42949D-4B54-450E-95A4-0B20E093FF05}] => (Allow) C:\Users\user\AppData\Local\NTServices\msiexec64.exe
FirewallRules: [{F478429C-2E40-4C30-871A-3F0713F7E9C3}] => (Allow) C:\Users\user\AppData\Local\NTServices\msiexec64.exe
FirewallRules: [{27D2B4FC-1362-4EA5-B427-E340CE33E281}] => (Allow) C:\Users\user\AppData\Local\NTServices\msiexec64.exe
FirewallRules: [{968278C5-0560-4264-8ABB-864475632758}] => (Allow) C:\Users\user\AppData\Local\NTServices\msiexec64.exe
FirewallRules: [{577FD67D-F291-4CE6-A82A-B854E0791B30}] => (Allow) C:\Users\user\AppData\Local\NTServices\msiexec64.exe
FirewallRules: [{AF307589-AF09-468F-A06F-AE2ED77B818C}] => (Allow) C:\Users\user\AppData\Local\Wow64Cache\msiexec64.exe
FirewallRules: [{728CCC31-09DF-4B51-9B1C-439F23FB330D}] => (Allow) C:\Users\user\AppData\Local\Wow64Cache\msiexec64.exe
FirewallRules: [{4B386409-319F-43F9-A9EA-69360CFF46D7}] => (Allow) C:\Users\user\AppData\Local\Wow64Cache\msiexec64.exe
FirewallRules: [{3EB490AF-B726-4610-9B02-ABC518497C2E}] => (Allow) C:\Users\user\AppData\Local\Wow64Cache\msiexec64.exe
FirewallRules: [{D8838819-0849-453D-A12E-8C260783427B}] => (Allow) C:\Users\user\AppData\Local\Wow64Cache\msiexec64.exe
FirewallRules: [{B5FB7444-009B-4D3C-990E-8C0BB983E704}] => (Allow) C:\Users\user\AppData\Local\Wow64Cache\msiexec64.exe
FirewallRules: [{1246280E-7CA7-49BB-918D-F8F6DF7A2239}] => (Allow) C:\Users\user\AppData\Local\Wow64Cache\msiexec64.exe
FirewallRules: [{BF102EF2-EDD3-4A66-A9D0-75A27B8ED098}] => (Allow) C:\Users\user\AppData\Local\Wow64Cache\msiexec64.exe
FirewallRules: [{32E7BAC4-CCA7-4EFA-9983-40E373D0EADB}] => (Allow) C:\Users\user\AppData\Local\Wow64Cache\msiexec64.exe
FirewallRules: [{D9BDA0D0-86A9-43DC-A75E-DC4872EE1F21}] => (Allow) C:\Users\user\AppData\Local\Wow64Cache\msiexec64.exe
FirewallRules: [{077B8DEF-551C-4EDE-B3F1-9898ED069BDE}] => (Allow) C:\Users\user\AppData\Local\Wow64Cache\msiexec64.exe
FirewallRules: [{F4737462-0336-4FA0-AC4F-404997AE6600}] => (Allow) C:\Users\user\AppData\Local\Wow64Cache\msiexec64.exe
FirewallRules: [{C8B60547-AC75-4CE8-B6E4-D5DA4A72DE6F}] => (Allow) C:\Users\user\AppData\Local\Wow64Cache\msiexec64.exe
FirewallRules: [{8AF5D10F-EA8E-43B4-9919-B0261F21527A}] => (Allow) C:\Users\user\AppData\Local\Wow64Cache\msiexec64.exe
FirewallRules: [{A57F8233-9B72-4CC7-8C66-157F660607FC}] => (Allow) C:\Users\user\AppData\Local\Wow64Cache\msiexec64.exe
FirewallRules: [{B9ED6BC5-82EB-4126-96F8-EE14D17C5029}] => (Allow) C:\Users\user\AppData\Local\Wow64Cache\msiexec64.exe
FirewallRules: [{86102881-1E5C-44C1-B2C0-416F90AA2F90}] => (Allow) C:\Users\user\AppData\Local\Wow64Cache\msiexec64.exe
FirewallRules: [{09BF4859-B0D5-49BA-81B6-AA632CE86BAB}] => (Allow) C:\Users\user\AppData\Local\Wow64Cache\msiexec64.exe
FirewallRules: [{8D471AAB-9C54-4F79-A9EC-B8677EBB8FC8}] => (Allow) C:\Users\user\AppData\Local\Wow64Cache\msiexec64.exe
FirewallRules: [{939A0BB5-D64B-4BF5-866C-F43315309FBA}] => (Allow) C:\Users\user\AppData\Local\Wow64Cache\msiexec64.exe
Reboot:[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
22.08.2018, 16:38
iivaannn

Вложений: 1

Сделано.
22.08.2018, 19:13
Vvvyg

Проблема решена?
23.08.2018, 13:19
iivaannn

да,решена,спасибо!
23.08.2018, 21:42
Vvvyg

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.