Обнаружен Userinit

Несколько дней назад стал часто тормозить ноутбук. В первую очередь, когда браузером пользуюсь. В диспетчере задач ЦП загружено в этих случаях на 100% (может чуть разгружаться, и снова нагружается). В процессах из "обжор"отражается только браузер.
Кроме того, и без браузера ноутбук периодически тормозит. Например, программы открываются теперь дольше, чем раньше открывались.
Почистил ноут и браузер - не сильно изменения почувствовал.
Просканировал в безопасном режиме ноут утилитой Dr.web cureIt. Она нашла угрозу - userinit (см. фото во вложение). Не стал ничего с ним делать - побоялся, что удалю сейчас нужный программный файл.
p.s. Еще интересный момент сейчас заметил - с интервалом в секунду появляется крутящееся колесико у курсора.
И еще интересный момент - закрыл браузер, а загрузка ЦП всё так же - 100%. А в процессах я не вижу, что вызывает такую загрузку (см. фотки во вложении).

Уважаемый(ая) [B]Alex_Storm[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Друзья, про меня забыли?
Прошло уже больше суток с момента отправки моего первого письма.....

По поводу предупреждения CureIt! - не обращайте внимания, у продуктов Dr. Web есть 2 бзика, по поводу Userinit и файла hosts, совершенно необоснованные.

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].

Сделал.

[QUOTE](!) Процесс нагружает CPU: C:\PROGRAM FILES (X86)\HOTSPOT SHIELD\BIN\CMW_SRV.EXE[/QUOTE]Каким образом Hotspot Shield устанавливали? В списке установленных нет.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.1.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
delall %SystemDrive%\PROGRAM FILES (X86)\HOTSPOT SHIELD\BIN\CMW_SRV.EXE
delref %Sys32%\KLVSSBRIDGE64_18.0.0.EXE
deldir %SystemDrive%\PROGRAM FILES (X86)\HOTSPOT SHIELD
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 18.0.0\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
deltmp
restart[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Сообщите, что с проблемой.

Hotspot Shield устанавливал, как обычную программу на комп. Но потом ее удалил.
Еще у меня расширения в Хроме стояло Hotspot Shield, но думаю, что это след не расширения, а полноценной программы.
Сделал.
Загрузка не 100%, а прыгает с 27 на 46%. Когда открываю в браузере новое окно - 100%, потом снова падает вниз.
У курсора теперь "колесико" не крутится через каждые 10 секунд, как это было вначале.

Это не лог выполнения скрипта.

Ничего больше подозрительного. Нагрузку даёт браузер, без него порядок?

А где найти лог выполнения скрипта?
Он после окончания сканирования сразу перезагрузил компьютер. И в папке UVS никаких новых файлов не появилось (если смотреть на даты создания файлов). Единственная новая папка - это папка ZOO. И ней только один текстовой файл, который я и отправил.
Без браузера загрузка порой скачает от 2% до 70%. Но потом всё успокаивается.

Должен быть[QUOTE] текстовый файл с именем из даты и времени выполнения[/QUOTE]в самой папке с UVS, не в ZOO, но рас уж нет - ладно.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Ну как, чисто?

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
CloseProcesses:
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwusb_cdcacm; system32\DRIVERS\ew_cdcacm.sys [X]
S3 hwusb_wwanecm; system32\DRIVERS\ew_wwanecm.sys [X]
2019-03-21 19:55 - 2019-03-21 20:34 - 000000000 ____D C:\Users\Алексей\AppData\Local\Comodo
2019-03-31 13:36 - 2019-02-07 22:33 - 000000000 ____D C:\ProgramData\Hotspot Shield
2019-03-31 13:05 - 2019-02-07 22:34 - 000000000 ____D C:\Program Files (x86)\Hotspot Shield
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [209]
AlternateDataStreams: C:\ProgramData\TEMP:E965A533 [151]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
CMD: SFC /scannow
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.

Сделал.
И что показывают результаты?

Порядок, осталось обновления установить.[QUOTE]Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2018-09-22 05:03:13
Microsoft .NET Framework 4.5.1 v.4.5.51078 [color=red][b]Внимание! [url=https://dotnet.microsoft.com/download/dotnet-framework-runtime/net47]Скачать обновления[/url][/b][/color][/QUOTE]Систему давно не обновляли, с того времени было несколько критических фиксов.
[QUOTE]WinRAR 5.40 (64-разрядная) v.5.40.0 [color=red][b]Внимание! [url=https://www.rarlab.com/download.htm]Скачать обновления[/url][/b][/color]
7-Zip 9.20[/QUOTE]Архиваторы тоже используются в нехороших целях:
[URL="https://www.anti-malware.ru/news/2019-02-21-1447/28944"]Дыра в WinRAR более 19 лет угрожала 500 миллионам пользователей[/URL].
[URL="https://www.securitylab.ru/news/498365.php"]Уязвимость в WinRAR активно эксплуатируется злоумышленниками[/URL].

[URL="https://www.anti-malware.ru/news/2018-05-10-1447/26202"]Критический баг в 7-Zip приводит к выполнению произвольного кода[/URL].
История последних версий, обновить точно стоит:[QUOTE]HISTORY of the 7-Zip
--------------------

19.00 2019-02-21
-------------------------
- Encryption strength for 7z archives was increased:
the size of random initialization vector was increased from 64-bit to 128-bit,
and the pseudo-random number generator was improved.
- Some bugs were fixed.


18.06 2018-12-30
-------------------------
- The speed for LZMA/LZMA2 compressing was increased by 3-10%,
and there are minor changes in compression ratio.
- Some bugs were fixed.
- The bug in 7-Zip 18.02-18.05 was fixed: there was memory leak in xz decoder.
- 7-Zip 18.02-18.05 used only one CPU thread for bz2 archive creation.


18.05 2018-04-30
-------------------------
- The speed for LZMA/LZMA2 compressing was increased
by 8% for fastest/fast compression levels and
by 3% for normal/maximum compression levels.
- 7-Zip now shows Properties (Info) window and CRC/SHA results window
as "list view" window instead of "message box" window.
- Some improvements in zip, hfs and dmg code.
- Previous versions of 7-Zip could work incorrectly in "Large memory pages" mode in
Windows 10 because of some BUG with "Large Pages" in Windows 10.
Now 7-Zip doesn't use "Large Pages" on Windows 10 up to revision 1709 (16299).
- The vulnerability in RAR unpacking code was fixed (CVE-2018-10115).
- Some bugs were fixed.[/QUOTE]
Уверены, что Java вообще нужна?[QUOTE]Java 8 Update 191 v.8.0.1910.12 [color=red][b]Внимание! [url=http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию и установите новую (jre-8u211-windows-i586.exe)^[/b][/color][/QUOTE]Удалите или, если нужна, обновите.

Архиваторы обновил, Яву удалил (не помню зачем ее ставил). Кстати, я пользуюсь обычно winrar-ом, который стоит в Total comander. А он, ведь, так и не обновился, как я понимаю.
По поводу Майкрософтовских обновлений - я пару раз пытался их установить, но каждый раз после этого комп не мог нормально загрузиться. И я откатывал назад. После этих 2-х неудачных попыток я перестал комп обновлять.
Думал, что такое связано было с тем, что у меня установлена пиратская 7-ка. А изначально стояла 8-ка. И на мой комп не предусмотрено обновлений для 7-ки. Хотя, мне Windows регулярно предлагает установить обновления/
Думаете стоит попробовать еще раз обновить?
В списке обновлений, которые предлагается обновить стоит много Microsoft .NET Framework. Мне их все скачивать? Или только последний вариант?
Если последний, то как определить - какой из них последний? Самый верхний в списке или самый нижний?

Просто кривая система, возможно, обновления не для конкретного компьютера, а для системы.

.Net все не нужно, качайте Offline installer - Runtime. Если бы система обновлялась автоматически, само бы установилось, что нужно

Offline installer - Runtime это что такое?
Чем это отличается от автоматического обновления Windows?

Offline installer - независимый установщик, ничего больше не подгружает из интернета.

А ссылку по которой его можно скачать дайте, пожалуйста.
Поискал в интернете и не нашел.

Ссылка в сообщении #14.