Вирусы conhost.exe, csrss.exe, winlogon.exe и другие

[Олег Овчинников]

Добрый вечер! Недавно я столкнулся с проблемой: в диспетчере задач появились подозрительные процессы с указанными в заголовке именами, однако с пустыми полями "Пользователь" и "Описание". Открыть место их расположения или завершить невозможно, через поиск находит только стандартные процессы Windows (просмотр скрытых файлов и папок включен). Одновременно с этим загрузка ЦП критическая - от 70 до 100%, в браузере самопроизвольно открываются рекламные вкладки, также на большинстве страниц (кроме https) при клике в любом месте вылезает всплывающее окно с рекламой. Блокировка всплывающих окон в браузере не помогает. Заразу не обнаруживают ни KVRT, ни CureIt!, бессилен оказался и Norton. HiJackThis обнаруживает изменения, но после их удаления и перезагрузки они появляются снова. Есть ли возможность это вылечить без сноса ОС? Логи с Autologger и HiJackThis прикрепляю.

UPD: Советы, которые давали хелперы этого сайта другим пользователям, не помогли.

[Info_bot]

Уважаемый(ая) Олег Овчинников, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Не боритесь с системными файлами, убьёте систему.

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>> [MASK] "C:\Users\Наталья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndех.lnk"          -> ["C:\Users\Наталья\AppData\Local\Yandex\browser.bat"  =>> --"hxxp://dacsearch.ru"]

Отчёт о работе прикрепите.

Сделайте лог Malwarebytes AdwCleaner.

[Олег Овчинников]

Отчитываюсь о проделанной работе.
1)Запустил рекомендованную Вами программу с кодом. Отчет прикрепляю ниже;
2)С помощью программы SpyHunter удалось обнаружить и почистить (вручную) элементы реестра, где прописались малвари, и их файлы в папке Documents and Settings;
3)Запустил AdwCleaner и провел очистку. Отчет прикрепляю ниже.


Итог: проблема не решена. Все та же бешеная нагрузка на ЦП, рекламные вкладки в браузере, всплывающие при клике в любую область окна и характерное мерцание экрана как симптом присутствия шпиона. Подозрительные процессы, предположительно маскирующиеся под системные и не поддающиеся обнаружению и удалению, также остались. Более 50% ресурсов ЦП потребляет svchost.exe, но системный (находится в system32). Отчеты с AdwCleaner и ClearLNK, равно как и новые логи, если они нужны, прикрепляю к сообщению.

[Vvvyg]

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

[Олег Овчинников]

Добрый вечер!

Отчитываюсь:

1)Ещё до получения Вашего сообщения запускал программу AdwCleaner, но она ничего не обнаружила. Не обнаружила и в этот раз. Логи прикрепляю.
2)Программа WiperSoft обнаружила зловредов в реестре и в папках браузера. Почистил, после этого проверил Нортоном. Последний обнаружил и удалил несколько вредоносных программ.
3)Почистил куки и кэш браузера.

Итог:

1)Реклама при клике в любую область окна не выскакивает; также нет мерцания экрана, характерного для шпионов. Тем не менее, рекламные вкладки иногда открываются сами по себе, хоть и реже;
2)Нагрузка на ЦП упала. svchost.exe все так же потребляет 50% ресурсов ЦП, однако браузеры уже не занимают оставшиеся 50. Компьютер не зависает намертво.
3)При просмотре диспетчера задач без отображения процессов всех пользователей системные процессы все так же имеют пустые поля "Пользователь" и "Описание" и не поддаются обнаружению (ПКМ==>Открыть место расположения файла ни к чему не приводит).
При отображении процессов всех пользователей эти поля заполняются, но процессы дублируются. Правда, в этом случае они все так же находятся в папке system32, причём все буквы - на латинице, и процесс действительно системный. Хз, является ли это багом диспетчера задач, или же данные процессы - все же трояны. Также не уверен, является ли такое потребление ресурсов процессом svchost.exe нормальным (сам процесс - системный, находится в папке system32, не-латинских букв в названии нет).
Высылаю новые логи и отчет с AdwCleaner.

[Vvvyg]

2)Нагрузка на ЦП упала. svchost.exe все так же потребляет 50% ресурсов ЦП, однако браузеры уже не занимают оставшиеся 50.

Установите обновление системы: Installing and searching for updates is slow and high CPU usage occurs in Windows 7 and Windows Server 2008 R2 и вслед за ним эти:
https://support.microsoft.com/en-us/kb/3138612
https://support.microsoft.com/en-us/kb/3145739

3)При просмотре диспетчера задач без отображения процессов всех пользователей системные процессы все так же имеют пустые поля "Пользователь" и "Описание" и не поддаются обнаружению (ПКМ==>Открыть место расположения файла ни к чему не приводит).

Это нормально.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

[Олег Овчинников]

Прикрепляю отчет.
Установщик обновлений почему-то не хочет работать. При поиске обновлений просто зависает. Полоска двигается, но ничего не происходит в течении часа и больше. Но остальные программы работают исправно.
Загрузка ЦП упала значительно.
Тем не менее, рекламные вкладки продолжают открываться. Есть ли лечение этой проблемы?

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=818409
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B0733DB4D-4457-4E09-83E7-65A5E31CAC16%7D&gp=811041
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Наталья\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-12-30]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Наталья\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-12-30]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Наталья\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-12-30]
FF SearchPlugin: C:\Users\Наталья\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\mailru.xml [2016-12-30]
CHR Extension: (No Name) - C:\Users\Наталья\AppData\Local\Call Web\Component [2017-01-02]
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
CHR Extension: (Tampermonkey) - C:\Users\Наталья\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-01-05]
CHR Extension: (Deal 4 Us) - C:\Users\Наталья\AppData\Local\Google\Chrome\User Data\Default\Extensions\hhjchhljdoccgihhmkmoefiegblmlekk [2015-05-29]
OPR Extension: (Tampermonkey) - C:\Users\Наталья\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-12-30]
OPR Extension: (green game) - C:\Users\Наталья\AppData\Roaming\Opera Software\Opera Stable\Extensions\fdjfnhemcmjbjgbhngpabpfdkifonajj [2015-04-04]
OPR Extension: (green game) - C:\Users\Наталья\AppData\Roaming\Opera Software\Opera Stable\Extensions\hhjchhljdoccgihhmkmoefiegblmlekk [2015-05-29]
OPR Extension: (green game) - C:\Users\Наталья\AppData\Roaming\Opera Software\Opera Stable\Extensions\jlipcaflaocihnmlhnhcfombgmmfglho [2015-05-29]
OPR Extension: (green game) - C:\Users\Наталья\AppData\Roaming\Opera Software\Opera Stable\Extensions\kljbbcnooaklhpifalnihdiofoahmmjj [2015-03-30]
OPR Extension: (green game) - C:\Users\Наталья\AppData\Roaming\Opera Software\Opera Stable\Extensions\pkijdmeepjhpenmighhaodgfoogncnlk [2015-04-04]
U0 aswVmm; no ImagePath
2017-01-05 14:39 - 2017-01-05 14:39 - 00000000 ____D C:\15d4a4161e12fb62ad661fb2eb76
2017-01-04 16:49 - 2017-01-04 16:50 - 00000000 ____D C:\c5723d67772207fdf60eb9338006
2017-01-04 15:55 - 2017-01-04 15:56 - 00000000 ____D C:\77764e1741a32ac6c831a883f5f16521
2017-01-04 14:53 - 2017-01-04 14:54 - 00000000 ____D C:\715a0294782819807683
2015-03-30 12:30 - 2015-03-30 12:30 - 0000016 _____ () C:\ProgramData\mntemp
Task: {10F527DD-2E07-4D5F-9B50-BAE449EE237D} - System32\Tasks\deal_4_us_helper_service => C:\Program Files (x86)\Deal 4 Us\deal_4_us_helper_service.exe <==== ATTENTION
Task: {56371E27-076B-4676-8CB0-4A59A6580A48} - \06e5564e-e86b-4d51-87e9-f10d361cb872-11 -> No File <==== ATTENTION
Task: {60424D45-4CC7-4993-95C5-9EF4BB48F8A1} - System32\Tasks\{1C9911BA-3849-4D58-8757-96C2CA70ED5D} => pcalua.exe -a J:\re4\setup.exe -d J:\re4
Task: {87A6FB9B-CBBA-40BD-96E0-5936153BC183} - \worldtradereklama -> No File <==== ATTENTION
Task: {887FD81A-B96D-4B83-AB2C-5527195C8394} - System32\Tasks\06e5564e-e86b-4d51-87e9-f10d361cb872-1-6 => C:\Program Files (x86)\Lights Cinema 1.3betaV11.03\06e5564e-e86b-4d51-87e9-f10d361cb872-1-6.exe <==== ATTENTION
Task: {A2985E48-2CE2-43F3-87DA-5285014F6CCA} - \Call Web -> No File <==== ATTENTION
Task: {B372383C-4194-47B9-BB0C-6AB16082F0D4} - \06e5564e-e86b-4d51-87e9-f10d361cb872-1-7 -> No File <==== ATTENTION
Task: {CCC71EAA-CCA7-4701-A67F-F08D2CCC50F4} - \06e5564e-e86b-4d51-87e9-f10d361cb872-5 -> No File <==== ATTENTION
Task: {EC06F8BB-3690-40BA-A52D-F2FFB5A72C95} - System32\Tasks\perfectsidecom => Chrome.exe hxxp://perfectsidecom.ru/dreamsm
Task: C:\Windows\Tasks\06e5564e-e86b-4d51-87e9-f10d361cb872-1-6.job => C:\Program Files (x86)\Lights Cinema 1.3betaV11.03\06e5564e-e86b-4d51-87e9-f10d361cb872-1-6.exe <==== ATTENTION
Task: C:\Windows\Tasks\06e5564e-e86b-4d51-87e9-f10d361cb872-1-7.job => C:\Program Files (x86)\Lights Cinema 1.3betaV11.03\06e5564e-e86b-4d51-87e9-f10d361cb872-1-7.exe <==== ATTENTION
Task: C:\Windows\Tasks\06e5564e-e86b-4d51-87e9-f10d361cb872-10_user.job => C:\Program Files (x86)\Lights Cinema 1.3betaV11.03\06e5564e-e86b-4d51-87e9-f10d361cb872-10.exe <==== ATTENTION
Task: C:\Windows\Tasks\06e5564e-e86b-4d51-87e9-f10d361cb872-11.job => C:\Program Files (x86)\Lights Cinema 1.3betaV11.03\06e5564e-e86b-4d51-87e9-f10d361cb872-11.exe <==== ATTENTION
Task: C:\Windows\Tasks\bL2Jh92UQKIWtex3G2.job => C:\Users\�������\AppData\Roaming\bL2Jh92UQKIWtex3G2.exe <==== ATTENTION
Task: C:\Windows\Tasks\deal_4_us_helper_service.job => C:\Program Files (x86)\Deal 4 Us\deal_4_us_helper_service.exe <==== ATTENTION
Task: C:\Windows\Tasks\GRZPV.job => C:\Users\�������\AppData\Roaming\GRZPV.exe <==== ATTENTION
MSCONFIG\startupreg: mailruhomesearch => "C:\Users\Наталья\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe" --pr_deferred
FirewallRules: [{526F4C95-4161-4592-A195-570D055F584C}] => C:\Users\Наталья\AppData\Local\Amigo\Application\amigo.exe
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой.

[Олег Овчинников]

Проблема решена, большое Вам спасибо!
Прикрепляю отчет.