Вирусы conhost.exe winlogon.exe nvvsvc.exe и другие.

**Viktor95rus** · 17.05.2018, 13:33

Вирусы, трояны, через диспетчер задач видны процессы не выключаемые: conhost.exe; winlogon.exe; nvvsvc.exe; nvstreamsvc.exe; csrss.exe; nvxdsync.exe; crss.exe. Еще в сети видно другой компьютер подключенный DESKTOP-1KA4LV3

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 17.05.2018, 13:35

Уважаемый(ая) Viktor95rus, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 17.05.2018, 19:06

Здравствуйте,

HiJackThis (из каталога autologger)профиксить

Код:

O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Закачать ВСЕ при помощи Download Master - (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Закачать при помощи Download Master - (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Передать на удаленную закачку DM - (no file)
O18 - Protocol: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  MEGA (Pending) - {056D528D-CE28-4194-9BA3-BA2E9197FF8C} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  MEGA (Synced) - {05B38830-F4E9-4329-978B-1DD28605D202} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  MEGA (Syncing) - {0596C850-7BDD-4C9D-AFDF-873BE6890637} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  MEGA (Pending) - {056D528D-CE28-4194-9BA3-BA2E9197FF8C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  MEGA (Synced) - {05B38830-F4E9-4329-978B-1DD28605D202} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  MEGA (Syncing) - {0596C850-7BDD-4C9D-AFDF-873BE6890637} - (no file)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 ExecuteRepair(1);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

- Подготовьте лог AdwCleaner и приложите его в теме.

**Viktor95rus** · 18.05.2018, 17:43

пофиксил и прописал скрипт, все также в диспетчере задач так и весят winlogon, nvvsvc, csrss, nvsteamsvc, nvxdsync, conhost exe процессы

- - - - -Добавлено - - - - -

вот лог первый, и в сети теперь стало подключено 3 компьютера (DESKTOP-1KA4LV3; STUDY-LT; KEENETIC) !

SQ · 19.05.2018, 03:28

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Viktor95rus** · 19.05.2018, 04:36

...

SQ · 19.05.2018, 20:32

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
FF HKLM\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => not found
FF HKLM-x32\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => not found
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR HKU\S-1-5-21-838684018-1515696949-3782021895-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
File: C:\Program Files\OpenVPN\bin\openvpnserv2.exe
File: C:\Windows\System32\DRIVERS\anodlwfx.sys
File: C:\Windows\System32\Drivers\aqt3d17w.sys
File: C:\Windows\SysWOW64\Drivers\vwifikerneldrv.sys
ContextMenuHandlers1: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> No File
ContextMenuHandlers3: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> No File
ContextMenuHandlers4: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> No File
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [432]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [432]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [432]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [432]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [432]
AlternateDataStreams: C:\ProgramData\TEMP:10D14739 [490]
AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [376]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT [40]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [432]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [432]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:10D14739 [490]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:58A5270D [376]
AlternateDataStreams: C:\Users\Ильины\Application Data:NT [40]
AlternateDataStreams: C:\Users\Ильины\Application Data:NT2 [432]
AlternateDataStreams: C:\Users\Ильины\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Ильины\AppData\Roaming:NT2 [432]
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Проверьте файловую систему.

Код:

2018-05-18 19:09 - 2018-05-18 19:09 - 000000000 __SHD C:\found.001

**Viktor95rus** · 20.05.2018, 08:23

Ни чего не изменилось , все также висят процессы...

SQ · 20.05.2018, 23:18

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

**Viktor95rus** · 21.05.2018, 05:38

...

SQ · 21.05.2018, 07:35

Выполните скрипт в uVS:

Код:

;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
BREG
delref %SystemDrive%\PROGRAM FILES (X86)\1\UNINSTALL.EXE
delref %SystemDrive%\GOG GAMES\REUS\REUS.EXE
delref %SystemDrive%\GOG GAMES\REUS\UNINS000.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.123\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.149\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.99\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
restart

**Viktor95rus** · 21.05.2018, 07:58

скрипт в uVS выполнил, но в папке uVS не нашел ZOO ни папку , ни архив. Процессы в диспетчере также висят.

SQ · 22.05.2018, 08:30

Попробуйте временно удалить следующие программы через установку и удаления программ в панели управления:

Код:

Adguard (HKLM-x32\...\{685F6AB3-7C61-42D1-AE5B-3864E48D1035}) (Version: 6.2.437.2171 - Performix LLC) Hidden
Adguard (HKLM-x32\...\{99bd6331-9994-409c-940f-f0dd705422e8}) (Version: 6.2.437.2171 - Performix LLC)

**Viktor95rus** · 22.05.2018, 10:46

удалил, что можно еще сделать ?

SQ · 22.05.2018, 21:43

Проверьте систмный диск на наличие ошибок файловой системой в командной строке (cmd.exe):

Код:

chkdsk c: /f

**Viktor95rus** · 23.05.2018, 16:27

проверил, ни чего не изменилось

- - - - -Добавлено - - - - -

Все вроде бы , получилось. Проверил на всякий еще раз Malwarebytes, ни чего не нашел.

Огромное СПАСИБО !!!

Премного благодарен !

SQ · 23.05.2018, 22:05

В завершение:
1.

Пожалуйста, запустите adwcleaner.exe
В меню Настройки - Удалить AdwCleaner - выберите Удалить.
Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

Вирусы conhost.exe winlogon.exe nvvsvc.exe и другие. (заявка № 218971)

Опции темы