TCP/IP service application грузит процессор

[IuriiB]

Добрый день. Сначала был процесс "Утилита поиска строк GREP", которая грузила процессор, после удаления по мануалам с гугла появилась другая служба, с аналогичной проблемой. Помогите избавиться от этого вируса/майнера, пожалуйста.

[Info_bot]

Уважаемый(ая) IuriiB, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[IuriiB]

После перезагрузки ПК в диспетчере снова появился в процесс "Утилита поиска строк (GREP)"

[Vvvyg]

Transmission сами устанавливали? Удалите в любом случае.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{42fb2f6e-3758-4dbe-ac30-3ceeda9e7a11}: [NameServer] = 142.4.214.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{42fb2f6e-3758-4dbe-ac30-3ceeda9e7a11}: [NameServer] = 185.201.47.42
O17 - HKLM\System\CCS\Services\Tcpip\..\{7b3c42e9-ad10-434d-a654-7038c2c02761}: [NameServer] = 142.4.214.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{7b3c42e9-ad10-434d-a654-7038c2c02761}: [NameServer] = 185.201.47.42
O17 - HKLM\System\CCS\Services\Tcpip\..\{b0555a3b-3576-4a46-940c-da20c0ba5e2a}: [NameServer] = 142.4.214.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{b0555a3b-3576-4a46-940c-da20c0ba5e2a}: [NameServer] = 185.201.47.42
O17 - HKLM\System\CCS\Services\Tcpip\..\{d571bf91-bf77-4467-a604-d494421389b7}: [NameServer] = 142.4.214.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{d571bf91-bf77-4467-a604-d494421389b7}: [NameServer] = 185.201.47.42
O2 - HKLM\..\BHO: YoutubeDownloader - {C283F2F5-68B0-4C6A-80A4-F2C4A5856550} - C:\Program Files (x86)\vELkaMebpIE\ts5GhdkOQ.dll (file missing)
O2-32 - HKLM\..\BHO: YoutubeDownloader - {C283F2F5-68B0-4C6A-80A4-F2C4A5856550} - C:\Program Files (x86)\vELkaMebpIE\kDkXftfg1.dll (file missing)
O22 - Task: AdShield scheduled autoupdate - C:\Program Files (x86)\AdShield\updater.exe -self-upgrade (file missing)
O22 - Task: Extension_game - C:\Users\Den\AppData\Roaming\Extension_game\python\pythonw.exe "load.pyc" ml2 (file missing)
O22 - Task: Extension_game2 - C:\Users\Den\AppData\Roaming\Extension_game\python\pythonw.exe "load.pyc" app (file missing)

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

[IuriiB]

Здравствуйте, пофиксил строки, но не все. Большая часть строк отсутствовала в программе. Образ автозапуска приложил.

[Vvvyg]

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
deltmp
regt 39
regt 27
delall %SystemDrive%\PROGRAM FILES (X86)\TRANSMISSION\TRANSMISSION-DAEMON.EXE
deldir %SystemDrive%\PROGRAM FILES (X86)\TRANSMISSION
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\USERS\DEN\APPDATA\LOCAL\TEAMSPEAK 3 CLIENT\TS3CLIENT_WIN64.EXE
del %SystemDrive%\USERS\DEN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\TEAMSPEAK 3 CLIENT.LNK
del %SystemDrive%\USERS\DEN\DESKTOP\TEAMSPEAK 3 CLIENT.LNK
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRA~1\COMMON~1\DETERM~1\DNE\DNEI64X.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\VELKAMEBPIE\JWJOWCD.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
apply
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

Если проблема повторится, не завершая процесс, который нагружает процессор, сделайте новый полный образ автозапуска uVS. в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку.

[IuriiB]

Все сделал как написали, спасибо. Посмотрю как будет работать.