svchost.exe загружают процессор и постоянно пытается связаться с 37.59.58.122

**Skiff_S** · 08.10.2021, 09:43

Очень много активных процессов svchost.exe которые загружают процессор на 100%
И ещё Malware постоянно предупреждает о блокировке исходящего трафика svchost.exe на 37.59.58.122

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 08.10.2021, 09:45

Уважаемый(ая) Skiff_S, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 09.10.2021, 10:53

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files (x86)\NetShield Kit\cli.exe', '');
 QuarantineFile('C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe', '');
 QuarantineFile('C:\Program Files (x86)\Transmission\transmission-daemon.exe', '');
 DeleteFile('C:\Program Files (x86)\NetShield Kit\cli.exe', '64');
 DeleteFile('C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe', '64');
 DeleteFile('C:\Program Files (x86)\Transmission\transmission-daemon.exe', '64');
 DeleteService('Transmission');
 DeleteFileMask('c:\program files (x86)\netshield kit', '*', true);
 DeleteFileMask('c:\program files (x86)\transmission', '*', true);
 DeleteDirectory('c:\program files (x86)\netshield kit');
 DeleteDirectory('c:\program files (x86)\transmission');
 DeleteSchedulerTask('Eventer utilityS-1-5-21-1797226627-2148345677-2942997528-1001');
 DeleteSchedulerTask('IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473');
 DeleteSchedulerTask('NetShield Kit scheduled Autoupdate');
 DeleteSchedulerTask('NetShield Kit Self Repair');
 DeleteSchedulerTask('win-acme renew (acme-v02.api.letsencrypt.org)');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O4 - HKCU\..\StartupApproved\Run: [com.squirrel.WhatsApp.WhatsApp] = C:\Users\Jum Skiff\AppData\Local\WhatsApp\Update.exe --processStart "WhatsApp.exe" (file missing) (2021/10/04)
O15 - Trusted Zone: *.localhost
O15 - Trusted Zone: http://webcompanion.com
O17 - DHCP DNS 1: 185.201.47.44
O17 - DHCP DNS 2: 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{26afe8d0-e536-445a-9e0a-8ad2b1e9a381}: [NameServer] = 185.201.47.44
O17 - HKLM\System\CCS\Services\Tcpip\..\{26afe8d0-e536-445a-9e0a-8ad2b1e9a381}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{289a2bee-88d0-4706-ad7e-5969359c774c}: [NameServer] = 185.201.47.44
O17 - HKLM\System\CCS\Services\Tcpip\..\{289a2bee-88d0-4706-ad7e-5969359c774c}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{2e654b52-a9ac-4ac9-a08f-61c340c9cd1e}: [NameServer] = 185.201.47.44
O17 - HKLM\System\CCS\Services\Tcpip\..\{2e654b52-a9ac-4ac9-a08f-61c340c9cd1e}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{3b19f86c-727b-4129-a557-f6227281877e}: [NameServer] = 185.201.47.44
O17 - HKLM\System\CCS\Services\Tcpip\..\{3b19f86c-727b-4129-a557-f6227281877e}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{3fbbc785-9a1d-4888-878a-792d88f5c1c9}: [NameServer] = 185.201.47.44
O17 - HKLM\System\CCS\Services\Tcpip\..\{3fbbc785-9a1d-4888-878a-792d88f5c1c9}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{55b05445-8583-44f8-af1f-ec90099955fc}: [NameServer] = 185.201.47.44
O17 - HKLM\System\CCS\Services\Tcpip\..\{55b05445-8583-44f8-af1f-ec90099955fc}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{750f3d35-9bd8-4e78-9a71-1f206504d700}: [NameServer] = 185.201.47.44
O17 - HKLM\System\CCS\Services\Tcpip\..\{750f3d35-9bd8-4e78-9a71-1f206504d700}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{77363556-030b-4b22-89ad-a813a2356668}: [NameServer] = 185.201.47.44
O17 - HKLM\System\CCS\Services\Tcpip\..\{77363556-030b-4b22-89ad-a813a2356668}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{844864e8-8cd0-4820-889f-db0a2fc64824}: [NameServer] = 185.201.47.44
O17 - HKLM\System\CCS\Services\Tcpip\..\{844864e8-8cd0-4820-889f-db0a2fc64824}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{90df3590-cd18-4e03-9347-87fa649cc1af}: [NameServer] = 185.201.47.44
O17 - HKLM\System\CCS\Services\Tcpip\..\{90df3590-cd18-4e03-9347-87fa649cc1af}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{95bdc627-5688-4cbf-8afd-7342f74ad518}: [NameServer] = 185.201.47.44
O17 - HKLM\System\CCS\Services\Tcpip\..\{95bdc627-5688-4cbf-8afd-7342f74ad518}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{a72000c9-4ce6-4438-b1dd-e7f026b32a14}: [NameServer] = 185.201.47.44
O17 - HKLM\System\CCS\Services\Tcpip\..\{a72000c9-4ce6-4438-b1dd-e7f026b32a14}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{ab442856-ac35-4697-b6f2-49b04667005d}: [NameServer] = 185.201.47.44
O17 - HKLM\System\CCS\Services\Tcpip\..\{ab442856-ac35-4697-b6f2-49b04667005d}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{b8a8bc18-f9ea-450b-bf54-1e36ada57460}: [NameServer] = 185.201.47.44
O17 - HKLM\System\CCS\Services\Tcpip\..\{b8a8bc18-f9ea-450b-bf54-1e36ada57460}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{c2a39ccf-4666-4aa2-9796-b8f22cc7f493}: [NameServer] = 185.201.47.44
O17 - HKLM\System\CCS\Services\Tcpip\..\{c2a39ccf-4666-4aa2-9796-b8f22cc7f493}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{c4e90bb3-186a-489b-8306-240e68cb92ee}: [NameServer] = 185.201.47.44
O17 - HKLM\System\CCS\Services\Tcpip\..\{c4e90bb3-186a-489b-8306-240e68cb92ee}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{c9c3a21f-81b3-4efc-8dcd-e44033aa0de1}: [NameServer] = 185.201.47.44
O17 - HKLM\System\CCS\Services\Tcpip\..\{c9c3a21f-81b3-4efc-8dcd-e44033aa0de1}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{ccbc10d2-05e9-48dc-a1fc-0e0f4c8fc57b}: [NameServer] = 185.201.47.44
O17 - HKLM\System\CCS\Services\Tcpip\..\{ccbc10d2-05e9-48dc-a1fc-0e0f4c8fc57b}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{e9946c4b-8881-4d37-b2d6-ef155bf7f6c9}: [NameServer] = 185.201.47.44
O17 - HKLM\System\CCS\Services\Tcpip\..\{e9946c4b-8881-4d37-b2d6-ef155bf7f6c9}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{f792b97c-bdb5-11e8-8179-806e6f6e6963}: [NameServer] = 185.201.47.44
O17 - HKLM\System\CCS\Services\Tcpip\..\{f792b97c-bdb5-11e8-8179-806e6f6e6963}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{febe35d7-7267-4269-bf4c-dc04d7ccc029}: [NameServer] = 185.201.47.44
O17 - HKLM\System\CCS\Services\Tcpip\..\{febe35d7-7267-4269-bf4c-dc04d7ccc029}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [SearchList] = localdomain
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Skiff_S** · 11.10.2021, 04:17

Отчеты FRST.txt, Addition.txt в архиве Desktop.zip

- - - - -Добавлено - - - - -

Начал отправлять Qarantine.zip, в ответ получил сообщение что архив уже был отправлен.

**Vvvyg** · 11.10.2021, 09:56

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif]
CHR HKU\S-1-5-21-1797226627-2148345677-2942997528-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\JUMSKI~1\AppData\Local\Google\Drive\user_default\apdfllckaahabafndbhieahigkjlhalf_live.crx <не найдено>
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif]
ContextMenuHandlers1: [ANotepad++64] -> [CC]{B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> Нет файла
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Нет файла
AlternateDataStreams: C:\WINDOWS\System32:tdsrinu.gfc [5882]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [402]
HKU\S-1-5-21-1797226627-2148345677-2942997528-1001\...\StartupApproved\Run: => "Web Companion"
FirewallRules: [{FDC93322-6975-45A5-A84C-02D99D54049E}] => (Allow) C:\Program Files (x86)\NetShield Kit\cli.exe => Нет файла
FirewallRules: [{AF5CC0FC-AFBC-47F2-B115-4FFDDFF0FE1F}] => (Allow) C:\Program Files (x86)\NetShield Kit\cli.exe => Нет файла
FirewallRules: [{9F1F867D-39FE-41F6-93C2-D8223CA34CCA}] => (Allow) C:\Program Files (x86)\Transmission\transmission-qt.exe => Нет файла
FirewallRules: [{2B1A33AD-221A-485D-8773-7C23214D1188}] => (Allow) C:\Program Files (x86)\Transmission\transmission-qt.exe => Нет файла
FirewallRules: [{30045E8C-C854-4B88-825C-56C3FAA337F1}] => (Allow) C:\Program Files (x86)\Transmission\transmission-daemon.exe => Нет файла
FirewallRules: [{600A7F30-235B-42E7-AA6C-42ED178960C6}] => (Allow) C:\Program Files (x86)\Transmission\transmission-daemon.exe => Нет файла
FirewallRules: [{151A9B11-8F63-424B-9DD1-AFCE7DCCACF7}] => (Allow) C:\Program Files\Unity Hub\Unity Hub.exe => Нет файла
FirewallRules: [TCP Query User{650A5F36-BDB9-4DF9-A25C-8E0181926872}C:\program files\unity hub\unity hub.exe] => (Allow) C:\program files\unity hub\unity hub.exe => Нет файла
FirewallRules: [UDP Query User{4BF05603-0B4A-4609-B823-09BE7FB5C0CE}C:\program files\unity hub\unity hub.exe] => (Allow) C:\program files\unity hub\unity hub.exe => Нет файла
AV: Norton 360 (Enabled - Up to date) {30744133-1E94-7B35-F4A3-82A5AEF1CBAA}
FW: Norton 360 (Enabled) {084FC016-54FB-7A6D-DFFC-2B9050228CD1}
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

**Skiff_S** · 11.10.2021, 16:06

Fixlog от FRST

**Vvvyg** · 11.10.2021, 19:49

Сообщение от Vvvyg

Сообщите, что с проблемой.

Интересуюсь повторно.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**Skiff_S** · 12.10.2021, 02:19

Проблема с перегрузкой процессора и странным поведением svchost.exe решена.
Подскажите пожалуйста, в чём проблема была?

Спасибо вам огромное за помощь!!!

- - - - -Добавлено - - - - -

Без-имени-1.jpg

Гаразда реже, но всё же ломится за бугор svchost.exe

- - - - -Добавлено - - - - -

SecurityCheck.txt

**Vvvyg** · 12.10.2021, 11:01

Сообщение от Skiff_S

Подскажите пожалуйста, в чём проблема была?

Майнер.

Сообщение от Skiff_S

Гаразда реже, но всё же ломится за бугор svchost.exe

Все системные службы через этот процессработают, так что нормально.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Mozilla Firefox (x64 ru) v.92.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Yandex v.21.8.3.607 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.94.0.4606.71 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^

Обновите браузеры - и всё на этом.

svchost.exe загружают процессор и постоянно пытается связаться с 37.59.58.122 (заявка № 227232)

Опции темы