ntdll.dll загружает процессор [not-a-virus:AdWare.Win32.Agent.kbtm, not-a-virus:HEUR:Downloader.Win32.AdLoad.gen ]

[Rod V]

Здравствуйте.
ntdll.dll загружает процессор примерно на 50%. Сразу после загрузки все ОК, но через пару минут начинает грузить. При этом сам svchost в диспетчере задач не отображается, посмотреть удалось после установки ProcessExplorer. При попытке перезагрузить, "убить" и т.д. - отказ в доступе.

Спасибо!

[Info_bot]

Уважаемый(ая) Rod V, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mrak74]

Здравствуйте !!!

Пофиксите в HijackThis:

Код:

O4 - MSConfig\startupreg:  [2T175YN1QK] "C:\Program Files\RAC3D57KZR\RAC3D57KZ.exe" (2017/01/08)
O4 - MSConfig\startupreg:  [8MQFK1Y1V9] "C:\Program Files\Y1MEDWSM0P\Y1MEDWSM0.exe" (2017/01/08)
O4 - MSConfig\startupreg:  [N280EUI8SN] "C:\Program Files\ACBBWWG4OE\L0O0B4GT5.exe" (2017/01/08)
O4 - MSConfig\startupreg:  [NFRCG17QDC] "C:\Program Files\B5BD8B3TWT\B5BD8B3TW.exe" (2017/01/08)
O4 - MSConfig\startupreg:  [OWXI0TINI0] "C:\Program Files\44JBF8DPK7\ZLS03JF0U.exe" (2017/01/08)
O4 - MSConfig\startupreg:  [PF02XM9EHV] "C:\Program Files\C7QBF8QI7G\C7QBF8QI7.exe" (2017/01/08)
O4 - MSConfig\startupreg:  [apphide] C:\Program Files\baidu\uc.exe (2017/01/08)
O4 - MSConfig\startupreg:  [svchost0] C:\Program Files\baidu\uc.exe (2017/01/08)

Выполните скрипт в AVZ:

Код:

begin
  ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\Program Files\Common Files\FixDantouch\uninstall.dat','');
  QuarantineFile('C:\Program Files\Common Files\FixDantouch\uninstall.exe','');
  QuarantineFile('C:\Users\Rodion\AppData\Local\Hostinstaller\3964591409_installcube.exe','');
  QuarantineFile('C:\Users\Rodion\AppData\Roaming\Adobe\Manager.exe','');
  QuarantineFile('C:\ProgramData\vCore\VCore.exe','');
  DeleteFile('C:\Program Files\C7QBF8QI7G\C7QBF8QI7.exe','32');
  DeleteFile('C:\Program Files\44JBF8DPK7\ZLS03JF0U.exe','32');
  DeleteFile('C:\Program Files\B5BD8B3TWT\B5BD8B3TW.exe','32');
  DeleteFile('C:\Program Files\baidu\uc.exe','32');
  DeleteFile('C:\Program Files\Y1MEDWSM0P\Y1MEDWSM0.exe','32');
  DeleteFile('C:\Program Files\RAC3D57KZR\RAC3D57KZ.exe','32');
  DeleteFile('C:\ProgramData\vCore\VCore.exe','32');
  DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\VCore','32');
  DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Multimedia\Manager','32');
  DeleteFile('C:\Users\Rodion\AppData\Local\Hostinstaller\3964591409_installcube.exe','32');
  DeleteFile('C:\Windows\system32\Tasks\Soft installer','32');
  DeleteFile('C:\Users\Rodion\appdata\roaming\adobe\manager.exe','32');
  DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2T175YN1QK','command');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\8MQFK1Y1V9','command');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\apphide','command');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\N280EUI8SN','command');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NFRCG17QDC','command');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\OWXI0TINI0','command');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PF02XM9EHV','command');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\svchost0','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин

- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Rod V]

Всё устаканилось, не грузит.
Огромное спасибо!

- - - - -Добавлено - - - - -

Поторопился), после перезагрузки ситуация повторилась.

[mrak74]

Выполните скрипт в AVZ:

Код:

begin
 DeleteFile('C:\ProgramData\Hotfresh\Hotfresh.exe','32');
 DeleteService('Hotfresh');
ExecuteSysClean;
ExecuteRepair(4);
RebootWindows(true);
end.

После перезагрузки.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Rod V]

Все сделал.

[mrak74]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
+
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Rod V]

Сделал.

- - - - -Добавлено - - - - -



Забыл заархивировать.

[mrak74]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  HKLM\...\Run: [] => [X]
  HKU\S-1-5-21-1587854552-22578691-535612998-1000\...\MountPoints2: {43317b2f-02a2-11e6-9e02-002186085b79} - I:\AutoRun.exe
  HKU\S-1-5-21-1587854552-22578691-535612998-1000\...\MountPoints2: {43317b54-02a2-11e6-9e02-002186085b79} - I:\AutoRun.exe
  HKU\S-1-5-21-1587854552-22578691-535612998-1000\...\MountPoints2: {e1a01c83-b75b-11e6-9bac-001e685cd61f} - H:\AutoRun.exe
  HKU\S-1-5-21-1587854552-22578691-535612998-1000\...\MountPoints2: {fa76c4cf-eee0-11e5-b548-001e685cd61f} - G:\SETUP.EXE
  GroupPolicy: Restriction - Chrome <======= ATTENTION
  GroupPolicy\User: Restriction ? <======= ATTENTION
  CHR Extension: (Google*Документы офлайн) - C:\Users\Rodion\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2017-01-08]
  Task: {03D6F892-88CC-49FB-9A5E-BF276F53E1AA} - \Update Service for Youtube AdBlock -> No File <==== ATTENTION
  Task: {4CDD182B-468A-4FDD-B391-9740AD174394} - \Soft installer -> No File <==== ATTENTION
  Task: {6D196E6C-5B7D-4532-AE73-E0E83F2F12B8} - \Microsoft\Windows\Multimedia\Manager -> No File <==== ATTENTION
  Task: {9F9D8AE4-09CE-4A58-AECD-FAFA9BC24166} - \Microsoft\Windows\Media Center\VCore -> No File <==== ATTENTION
  Task: {A95A6AEF-3D34-4EEE-98A2-53DFC5E03FEF} - \Update Service for Youtube AdBlock2 -> No File <==== ATTENTION
  EmptyTemp:
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Rod V]

Сделал, извините что не сразу.

[mrak74]

Что с проблемой ?

[Rod V]

Пока без изменений.

[mrak74]

svchost в диспетчере задач не отображается, посмотреть удалось после установки ProcessExplorer.

В ProcessExplorer-е сохраните лог процессов, в тхт, пометьте нужный процесс каким ни будь образом, подчеркните, шрифт смените, приложите лог ProcessExplorer-а, сюда в тему.

[Rod V]

Вот он, самая верхняя строка, сортировка по загрузке.

- - - - -Добавлено - - - - -

Сделал скрин Properties, так поинформативнее.
dll-ка поменялась, была ntdll

[mrak74]

https://technet.microsoft.com/ru-ru/.../bb643196.aspx

[Rod V]

Спасибо, прочитал.
Я не очень понял, там речь вроде идет о Windows Server и установленном WSUS, а у меня Виста?

[mrak74]

Я не очень понял, там речь вроде идет о Windows Server и установленном WSUS, а у меня Виста?

Описание
Об этой проблеме может свидетельствовать интенсивное использование процессора процессом wuauserv, а также замедления и задержки в работе служб рабочей станции или сервера. Данная проблема не связана с WSUS.

Не связана с WSUS. Windows обновится хочет, обновит его по максимум через Центр обновлений Windows. С вирусами проблема не связана.

- - - - -Добавлено - - - - -

02-11-2016 00:28:11 Запланированная контрольная точка
03-11-2016 20:52:17 Запланированная контрольная точка
05-11-2016 01:39:22 Центр обновления Windows
05-11-2016 17:23:26 Запланированная контрольная точка
18-11-2016 03:00:47 Центр обновления Windows
19-11-2016 21:34:41 Запланированная контрольная точка
21-11-2016 21:11:39 Центр обновления Windows
23-11-2016 14:40:11 Запланированная контрольная точка
24-11-2016 20:25:35 Запланированная контрольная точка
25-11-2016 18:05:20 Запланированная контрольная точка
25-11-2016 19:59:27 Центр обновления Windows
27-11-2016 10:39:52 Запланированная контрольная точка
28-11-2016 08:24:04 Запланированная контрольная точка
29-11-2016 07:34:22 Центр обновления Windows
30-11-2016 00:10:29 Запланированная контрольная точка
01-12-2016 03:00:19 Центр обновления Windows
02-12-2016 00:21:26 Запланированная контрольная точка
03-12-2016 17:49:23 Запланированная контрольная точка
04-12-2016 13:34:56 Центр обновления Windows
07-12-2016 18:03:18 Запланированная контрольная точка
08-12-2016 07:10:40 Запланированная контрольная точка
08-12-2016 18:42:10 Центр обновления Windows
12-12-2016 07:39:24 Центр обновления Windows
13-12-2016 18:29:20 Запланированная контрольная точка
14-12-2016 07:25:11 Запланированная контрольная точка

Из Вашего лога FRST. Что-то частенько лезет обновляться, проверьте заодно параметры настроек обновлений.

[Rod V]

Понял, спасибо, в настройках обновлений никакого криминала не увидел, агент Цента обновления Windows стоит последний. Остановить службу Центра Обновлений не удалось (хотел перезапустить), но после попытки грузить ЦП перестало. Я видел, что очень много отказов при попытке обновиться или скачать определения Microsoft security essentials. Может быть это связано с прекращением поддержки Висты?

[mrak74]

Может быть это связано с прекращением поддержки Висты?

Очень даже может быть. При наличии реальной лицензии я бы на Вашем месте не постеснялся позвонить в Microsoft с данным вопросом.

[Rod V]

Да, лицензия абсолютно реальная, это ноутбук с предустановленной системой. Наверное так и поступлю.
Большое спасибо Вам за помощь!