svchost.exe грузит процессор [not-a-virus:RiskTool.Win32.Agent.andj ]

**Ольга Дрягина** · 21.03.2017, 13:52

Добрый день!

Во время загрузки файлов с просторов интернета подцепился "мусор", хром потонул в рекламе, замедлилась работа всей системы, установились надстройки и мнимые ярлыки на рабочий стол. Запустила сканирование касперским. С первого раза ничего не обнаружил. Запустила drweb. Нашел трояны, вылечил. Перезагрузилась, реклама не исчезла, лучше не стало. Удалила хром через cclkeaner. Запустила еще раз полную проверку касперским. Нашел что-то, вылечил. Перезагрузилась. Зашла в эксплоер, скачала хром, не установился по причине ошибки. Зашла в безопасный режим, запустила там касперского и drweb. Вернулась в обычный режим. Стал работать быстрее, установился хром. После этого рекламы почти нет (один раз что-то "вылезло"), но висит все очень сильно. В диспетчере загрузка цп 70-100% В основном память и wg жрут свхост и трастединсталлер.

Спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 21.03.2017, 13:55

Уважаемый(ая) Ольга Дрягина, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Сомнение** · 22.03.2017, 10:36

Здравствуйте!

Вам необходимо:

1. Выполнить следующий скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\users\helga\appdata\roaming\aswast\python\pythonw.exe');
 TerminateProcessByName('c:\program files (x86)\filter2\2\cppwindowsservice.exe');
 StopService('netfilter2');
 StopService('CppWindowsService');
 QuarantineFile('C:\Users\Helga\AppData\Local\wupdate\wupdate.exe', '');
 QuarantineFile('C:\Users\Helga\AppData\Roaming\aswast\app.py', '');
 QuarantineFile('C:\Users\Helga\AppData\Roaming\aswast\ml.py', '');
 QuarantineFile('C:\Windows\system32\drivers\netfilter2.sys', '');
 QuarantineFile('C:\Users\Helga\AppData\Roaming\aswast\python\DLLs\_ctypes.pyd', '');
 QuarantineFile('c:\users\helga\appdata\roaming\aswast\python\pythonw.exe', '');
 QuarantineFile('c:\program files (x86)\filter2\2\cppwindowsservice.exe', '');
 DeleteFile('C:\Users\Helga\AppData\Roaming\aswast\python\DLLs\_ctypes.pyd', '32');
 DeleteFile('C:\Program Files (x86)\filter2\2\CppWindowsService.exe', '32');
 DeleteFile('C:\Windows\system32\drivers\netfilter2.sys', '32');
 DeleteFile('C:\Users\Helga\AppData\Roaming\aswast\python\pythonw.exe', '32');
 DeleteFile('C:\Users\Helga\AppData\Roaming\aswast\ml.py', '32');
 DeleteFile('C:\Users\Helga\AppData\Roaming\aswast\app.py', '32');
 DeleteFile('C:\Users\Helga\AppData\Local\wupdate\wupdate.exe', '32');
 DeleteService('netfilter2');
 DeleteService('CppWindowsService');
 DeleteFileMask('C:\Users\Helga\AppData\Roaming\aswast', '*', true);
 DeleteFileMask('C:\Users\Helga\AppData\Local\wupdate', '*', true);
 DeleteDirectory('C:\Users\Helga\AppData\Roaming\aswast');
 DeleteDirectory('C:\Users\Helga\AppData\Local\wupdate');
 DeleteFileMask('c:\program files (x86)\filter2', '*', true);
 DeleteDirectory('c:\program files (x86)\filter2');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'aswast');
 ExecuteFile('schtasks.exe', '/delete /TN "aswast" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "aswast2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "wupdate" /F', 0, 15000, true);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер будет перезагружен.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху данной темы.

2. Перетащите лог Check_Browsers_LNK.log из папки с AutoLogger'ом на утилиту ClearLNK, как показано на картинке.
Лог результата работы программы прикрепите в ответном письме.

3. Сделайте свежий лог AutoLogger'a.

**Ольга Дрягина** · 22.03.2017, 12:17

Выполнено.

**Сомнение** · 22.03.2017, 16:26

Что с проблемой ?

**Ольга Дрягина** · 25.03.2017, 12:16

Спасибо! Быстродействие улучшилось.

Вылезла другая проблема - Trojan.JS.Small.ci/ Касперский постоянно блокирует его при работе в хроме. Если открываю интрнет эксплоер - молчит.

Мне нужно создать другую тему с обновленными логами?

**Сомнение** · 26.03.2017, 14:41

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Ольга Дрягина** · 26.03.2017, 22:48

Готово.

**Сомнение** · 27.03.2017, 09:59

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
2017-03-19 15:50 - 2017-03-19 15:50 - 00000000 ____D C:\Users\Helga\.zaxargamesteam
2017-03-19 15:49 - 2017-03-19 15:49 - 00000000 ____D C:\Users\Helga\.ZaxarGameBrowser
2017-03-15 16:53 - 2017-03-15 16:53 - 00000000 ____D C:\Users\Helga\AppData\Local\Tempzxpsign0f194bcfb0e7f574
2017-03-15 16:30 - 2017-03-15 16:30 - 00000000 ____D C:\Users\Helga\AppData\Local\Tempzxpsign0b444b87e3cc2e18
2017-03-15 16:25 - 2017-03-15 16:25 - 00000000 ____D C:\Users\Helga\AppData\Local\Tempzxpsignb782b741c5134816
2017-03-15 16:25 - 2017-03-15 16:25 - 00000000 ____D C:\Users\Helga\AppData\Local\Tempzxpsigna3492502e6dbc922
2017-02-28 16:57 - 2017-02-28 16:57 - 00000000 ____D C:\Users\Helga\AppData\Local\Tempzxpsignaaef6334ab96fa94
2017-02-28 16:56 - 2017-02-28 16:56 - 00000000 ____D C:\Users\Helga\AppData\Local\Tempzxpsignbccac134709dd582
2017-02-28 16:56 - 2017-02-28 16:56 - 00000000 ____D C:\Users\Helga\AppData\Local\Tempzxpsign819a4e5625d69ba6
2017-02-28 16:32 - 2017-02-28 16:32 - 00000000 ____D C:\Users\Helga\AppData\Local\Tempzxpsign661c56181f9d964f
2017-02-28 16:18 - 2017-02-28 16:18 - 00000000 ____D C:\Users\Helga\AppData\Local\Tempzxpsign941d8479a417ab04
2017-02-28 16:12 - 2017-02-28 16:12 - 00000000 ____D C:\Users\Helga\AppData\Local\Tempzxpsign8e91921823d243b2
2017-02-28 15:59 - 2017-02-28 15:59 - 00000000 ____D C:\Users\Helga\AppData\Local\Tempzxpsigncb2b45ed7ad5fcc2
2017-02-28 15:59 - 2017-02-28 15:59 - 00000000 ____D C:\Users\Helga\AppData\Local\Tempzxpsign19bbeccb14aa6a2b
2017-02-28 15:58 - 2017-02-28 15:58 - 00000000 ____D C:\Users\Helga\AppData\Local\Tempzxpsign879b1e91ebe5efd4
2017-02-28 15:56 - 2017-02-28 15:56 - 00000000 ____D C:\Users\Helga\AppData\Local\Tempzxpsignb778ebbea2239ae9
2017-02-28 15:56 - 2017-02-28 15:56 - 00000000 ____D C:\Users\Helga\AppData\Local\Tempzxpsign7c5fa840b0b5b65b
2017-02-22 13:54 - 2017-02-22 13:54 - 00000000 ____D C:\Users\Helga\AppData\Local\Tempzxpsigne273c426e6eca1ca
2017-02-22 13:54 - 2017-02-22 13:54 - 00000000 ____D C:\Users\Helga\AppData\Local\Tempzxpsignd50c6dd37ae4b33c
2017-02-22 13:54 - 2017-02-22 13:54 - 00000000 ____D C:\Users\Helga\AppData\Local\Tempzxpsign509c1833887345f5
2017-01-31 17:39 - 2017-01-31 17:39 - 00000000 ____D C:\Users\Helga\AppData\Local\Tempzxpsign97930521072ccd71
2017-01-31 16:40 - 2017-01-31 16:40 - 00000000 ____D C:\Users\Helga\AppData\Local\Tempzxpsign954e9070ac4ffe6d
2017-01-31 16:40 - 2017-01-31 16:40 - 00000000 ____D C:\Users\Helga\AppData\Local\Tempzxpsign759580d1c83550e0
2017-01-31 16:39 - 2017-01-31 16:39 - 00000000 ____D C:\Users\Helga\AppData\Local\Tempzxpsignb8eb7a80be166d36
2017-01-31 16:38 - 2017-01-31 16:38 - 00000000 ____D C:\Users\Helga\AppData\Local\Tempzxpsigncddf127ad307dd48
2017-01-31 16:38 - 2017-01-31 16:38 - 00000000 ____D C:\Users\Helga\AppData\Local\Tempzxpsign52d75d90bd7c7efb
Task: {0E3801F1-5D3E-4AF4-AE1C-ACD04B21E55E} - \Render Standart Helper -> No File <==== ATTENTION
Task: {451B957D-1F30-4C17-8C8A-23583DF6FCA4} - \Translator Standart Manager -> No File <==== ATTENTION
Task: {5690247D-4B0F-4E2A-B559-6FADAF4ED513} - \Command Additional Helper -> No File <==== ATTENTION
Task: {E361FAAB-BC67-4A7F-89E6-C298A8E501B7} - \Microsoft\Windows\PMS\PMS -> No File <==== ATTENTION
Task: {FB7FE717-F05D-4E8B-8C2E-5AACFAB7E94D} - \KMSAutoNet -> No File <==== ATTENTION
EmptyTemp:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**CyberHelper** · 27.03.2017, 10:09

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 6
В ходе лечения обнаружены вредоносные программы:
1. c:\program files (x86)\filter2\2\cppwindowsservice.exe - not-a-virus:RiskTool.Win32.Agent.andj
2. c:\users\helga\appdata\roaming\aswast\app.py - not-a-virus:AdWare.Python.PBot.r

svchost.exe грузит процессор [not-a-virus:RiskTool.Win32.Agent.andj ] (заявка № 210435)

Опции темы