Безымянный процесс грузит процессор

**Эрик** · 23.02.2018, 07:00

Здравствуйте. Безымянный процесс грузит процессор когда сеть включена. Процессор ссылатся во вкладке подробности на svchost. При его закрытии а также при выключении компьютера вылетает синий экран. Появляется не сразу после включения системы. До это было обновление системы, после которого пропали все приложения вместе с магазином виндовс и поиском. И сразу же после этого по ошибке установил мэйл ру занрузчик вместе со всякими ярлыками. После удалил эти приложения и просканировал антивирусом и dr web ничего не нашло. Сначала думал на центр обновления так как он и до этого грузил систему и не выключался, но по том обнаружил что не запускаются Process Hacker и FRST64 и при заходе на сайты антивирусов браузер выключается ( при запуске системы поначалу все работает).

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 23.02.2018, 07:03

Уважаемый(ая) Эрик, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Эрик** · 24.02.2018, 08:51

Удалил файл svchost из папки sysWow66, после грузить процессор начал другой файл, удалил его потом появился другой, все из папки syswow63. Антивирусы ничего не видят.

**mike 1** · 24.02.2018, 12:12

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 QuarantineFile('C:\WINDOWS\AmoK.exe','');
 QuarantineFile('C:\Users\user\OiigUdXq.exe','');
 DeleteFile('C:\WINDOWS\system32\Tasks\{373603B4-2683-45FC-BC70-AE57F7CCF2D6}','64');
 DeleteFile('C:\Users\user\OiigUdXq.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\{884B9285-FFC4-4533-B4F5-37A9F825A69F}','64');
 DeleteFile('C:\WINDOWS\AmoK.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

Код:

O2-32 - HKLM\..\BHO: (no name) - AutorunsDisabled - (no file)

Сделайте повторные логи по правилам

**Эрик** · 24.02.2018, 14:14

Как раз перед этим вручную удалил эти два файла и задачи в планировщике, поэтому карантин не прислал

**mike 1** · 24.02.2018, 22:42

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Эрик** · 25.02.2018, 07:25

Сделал

**mike 1** · 25.02.2018, 19:21

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-1912503722-895821702-2121432576-1001\...\Policies\Explorer: [] 
BootExecute: autocheck autochk *  bootdelete
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
ProxyServer: [S-1-5-21-1912503722-895821702-2121432576-1001] => 104.196.116.237:80
URLSearchHook: [S-1-5-21-1912503722-895821702-2121432576-1001] ATTENTION => Default URLSearchHook is missing
Handler: WSWSVCUchrome - {1CA93FF0-A218-44F1 -  No File
2017-08-22 15:16 - 2017-08-22 15:16 - 000000192 ____H () C:\Users\user\AppData\Roaming\3b01b117ec3368f4c02bec10fe19f5bfb929dd2b
2017-08-22 15:09 - 2017-08-22 15:09 - 000000128 ____H () C:\Users\user\AppData\Roaming\ecf00c38dc807e105d881c433a6b455dd2c606b6
2016-09-01 15:39 - 2017-07-27 20:01 - 000000001 _RHOT () C:\Users\user\AppData\Roaming\Installer.dat
2017-07-27 20:01 - 2017-07-27 20:01 - 000000001 _RHOT () C:\Users\user\AppData\Roaming\MailProducts
2016-01-26 19:41 - 2018-02-09 14:16 - 000000016 _____ () C:\Users\user\AppData\Roaming\msregsvv.dll
2017-07-27 20:01 - 2017-07-27 20:01 - 000000001 _RHOT () C:\Users\user\AppData\Roaming\Rutube
2017-07-27 20:01 - 2017-07-27 20:01 - 000000001 _RHOT () C:\Users\user\AppData\Roaming\RutubeExtension
2017-07-27 20:01 - 2017-07-27 20:01 - 000000001 _RHOT () C:\Users\user\AppData\Local\Hostinstaller
2017-07-27 20:01 - 2017-07-27 20:01 - 000000001 _RHOT () C:\Users\user\AppData\Local\mpress
2017-07-27 20:01 - 2017-07-27 20:01 - 000000001 _RHOT () C:\Users\user\AppData\Local\Nichrome
2017-07-27 20:01 - 2017-07-27 20:01 - 000000001 _RHOT () C:\Users\user\AppData\Local\Xpom
HKU\S-1-5-21-1912503722-895821702-2121432576-1001\...\StartupApproved\Run: => "MailRuUpdater"

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

**Эрик** · 26.02.2018, 08:22

Архив не создался

**mike 1** · 26.02.2018, 18:04

Что с проблемой?

**Эрик** · 27.02.2018, 09:52

Вроде не видно пока не кого. Спасибо за помощь

**mike 1** · 27.02.2018, 18:50

Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите отчет в вашей теме

**Эрик** · 27.02.2018, 19:30

Сделал

**mike 1** · 27.02.2018, 19:50

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

WinRAR 5.31 бета 1 (64-разрядная) v.5.31.1 Внимание! Скачать обновления
FileZilla Client 3.15.0.2 v.3.15.0.2 Внимание! Скачать обновления
VLC media player v.2.2.6 Внимание! Скачать обновления
OpenOffice 4.1.5 v.4.15.9789 [+]
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.40 v.7.40.104 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------
Java 8 Update 161 v.8.0.1610.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u162-windows-i586.exe)^
--------------------------- [ AppleProduction ] ---------------------------
Bonjour v.3.0.0.10 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^

Adobe Flash Player 25 PPAPI v.25.0.0.171 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.64.0.3282.167
Opera Stable 50.0.2762.67 v.50.0.2762.67 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^

Безымянный процесс грузит процессор (заявка № 217849)

Опции темы