-
Junior Member
- Вес репутации
- 25
svchhost жрет трафик
краткая предыстория , пользовался системой года 3 без всяких фаирволов с одним и тем же ip от правайдера хотя он был динмаеский но он не менялся все 3 года , но несколько дней назад он сменился , что вызвало подозрение и я написал провайдеру , но ничего вразумительного не услышал типо все ок , проблем нет это их адрес , проблема следущие как и у многих похожих тем что я читал на форуме svhost начал сжирать трафик , еще система не загрузилась а 6 гб уже нет , в cmd taske был найден bitcoin miner к сожалению в логах его нет больше , в дальнейшем всю систему 10 раз прогнал кроме этого в логах больше ничего нет . все чисто , ну mediaget которым я пользуюсь 3 год но это не он
фоновую актульную службу передачии отключил
Из того что вообще нашлось только это уже удалил, также не советуйте ставить 8 антивирус под названием Farbar Recovery Scan Tool который тоже ничего больше не найдет кроме mediaget и знатоки с умным видом начнут советовать мне удалять его , знаем проходили у вас уже имется максимально обширная информация по система
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) ras10, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 25
P.s Вложение 676644
То что было найдено сейчас , врядли это страшный и ужасный вирус ?
то что было найдено в прошлом и за за чего начались проблемы как мне кажется , но больше этого в протоколе нет
Вложение 676645
- - - - -Добавлено - - - - -
старый протокол
с диплодоками , может кому интересно , возможно все и началось из за него , но сейчас больше его не находят
Последний раз редактировалось ras10; 18.02.2019 в 21:00.
-
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Здравствуйте!
Деинсталлируйте:
Cezurity Antivirus Scanner v4.1
Malwarebytes, версия 3.4.5.2467
Outpost Firewall Pro 9.3
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
QuarantineFile('C:\Users\admin1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SCR_29_tricolor.exe','');
DeleteSchedulerTask('GoogleUpdateTaskUI');
ExecuteSysClean;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Код:
O18 - HKLM\Software\Classes\Protocols\Handler\skype4com: [CLSID] = {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
Сделайте повторные логи по правилам
-
-
Junior Member
- Вес репутации
- 25
Хорошо спасибо за советы , но они к сожалению не помогли , цитирую текущую проблему
Вложение 676697
В связи с чем хотелось бы узнать , находили ли вы в логах что грузится при самом старте виндовс , ? даже можно сказать до старта ,?
И какой программой это можно посмотреть ? с информацией о трафике ? т.к имея раличные программы типо фаирвола который в автозагрузке
он грузится позже той дряни что жрет трафик , практически уловить нереально
Что касается SCR_29_tricolor это не вирус и формат файла флеш и он у меня висит с самого основания винды
Т.к он занимает 70 мб боюсь что я не смогу вам прикрепить в карантин
но зато я его проверил 50 антивирусами ) это точно не вирус https://www.virustotal.com/#/file/93...5f23/detection
Съэкономил ваше время на анализ , )
Жду от вас дальнейшего вариантов решение проблемы быть может вы что в логах еще упустили
Вложение 676698
-
В связи с чем хотелось бы узнать , находили ли вы в логах что грузится при самом старте виндовс , ? даже можно сказать до старта ,?
Там много чего грузится.
но они к сожалению не помогли
Вы их до конца просто не выполнили.
Что касается SCR_29_tricolor это не вирус и формат файла флеш и он у меня висит с самого основания винды
Я не удалял этот файл.
-
-
Junior Member
- Вес репутации
- 25
спасибо за ответ , это все ? Что доконца я не выполнил ? Я поменял зоны в реестре и пофиксил HiJackThis
QuarantineFile('C:\Users\admin1\AppData\Roaming\Mi crosoft\Windows\Start Menu\Programs\Startup\SCR_29_tricolor.exe','');
DeleteSchedulerTask('GoogleUpdateTaskUI');
HKLM\Software\Classes\Protocols\Handler\skype4com:
Но не иключено что при каждой новой загрузке виндовс они появляются заново
Вам новые логи прикрепить ?
-
Вам новые логи прикрепить ?
Да.
-
-
Junior Member
- Вес репутации
- 25
Вложение 676732 И что касается данного скрина , у меня скорость скачивание около 6 мб/с т.е cрдений файл на 4 гб качается минут 15-20 но никак не за 1 , хотя я это увидел на 20 секунде запуска виндовс,и это не предел было и 15 и 20 гб за минуту
Вложение 676733
- - - - -Добавлено - - - - -
Вложение 676735
Вложение 676736
Логи и мое сообщение которое почему с 1 раза ушло на модерацию
интересная система хочет пропускает а хочет нет
Последний раз редактировалось ras10; 26.02.2019 в 00:17.
-
Скрипт в AVZ необходимо выполнять в AVZ, которая лежит в папке Автологгера.
-
-
Junior Member
- Вес репутации
- 25
Сообщение от
mike 1
Скрипт в AVZ необходимо выполнять в AVZ, которая лежит в папке Автологгера.
Я так и делал видимо не находит он уже DeleteSchedulerTask('GoogleUpdateTaskUI'); таже самая ошибка
не думаю что это очень критично , смотрите свежие логи , может что новенькое найдется )
- - - - -Добавлено - - - - -
Вложение 676752
Вложение 676753
Вложение 676754
Cообщение в виде скирна модератор не пропустил большое , теория работы быстрого запуска
-
Junior Member
- Вес репутации
- 25
Теория оттчасти подтвердилась при включеном быстром старте , локалка сохраняет трафик с прошлой сессии , но странно за 3 года этого никогда не замечал да и думал что такое только при гибернации которой я не пользуюсь
-
Я так и делал видимо не находит он уже DeleteSchedulerTask('GoogleUpdateTaskUI'); таже самая ошибка
Уточните версию AVZ, в которой пытаетесь выполнить скрипт? Посмотреть можно через вкладку Справка => О программе.
-
-
Junior Member
- Вес репутации
- 25
Все почистил все удалил вот смотрите новый лог
теперь ошибки со скайпом нет в логах да и вообще ничего нет
P.s ip опять сам поменялся (( с 95 на 78 . хотя по подключенном порту должен быть 95
-
Логи у вас в порядке. Вирусов у вас нет.
-
-
Junior Member
- Вес репутации
- 25
