winserv.exe

[BeeRed]

Однозначно подхватил какую-то заразу.
Она подменила host. закрывает диспетчер/проводник и нагружает систему.

[Info_bot]

Уважаемый(ая) BeeRed, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[BeeRed]

А, тут ещё проблема, автологер не хочет запускаться не из безопасного режима. И наверное не все процессы будут отображены в скане системы, так как проверка была осуществлена в безопасном режиме.

- - - - -Добавлено - - - - -

Логи не из безопасного режима.

[Vvvyg]

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл. Не поможет - запустите из безопасного режима с поддержкой сети.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[BeeRed]

Вот буквально перед вашим ответом прогнал ав блок ремув, он и дал возможность запустить стандартный автолог.

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-3297733201-181983091-1449609188-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
S4 AAErrorPort; C:\Users\NEPALI~1\AppData\Local\Temp\ActiveAnticheat\aaerrport.exe [X] <==== ВНИМАНИЕ
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AeroadminService => ""="Service"
FirewallRules: [{EEA3D158-65C7-4083-BB1B-94A988A0900A}] => (Allow) C:\Users\NePaLimSO\Downloads\AeroAdmin.exe => Нет файла
FirewallRules: [{EAE075E9-8C1B-4114-B684-AB30E90AE8C7}] => (Allow) C:\Users\NePaLimSO\Downloads\AeroAdmin.exe => Нет файла
FirewallRules: [{54444F69-26D8-491D-BD63-CA1814509622}] => (Allow) C:\Users\NePaLimSO\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{4C575761-335D-4D2D-90C3-61D2642B2504}] => (Allow) C:\Users\NePaLimSO\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{EB39B5B0-E24A-4064-ADD8-3F14AB6FF23B}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{6F87BD59-EF55-4588-8505-E8FDDF1AFBCD}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{BFE7BBFD-CA12-42A8-84E7-D61E8E49E9D9}] => (Block) LPort=139
FirewallRules: [{BB4870AB-2E0C-429F-B129-9E2C4C2338EE}] => (Block) LPort=445
FirewallRules: [{288BCB68-14E3-4E6F-80C8-D62674C0FE75}] => (Block) LPort=139
FirewallRules: [{8FF0112C-2984-4614-A4D9-194C2767D742}] => (Block) LPort=445
FirewallRules: [{379B7005-197F-4837-B27E-F1ECE33FBE54}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите к своему следующему сообщению.
Компьютер будет перезагружен.

[BeeRed]

лог

[Vvvyg]

И такое ещё исправление и новый fixlist.txt приложите:

Код:

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files\RDP Wrapper
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\SysWow64\unsecapp.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhost.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhostw.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\Windows Tasks Service\winserv.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\audiodg.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AppModule.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AMD.exe
CreateRestorePoint:
End::

[BeeRed]

новый лог

[Vvvyg]

Не получилось задуманное.

Для верности выполните исправление в безопасном режиме:

Код:

Start::
Unlock: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files\RDP Wrapper
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\SysWow64\unsecapp.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhost.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhostw.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\Windows Tasks Service\winserv.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\audiodg.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AppModule.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AMD.exe
End::

И новый Fixlog.txt сюда.

[BeeRed]

новый лог

[Vvvyg]

Теперь порядок.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[BeeRed]

лог

[Vvvyg]

Контроль учётных записей пользователя отключен

Рекомендую ознакомиться со статьёй Так ли страшен контроль учетных записей (UAC)? и включить.

Учетная запись гостя включена. Пароль не установлен.

Если нет локальной сети с беспарольным доступам к расшаренным папкам и принтерам, учётку гостя рекомендуется отключить.

Oracle VM VirtualBox 6.0.24 v.6.0.24 Внимание! Скачать обновления
OpenOffice 4.1.7 v.4.17.9800 Внимание! Скачать обновления
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления

Эти приложения очень желательно обновить, а WinRar - обязательно:
В WinRAR версии 6.23 устранена критическая уязвимость CVE-2023-40477, позволяющая запускать в системе вредоносный код

И всё на этом.

[BeeRed]

В очередной раз помогли, спасибо!