dwengine.exe,svchost.exe грузят цп на 100% что делать?

[good44]

dwengine.exe,svchost.exe грузят цп на 100% а так же browser.exe,при включении утилиты от др веб тоже грузит под 100,при переходе по ссылкам в браузере процент цп тоже высоко скачет подскажите что делать!!!

[Info_bot]

Уважаемый(ая) good44, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

AVG PC TuneUp - деинсталируйте


Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFile('picrecs.exe','');
 QuarantineFile('C:\ProgramData\PicRec\startprocess.js','');
 QuarantineFile('C:\ProgramData\PicRec\picrecs.exe','');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.


- сделайте лог CheckBrowserLnk


Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[good44]

лог CheckBrowserLnk

[regist]

В папке

Код:

C:\ProgramData\PicRec\

что у вас находится? Её содержимое знакомо вам?
Заархивируйте в zip архив с паролем virus и загрузите на http://rghost.ru/ и пришлите мне в личку её.

- выполните такой скрипт AVZ

Код:

begin
  QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk','');
  QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk','');
  QuarantineFile('C:\Users\мусенка\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk','');
  QuarantineFile('C:\Users\мусенка\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk','');
  QuarantineFile('C:\Users\мусенка\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (3).lnk','');
  QuarantineFile('C:\Users\мусенка\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk','');
  QuarantineFile('C:\Users\мусенка\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk','');
  QuarantineFile('C:\Users\мусенка\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera12.02 1578.lnk','');
  QuarantineFile('C:\Users\мусенка\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk','');
  QuarantineFile('C:\Users\мусенка\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk','');
  QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk','');
  QuarantineFile('C:\Users\мусенка\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk','');
  QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk','');
  QuarantineFile('C:\Users\Default\Desktop\Ярлыки\Google Chrome.lnk','');
  QuarantineFile('C:\Users\мусенка\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk','');
  QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Paragon Partition Manager™ 12 Professional\Paragon Partition Manager™ 12 Professional.lnk','');
  QuarantineFile('C:\Users\Public\Desktop\World of Tanks.lnk','');
  QuarantineFile('C:\Users\Public\Desktop\World of Warplanes.lnk','');
  QuarantineFile('C:\Users\мусенка\Desktop\бред\Paragon Partition Manager™ 12 Professional.lnk','');
  QuarantineFile('C:\Users\Default\Links\Downloads.lnk','');
  QuarantineFile('C:\Users\мусенка\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Games.lnk','');
  QuarantineFile('C:\Users\мусенка\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Games.lnk','');
  QuarantineFile('C:\Users\мусенка\AppData\Roaming\Splashtop\Splashtop Connect\plugins\ZyngaGames\ru-RU\Games.lnk','');
  QuarantineFile('C:\Program Files\Mozilla Firefox\firefox.exe.bat','');
  QuarantineFile('C:\Program Files\Opera\opera.exe.bat','');
  QuarantineFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','');
  QuarantineFile('C:\Program Files\Google\Chrome\Application\chrome.exe.bat','');
  QuarantineFile('C:\Users\мусенка\AppData\Local\Yandex\YandexBrowser\Application\browser.url','');
  QuarantineFile('C:\Program Files\Paragon Software\Partition Manager 12 Professional\program\launcher.exe.bat','');
  QuarantineFile('H:\World_of_Tanks\WOTLauncher.exe.bat','');
  QuarantineFile('H:\World_of_Warplanes\WoWpLauncher.exe.bat','');
  DeleteFile('C:\Program Files\Mozilla Firefox\firefox.exe.bat','');
  DeleteFile('C:\Program Files\Opera\opera.exe.bat','');
  DeleteFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','');
  DeleteFile('C:\Program Files\Google\Chrome\Application\chrome.exe.bat','');
  DeleteFile('C:\Users\мусенка\AppData\Local\Yandex\YandexBrowser\Application\browser.url','');
  DeleteFile('C:\Program Files\Paragon Software\Partition Manager 12 Professional\program\launcher.exe.bat','');
  DeleteFile('H:\World_of_Tanks\WOTLauncher.exe.bat','');
  DeleteFile('H:\World_of_Warplanes\WoWpLauncher.exe.bat','');
  CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы.

- Исправьте с помощью утилиты ClearLNK следующие ярлыки:

Код:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\Users\мусенка\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\мусенка\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk
C:\Users\мусенка\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (3).lnk
C:\Users\мусенка\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
C:\Users\мусенка\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk
C:\Users\мусенка\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera12.02 1578.lnk
C:\Users\мусенка\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\мусенка\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\Users\мусенка\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Default\Desktop\Ярлыки\Google Chrome.lnk
C:\Users\мусенка\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Paragon Partition Manager™ 12 Professional\Paragon Partition Manager™ 12 Professional.lnk
C:\Users\Public\Desktop\World of Tanks.lnk
C:\Users\Public\Desktop\World of Warplanes.lnk
C:\Users\мусенка\Desktop\бред\Paragon Partition Manager™ 12 Professional.lnk
C:\Users\Default\Links\Downloads.lnk

отчёт прикрепите.

+ всё ещё жду лог MBAM.

[good44]

лог MBAM в процессе еще!!!доделаю его пришлю сюда комп тормозит жесть лог доделаю затем все выше указанное сделаю!!!ведь надо перезагружать будет после скрипта а у меня еще MBAM выполняеться!!!

- - - - -Добавлено - - - - -

http://rghost.ru/ эту ссыль блокирует антивирусник!!!!

- - - - -Добавлено - - - - -

с антивирусником разобрался файл отправил

- - - - -Добавлено - - - - -

вот лог

- - - - -Добавлено - - - - -

отчет клинера

[regist]

PicRec - раз не нужно деинсталируйте через установку и удаление программ, если там есть.

Поместите в карантин MBAM всё кроме

C:\Users\мусенка\Desktop\бред\Keygen_Photoshop_CS5 .rar (Malware.Gen) -> Действие не было предпринято.
C:\Users\мусенка\Desktop\бред\проги\Flash.zip (PUP.PSWTool.ProductKey) -> Действие не было предпринято.
C:\Users\мусенка\Downloads\MediaGet_id385607ids1s. exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
C:\Windows\winsxs\x86_microsoft-windows-i..mentation-migration_31bf3856ad364e35_10.2.9200.16438_none_2c f7b50170858173\WininetPlugin.dll (Trojan.FakeMS.ED) -> Действие не было предпринято.
H:\фильмы\XTremeCD15.02.11\I386\SVCPACK\Akelpad.ex e (Trojan.Dropped) -> Действие не было предпринято.
H:\фильмы\XTremeCD15.02.11\I386\SVCPACK\MyTheme.ex e (Trojan.Dropped) -> Действие не было предпринято.
H:\фильмы\XTremeCD15.02.11\I386\SVCPACK\ResPatch.e xe (Trojan.Dropped) -> Действие не было предпринято.

[good44]

как поместить в карантин все файлы там только можно удалить их???PicRec нет в списке установки удаления программ

- - - - -Добавлено - - - - -

C:\Users\мусенка\Desktop\бред\Keygen_Photoshop_CS5 .rar (Malware.Gen) -> Действие не было предпринято.
C:\Users\мусенка\Desktop\бред\проги\Flash.zip (PUP.PSWTool.ProductKey) -> Действие не было предпринято.
C:\Users\мусенка\Downloads\MediaGet_id385607ids1s. exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
C:\Windows\winsxs\x86_microsoft-windows-i..mentation-migration_31bf3856ad364e35_10.2.9200.16438_none_2c f7b50170858173\WininetPlugin.dll (Trojan.FakeMS.ED) -> Действие не было предпринято.
H:\фильмы\XTremeCD15.02.11\I386\SVCPACK\Akelpad.ex e (Trojan.Dropped) -> Действие не было предпринято.
H:\фильмы\XTremeCD15.02.11\I386\SVCPACK\MyTheme.ex e (Trojan.Dropped) -> Действие не было предпринято.
H:\фильмы\XTremeCD15.02.11\I386\SVCPACK\ResPatch.e xe (Trojan.Dropped) -> Действие не было предпринято.

с этих файлов галочки снял остальные удалять?

[regist]

как поместить в карантин все файлы там только можно удалить их?

да, удаляйте их.

с этих файлов галочки снял остальные удалять?

да.

[good44]

а с файлом PicRec что делать
???

- - - - -Добавлено - - - - -

запускаю антивирь опять цп на 100 грузит???

- - - - -Добавлено - - - - -

в чем причина что так грузит цп?

- - - - -Добавлено - - - - -

при переходе по ссылкам в браузере та же фигня!!!

- - - - -Добавлено - - - - -

удалил файл PicRec вручную вроде работает цп тестирую пока!!!
спасибо огромное за помощь на данном этапе протестирую отпишусь!!!

[regist]

Свежий лог полного сканирования MBAM сделайте.

+ Стандартный скрипт №2 - virusinfo_syscheck.zip)

[good44]

делаю лог МВАМ ждите!!!

- - - - -Добавлено - - - - -

вот логи МВАМ и скрипта 2

[good44]

что делать дальше???

[regist]

SpyHunter - удалите.

Уведомление

Внимание !!! База поcледний раз обновлялась 23.02.2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.43.
Пожалуйста, обновите базы

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFile('C:\ProgramData\PicRec\startprocess.js','');
 DeleteFile('C:\ProgramData\PicRec\startprocess.js','32');
 DeleteFile('C:\Windows\system32\Tasks\GoogleUpdateTaskUserS_1_5_21_478699874-4155726479-3780505679-1001UA__323139313230353735302d2d37505a2a6c55326c342341','32');
end.

После выполнения скрипта компьютер перезагрузится.


Удалите в MBAM всё кроме

Код:

C:\Users\мусенка\Desktop\бред\Keygen_Photoshop_CS5.rar (Malware.Gen) -> Действие не было предпринято.
C:\Users\мусенка\Desktop\бред\проги\Flash.zip (PUP.PSWTool.ProductKey) -> Действие не было предпринято.
C:\Users\мусенка\Downloads\MediaGet_id385607ids1s.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
C:\Windows\winsxs\x86_microsoft-windows-i..mentation-migration_31bf3856ad364e35_10.2.9200.16438_none_2cf7b50170858173\WininetPlugin.dll (Trojan.FakeMS.ED) -> Действие не было предпринято.
H:\фильмы\XTremeCD15.02.11\I386\SVCPACK\Akelpad.exe (Trojan.Dropped) -> Действие не было предпринято.
H:\фильмы\XTremeCD15.02.11\I386\SVCPACK\MyTheme.exe (Trojan.Dropped) -> Действие не было предпринято.
H:\фильмы\XTremeCD15.02.11\I386\SVCPACK\ResPatch.exe (Trojan.Dropped) -> Действие не было предпринято.

- Сделайте повторный лог.(virusinfo_syscheck.zip)

Сделайте свежий лог MBAM

+

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

[good44]

SpyHunter удалил
скрипт в авз выполнил но комп не перезагрузился!!!
делаю лог МВАМ

[regist]

делаю лог МВАМ

жду
+ потом ещё такой скрипт в AVZ выполните

Код:

begin
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive','command');
end.

[good44]

вот свежий лог МВАМ

- - - - -Добавлено - - - - -

отчет

- - - - -Добавлено - - - - -

скрипт в авз выполнил!!!

- - - - -Добавлено - - - - -

жду ответа что мне делать дальше???

[regist]

жду ответа что мне делать дальше???

набраться немного терпения. У хелперов есть и свои личные дела. А помогают тут в своё личное свободное время.


Удалите в MBAM только

Код:

Обнаруженные параметры в реестре:  2
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.Optional.ToolBar.WA) -> Параметры:  -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.Optional.ToolBar.WA) -> Параметры: Поиск WebAlta -> Действие не было предпринято.

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
А также обязательно снимите галочки с

Код:

***** [ Службы ] *****
Служба Найдено : KMService
Служба Найдено : KMService
***** [ Файлы / Папки ] *****
Файл Найдено : C:\Windows\system32\srvany.exe

[good44]

отчеты

[regist]

MBAM деинсталируйте.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

что с проблемой?