хост-процесс службы windows

[rambler87]

у меня windows 10 64. Недавно стала появляться сообщение в журнале надежности системы следующего рода.
Вирус ли это и что делать?
dr web cureit нашел пару троянов и нежелательный файл - удаление их ошибку вроде не исправило

Скрытый текст

Описание
Неправильный путь приложения: C:\Windows\System32\svchost.exe

Сигнатура проблемы
Имя проблемного события: APPCRASH
Имя приложения: svchost.exe
Версия приложения: 10.0.10586.0
Отметка времени приложения: 5632d7ba
Имя модуля с ошибкой: ESENT.dll
Версия модуля с ошибкой: 10.0.10586.212
Отметка времени модуля с ошибкой: 56fa1686
Код исключения: c0000602
Смещение исключения: 000000000022885f
Версия ОС: 10.0.10586.2.0.0.768.101
Код языка: 1049
Дополнительные сведения 1: 9dfb
Дополнительные сведения 2: 9dfbe7df3f9a539fa5f4c0551d501195
Дополнительные сведения 3: ac7c
Дополнительные сведения 4: ac7c3d61a9b0a1d4db4e7deb036ad511

Дополнительные сведения о проблеме
ИД контейнера: c6bde43b426d1eb21fa3fe78ed4b7723 (120448086418 )

Скрыть

[Info_bot]

Уважаемый(ая) rambler87, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,

Сами ставили?

Код:

O2 - BHO: Money Viking - {c7c5384f-d9e9-4db1-8c72-135ecccbc571} - C:\Program Files (x86)\Money Viking\Extensions\c7c5384f-d9e9-4db1-8c72-135ecccbc571.dll (file missing)

HiJackThis профиксить

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://services.eshield.com/general/newhometab.php?hometab=home&partner=11433&guid={AD84CA0A-49A9-4217-AE7A-206ECC7815E2}&i=
O17 - HKLM\System\CCS\Services\Tcpip\..\{5fa2a2b7-9da4-4fa1-adc8-3b7c1b0ffb9d}: NameServer = 82.163.143.171 82.163.142.173
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 82.163.143.171 82.163.142.173
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 82.163.143.171 82.163.142.173

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\PROGRA~3\9b4725f9\b5dbb4b2.dll','');
 DeleteFile('C:\PROGRA~3\9b4725f9\b5dbb4b2.dll','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\{14DC1FC2-77EF-D3E5-8442-7B864C17E82A}','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\{7A080F47-050E-7E09-7A11-0E79050B1104}','64');
 BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

[rambler87]

Money Viking
нет - это я не ставил - как-то удалял и она так видно и засела где-то.
завтра выполню инструкцию. Спасибо!

Также сегодня новую сомнительную запись в журнале надежности обнаружил:
"Установка завершена: следующее обновление было успешно установлено: Candy Crush Soda Saga"

[SQ]

Ждем от Вас выполнение инструкции и запрошенных логов.

[rambler87]

вот лог
а как загрузить карантин? по верхней ссылки получаю в ответ: "Ошибка загрузки. Данный файл уже был загружен" Сам же карантин пустой

все равно в журнале надежности после каждого запуска практически появляется то же предупреждение - может просто на него внимание не обращать - эта запись стала появляться после последних обновлений 10 винды?:

Скрытый текст

Описание
Неправильный путь приложения: C:\Windows\System32\svchost.exe

Сигнатура проблемы
Имя проблемного события: APPCRASH
Имя приложения: svchost.exe
Версия приложения: 10.0.10586.0
Отметка времени приложения: 5632d7ba
Имя модуля с ошибкой: ESENT.dll
Версия модуля с ошибкой: 10.0.10586.212
Отметка времени модуля с ошибкой: 56fa1686
Код исключения: c0000602
Смещение исключения: 000000000022885f
Версия ОС: 10.0.10586.2.0.0.768.101
Код языка: 1049
Дополнительные сведения 1: 9dfb
Дополнительные сведения 2: 9dfbe7df3f9a539fa5f4c0551d501195
Дополнительные сведения 3: ac7c
Дополнительные сведения 4: ac7c3d61a9b0a1d4db4e7deb036ad511

Дополнительные сведения о проблеме
ИД контейнера: c6bde43b426d1eb21fa3fe78ed4b7723 (12044808641

Скрыть

Скрытый текст

Установка завершена: следующее обновление было успешно установлено: Накопительный пакет обновления для Windows 10 Version 1511 для систем на базе процессоров x64 (KB3147458 )

Скрыть

PS папку adwclear с диска c после выполнения всех операций можно напрямую удалить из проводника?

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[rambler87]

в основном, это временные файлы браузеров если я правильно понял
касаемо реестра - все почистить там можно? что это осталось-обнаружилось?

[SQ]

в основном, это временные файлы браузеров если я правильно понял

нет.

касаемо реестра - все почистить там можно? что это осталось-обнаружилось?

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

P.S. когда указываем всё, то реестра это касается тоже.

[rambler87]

спасибо

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[rambler87]

эта утилита видит то что авз не может?

[SQ]

эта утилита видит то что авз не может?

Скажем так, что утилиты работают по разному.

Сами ставили?

FF Extension: VKontakte.ru Downloader - C:\Users\антон\AppData\Roaming\Mozilla\Firefox\Pro files\dp761p9d.default\extensions\vk@sergeykolosov .mp.xpi [2016-03-21]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  HKU\S-1-5-21-1167386513-1057613585-3598575291-1001\...\Run: [uTorrent] => C:\Program Files (x86)\uTorrent\uTorrent.exe [274224 2015-11-14] (BitTorrent, Inc.)
  GroupPolicy: Restriction - Chrome <======= ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  FF Keyword.URL: hxxp://search.eshield.com/serp?guid={AD84CA0A-49A9-4217-AE7A-206ECC7815E2}&action=default_search&k=
  FF user.js: detected! => C:\Users\антон\AppData\Roaming\Mozilla\Firefox\Profiles\dp761p9d.default\user.js [2015-12-19]
  Folder: C:\Users\антон\AppData\Local\Oblivion
  Folder: C:\WINDOWS\LiveKernelReports
  CustomCLSID: HKU\S-1-5-21-1167386513-1057613585-3598575291-1001_Classes\CLSID\{073CB204-6B29-46FC-AB98-451F1D068741}\InprocServer32 -> D:\Programms\3ds Max 2015\Inventor Server\Bin\TestServer.dll => No File
  CustomCLSID: HKU\S-1-5-21-1167386513-1057613585-3598575291-1001_Classes\CLSID\{8C23B656-4E6E-4B45-9920-9617168D39A3}\InprocServer32 -> D:\Programms\3ds Max 2015\Inventor Server\Bin\TestServer.dll => No File
  CustomCLSID: HKU\S-1-5-21-1167386513-1057613585-3598575291-1001_Classes\CLSID\{E5B0515D-48D2-4F04-906D-0192ED65A2DD}\InprocServer32 -> D:\Programms\3ds Max 2015\Inventor Server\Bin\TestServer.dll => No File
  Task: {0D778CA1-3A5C-4299-AAB4-F877462C73EF} - \{14DC1FC2-77EF-D3E5-8442-7B864C17E82A} -> No File <==== ATTENTION
  Task: {EFC0D1DA-E5ED-4126-BDF3-31E8BDB6D7E8} - \{7A080F47-050E-7E09-7A11-0E79050B1104} -> No File <==== ATTENTION
  EmptyTemp:
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[rambler87]

да - эту устанавливал сам - она не благонадежная?
появилась помимо выше указанной еще такая отметка в журнале надежности:

Имя сбойного приложения: NvStreamNetworkService.exe, версия: 7.1.2057.3066, метка времени: 0x56f3737e
Имя сбойного модуля: NvMdnsPlugin.dll_unloaded, версия: 0.0.0.0, метка времени: 0x56f37891
Код исключения: 0xc0000005
Смещение ошибки: 0x00000000000d45a0
Идентификатор сбойного процесса: 0xb34
Время запуска сбойного приложения: 0x01d1a2eebd37ff26
Путь сбойного приложения: C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamNetworkService.exe
Путь сбойного модуля: NvMdnsPlugin.dll
Идентификатор отчета: 3b22396c-ce01-4202-a1c3-8d5c5b29d0a9
Полное имя сбойного пакета:
Код приложения, связанного со сбойным пакетом:

- - - - -Добавлено - - - - -

а fixlist он уничтожает? похоже все в норме было тут?

- - - - -Добавлено - - - - -

да - эту устанавливал сам - она не благонадежная?
появилась помимо выше указанной еще такая отметка в журнале надежности:

Имя сбойного приложения: NvStreamNetworkService.exe, версия: 7.1.2057.3066, метка времени: 0x56f3737e
Имя сбойного модуля: NvMdnsPlugin.dll_unloaded, версия: 0.0.0.0, метка времени: 0x56f37891
Код исключения: 0xc0000005
Смещение ошибки: 0x00000000000d45a0
Идентификатор сбойного процесса: 0xb34
Время запуска сбойного приложения: 0x01d1a2eebd37ff26
Путь сбойного приложения: C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamNetworkService.exe
Путь сбойного модуля: NvMdnsPlugin.dll
Идентификатор отчета: 3b22396c-ce01-4202-a1c3-8d5c5b29d0a9
Полное имя сбойного пакета:
Код приложения, связанного со сбойным пакетом:

- - - - -Добавлено - - - - -

а fixlist он уничтожает? похоже все в норме было тут?

ps компьютер не перезагрузился почему-то

[SQ]

да - эту устанавливал сам - она не благонадежная?

Просто уточняю, если Вы используете данное расширение то можете оставить.

а fixlist он уничтожает? похоже все в норме было тут?

Фикс, должен был удалить ссылки на несуществующие файлы, также показать содержимое подозрительный каталогов. Но приложенный Вами лог пустой, указанной фикс должны были выполнить только один раз.

[rambler87]

проблемные записи из журнала стабильности пропали. а с чем было все это связано на сколько опасно-критично?

[SQ]

проблемные записи из журнала стабильности пропали. а с чем было все это связано на сколько опасно-критично?

Как возможное поведение эффект стороннего ПО, в Вашем случае вреоносного ПО.