Вирусы conhost.exe, csrss.exe, dwm.exe, nvxdsync.exe, nvstreamsvc.exe [HEUR:Trojan.WinLNK.StartPage.gena ]

[Sewrus]

Вирусы conhost.exe, csrss.exe, dwm.exe, nvxdsync.exe, nvstreamsvc.exe висят в диспетчере задач и не гасятся
Есть подозрения, что эти процессы не те за кого они себя выдают. Помогите разобраться!

[Info_bot]

Уважаемый(ая) Sewrus, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('C:\Users\DNS\AppData\Local\PirritSuggestor', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\Users\DNS\AppData\Local\PirritSuggestor', '*', true);
 DeleteDirectory('C:\Users\DNS\AppData\Local\PirritSuggestor');
 DeleteService('esgiguard');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

- сделайте лог Check Browsers' LNK by Dragokas & regist.

[Sewrus]

Результат загрузки

Ошибка загрузки. Данный файл уже был загружен

В архиве карантин ничего нет, весит 1кб. Может быть я что-то не так делаю?

[regist]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\Users\DNS\AppData\Local\Google\Chrome\User Data\Панель запуска приложений Chrome.lnk', '');
 QuarantineFile('C:\Users\DNS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\DNS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
 QuarantineFile('C:\Users\DNS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnk', '');
 QuarantineFile('C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', '');
 QuarantineFile('C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Панель запуска приложений Chrome.lnk', '');
 QuarantineFile('C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
 QuarantineFile('C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', '');
 QuarantineFile('C:\Users\Гость\Desktop\Google Chrome.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk', '');
 QuarantineFile('C:\Users\DNS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\DNS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Панель запуска приложений Chrome.lnk', '');
 QuarantineFile('C:\Users\DNS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Epic Privacy Browser.lnk', '');
 QuarantineFile('C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Epic Privacy Browser\Epic Privacy Browser.lnk', '');
 QuarantineFile('C:\Users\DNS\Desktop\оченна надо\Epic Privacy Browser.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Pidgin.lnk', '');
 QuarantineFile('C:\Users\DNS\Desktop\игры\Eador.Masters Of The Broken World.(Лаунчер).lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Repack by Fenixx\Eador.Masters Of The Broken World.v 1.1.2\Eador.Masters Of The Broken World.(Лаунчер).lnk', '');
 QuarantineFile('C:\Users\DNS\Desktop\игры\Drox Operative.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Sid Meier'+ #39 +'s Civilization 5\Играть Sid Meier'+ #39 +'s Civilization 5.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ведьмак Дополненное издание\Ведьмак Дополненное издание.lnk', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.


- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

Код:

C:\Users\DNS\AppData\Local\Google\Chrome\User Data\Панель запуска приложений Chrome.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Панель запуска приложений Chrome.lnk
C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\Гость\Desktop\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Панель запуска приложений Chrome.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Epic Privacy Browser.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Epic Privacy Browser\Epic Privacy Browser.lnk
C:\Users\DNS\Desktop\оченна надо\Epic Privacy Browser.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Pidgin.lnk
C:\Users\DNS\Desktop\игры\Eador.Masters Of The Broken World.(Лаунчер).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Repack by Fenixx\Eador.Masters Of The Broken World.v 1.1.2\Eador.Masters Of The Broken World.(Лаунчер).lnk
C:\Users\DNS\Desktop\игры\Drox Operative.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Sid Meier's Civilization 5\Играть Sid Meier's Civilization 5.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ведьмак Дополненное издание\Ведьмак Дополненное издание.lnk
C:\Users\DNS\AppData\Local\Microsoft\Windows\GameExplorer\{515B6966-2493-4DD8-9BF9-A3EB815C6142}\PlayTasks\0\Играть.lnk
C:\Users\DNS\AppData\Local\Microsoft\Windows\GameExplorer\{7C52314F-C038-47ED-8E62-BAD7D55D4237}\PlayTasks\0\Играть.lnk
C:\Users\DNS\AppData\Local\Microsoft\Windows\GameExplorer\{B61988CC-20E5-456E-9D09-40C2F84D0574}\PlayTasks\0\Играть.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Twilight Pretty Search.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pandion.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Buka\3DO\Might and Magic\MM_VI\Readme html.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Buka\3DO\Might and Magic\MM_VI\Readme.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Buka\3DO\Might and Magic\MM_VI\Меч и Магия VI Благословение небес.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Buka\3DO\Might and Magic\MM_VI\Сайт компании 3DO.lnk
C:\Games\MMCollection\MM_VI\3DO.URL
C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Buka\3DO\Might and Magic\MM_VI\Сайт компании Бука.lnk
C:\Games\MMCollection\MM_VI\Buka.URL
C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Buka\3DO\Might and Magic\MM_VI\Удаление Меч и Магия VI Благословение небес.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Buka\3DO\Might and Magic\MM_VII\Readme html.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Buka\3DO\Might and Magic\MM_VII\Readme.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Buka\3DO\Might and Magic\MM_VII\Меч и Магия VII Конфигурация игры.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Buka\3DO\Might and Magic\MM_VII\Меч и Магия VII Сила и честь.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Buka\3DO\Might and Magic\MM_VII\Сайт компании 3DO.lnk
C:\Games\MMCollection\MM_VII\3DO.URL
C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Buka\3DO\Might and Magic\MM_VII\Сайт компании Бука.lnk
C:\Games\MMCollection\MM_VII\Buka.URL
C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Buka\3DO\Might and Magic\MM_VII\Удаление Меч и Магия VII Сила и честь.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Gothic\GOTHIC2 ADDON - 'Возвращение'\Запустить.lnk
C:\Users\DNS\Desktop\игры\Craft The World v1.0.008.lnk
C:\Users\DNS\Desktop\игры\Dragon Age Inquisition.lnk
C:\Users\DNS\Desktop\игры\Dungeon Siege - Legends of Aranna.lnk
C:\Users\DNS\Desktop\игры\Fallout Nevada.lnk
C:\Users\DNS\Desktop\игры\Fallout New Vegas - Fate of Wanderer MOD.lnk
C:\Users\DNS\Desktop\игры\Fallout New Vegas.lnk
C:\Users\DNS\Desktop\игры\Nexus Mod Manager.lnk
C:\Users\DNS\Desktop\игры\S.T.A.L.K.E.R. - Lost Alpha.lnk
C:\Users\DNS\Desktop\игры\S.T.A.L.K.E.R..lnk
C:\Users\DNS\Desktop\игры\Готика II - Ночь Ворона.lnk
C:\Users\DNS\Desktop\игры\Меч и Магия VI Благословение небес.lnk
C:\Users\DNS\Desktop\игры\Меч и Магия VII Сила и честь.lnk
C:\Users\DNS\Desktop\игры\ОП-2.lnk
C:\Users\DNS\Desktop\оченна надо\MegaFon Internet.lnk
C:\Users\DNS\Desktop\оченна надо\Pandion.lnk
C:\Users\DNS\Desktop\оченна надо\Psi.lnk
C:\Users\DNS\Desktop\оченна надо\Viber.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1C\Fallout 2\Fallout - 2 (инфо).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1C\Fallout 2\Fallout - 2.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1C\Космические Рейнджеры\Космические Рейнджеры.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1C\Космические Рейнджеры\Настройки.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1C\Космические Рейнджеры\Руководство.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1C\Космические Рейнджеры\Сайт 1С.lnk
C:\Games\Космические Рейнджеры\1C.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1C\Космические Рейнджеры\Сайт Elemental Games.lnk
C:\Games\Космические Рейнджеры\ElementalGames.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avto K\Avto K on the Web.lnk
C:\Incoming\Avto K\AvtoK.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avto K\Avto K.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avto K\Uninstall Avto K.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bill2's Process Manager\Bill2's Process Manager.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bill2's Process Manager\Help file (French).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bill2's Process Manager\UnInstall Bill2's Process Manager.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fallout NV - FOW\Autosort Plugins.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fallout NV - FOW\Fallout NV - FOW.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fallout NV - FOW\Game Settings.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Деинсталлировать Rogue Legacy rus.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\I2P\Open I2P Profile Folder (service).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband\Mount&Blade Warband.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nexus Mod Manager\Nexus Mod Manager (Trace Mode).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nexus Mod Manager\Nexus Mod Manager.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nexus Mod Manager\Uninstall Nexus Mod Manager.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Oblivion Mod Manager\BSA browser.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Oblivion Mod Manager\BSA creator.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Oblivion Mod Manager\Conflict detector.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Oblivion Mod Manager\NIF viewer.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Oblivion Mod Manager\Oblivion Mod Manager (Safe Mode).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Oblivion Mod Manager\Oblivion Mod Manager.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Oblivion Mod Manager\obmm Readme.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Oblivion Mod Manager\Run launcher.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Oblivion Mod Manager\Uninstall Oblivion Mod Manager.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra\Arcanum.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra\GF ReadMe.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra\GF UnInstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra\Patch ReadMe.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra\Script Maker.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra\Vormantown.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra\World Editor.lnk

Профиксите в HijackThis

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/cnt/10445?gp=openpart1
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:9880

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению.

[Sewrus]

Спасибо, что помогаете! =)

[regist]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[Sewrus]

AdwCleaner[C1].txt. нет, есть только С0

[regist]

Сделайте свежий лог AdwCleaner-а.

[Sewrus]

Простите, уезжал

[regist]

что с проблемой?

[Sewrus]

Процессы так же висят, через диспетчер задач не гасятся.

[regist]

Файлы перечисленные в первом посте от легальных программ, правда зависит где они находятся....
Но то что есть процессы от таких файлов это нормально. Какие-то другие признаки проблемы есть?

- Сделайте лог полного сканирования MBAM.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 27
• В ходе лечения вредоносные программы в карантинах не обнаружены