Пустые процессы. Не запускаются файлы.

[Dezzignet]

Windows 10 (64)
Исчезла из трея антивирусная программа, появились пустые процессы в системе, фоном периодически играла странная мелодия (10 сек). Были запущены странные процессы waspwing.exe, wahiver.exe, spsvc.exe. Не открывалась программа WinRar, чтобы открыть архив с AutoLog. Сама закрывалась программа AVZ. Повторная установка анти вируса 360 Internet Security закрывалась сама по среди установки.
Проблема была схожа с это https://virusinfo.info/showthread.php?t=212377, выполнил скрипт удаления файлов, т.к. расположение было такое же.
Проблема с антивирусом сохраняется.

[Info_bot]

Уважаемый(ая) Dezzignet, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[lex0819]

Здравствуйте!

1. Пофиксите в HiJackThis.
Сама программа HiJackThis находится в папке AutoLogger, в подпапке HiJackThis

Код:

O4 - Startup other users: Punto Switcher.lnk    ->    C:\Users\admin\AppData\Roaming\Punto\lsass.exe (User '\ASPNET\')
O4-32 - HKLM\..\Run: [svchost] C:\Windows\svchost.exe

2. Временно отключите защитное ПО.

Выполните скрипт AVZ.

Код:

begin
 TerminateProcessByName('c:\windows\svchost.exe');
 StopService('wscsvs');
 DeleteService('wscsvs');
 StopService('werlsfks');
 DeleteService('werlsfks');
 StopService('wcvvses');
 DeleteService('wcvvses');
 StopService('spoolsrvrs');
 DeleteService('spoolsrvrs');
 QuarantineFile('C:\Windows\svchost.exe','');
 QuarantineFile('C:\Windows\Fonts\svchost.exe','');
 QuarantineFile('C:\Program Files (x86)\Common Files\Microsoft Shared\Ink\IPSEventLogMsg.dll','');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe','');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe','');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe','');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','');
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 DeleteFile('c:\windows\svchost.exe','32');
 DeleteFile('C:\Windows\Fonts\svchost.exe','32');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe','32');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','32');
 DeleteFileMask('C:\Windows\Inf\NETLIBRARIESTIP','*',true);
 DeleteDirectory('C:\Windows\Inf\NETLIBRARIESTIP');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe','32');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe','32');
 DeleteFileMask('C:\Windows\Inf\axperflib','*',true);
 DeleteDirectory('C:\Windows\Inf\axperflib');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','svchost');
 DeleteFile('C:\Program Files (x86)\Common Files\Microsoft Shared\Ink\IPSEventLogMsg.dll','32');
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните скрипт AVZ.

Код:

begin
 CreateQurantineArchive(GetAVZDirectory +'quarantine.zip');
end.

3. Пришлите архив карантина из папки AVZ.

4. Сделайте новые логи программой Autologger и пришлите их.

5. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.