Regsvr32 постоянно запускается и грузит процессор на 60-100%

**dmitrychrome** · 13.02.2018, 19:46

Доброго времени суток. Столкнулся с проблемой после установки некоторой продукции от IObit. Появилась всплывающая реклама во всех браузерах, перестала работать рекапча, постоянно запускается процесс Regsvr32 и мощно грузит процессор. Программы от IObit удалил, проблему с рекламой в браузерах решил. Помогите решить проблему с Regsvr32, и рекапчей.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 13.02.2018, 19:52

Уважаемый(ая) dmitrychrome, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**dmitrychrome** · 13.02.2018, 21:01

архив с логами

**Vvvyg** · 17.02.2018, 13:48

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\windows\syswow64\regsvr32.exe');
 StopService('IpOverUsbSvc');
 QuarantineFile('C:\PROGRA~3\e5cbeea1\f87e83b5.dll', '');
 QuarantineFile('C:\Users\Dmitry\AppData\Local\61903E~1\{F87E8~1', '');
 QuarantineFile('C:\Users\Dmitry\AppData\Local\61903E~1\{F87E8~1.', '');
 DeleteFile('C:\PROGRA~3\e5cbeea1\f87e83b5.dll', '32');
 DeleteFile('C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanionInstaller.exe', '32');
 DeleteFile('C:\Users\Dmitry\AppData\Local\61903E~1\{F87E8~1', '32');
 DeleteFile('C:\Users\Dmitry\AppData\Local\61903E~1\{F87E8~1.', '32');
 DeleteFile('C:\Users\Dmitry\Favorites\Links\Интернет.url');
 ExecuteFile('schtasks.exe', '/delete /TN "{0C790A47-7E05-7D08-0A11-0F080D7A1108}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{64D35C7C-4046-4A14-97E1-784518203046}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{6E09B4A6-341F-4BA6-7BF6-5C705C939621}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "926D41AE-8111-5EC9-067A-7F5359608AC9" /F', 0, 15000, true);
 DeleteFileMask('c:\progra~3\e5cbeea1', '*', false);
 DeleteFileMask('c:\program files (x86)\lavasoft\web companion', '*', false);
 DeleteFileMask('c:\users\dmitry\appdata\local\61903e~1', '*', false);
 DeleteDirectory('c:\progra~3\e5cbeea1');
 DeleteDirectory('c:\program files (x86)\lavasoft\web companion');
 DeleteDirectory('c:\users\dmitry\appdata\local\61903e~1');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог Autologger.

Сделайте лог Malwarebytes AdwCleaner.

**dmitrychrome** · 21.02.2018, 05:17

Новые логи

**Vvvyg** · 21.02.2018, 07:09

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\Dmitry\Favorites\Links\Интернет.url"  ->               hxxp://furyery.ru/?utm_source=favorites03&utm_content=29451751159d15731c4d3fa7e779890d&utm_term=EAF22E6D7FD8B06A463E21EBB7D6B4E7&utm_d=20170625

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O4 - HKCU\..\StartupApproved\Run: [Gaijin.Net Agent] (2017/12/24) = C:\Users\Dmitry\AppData\Local\Gaijin\Program Files (x86)\NetAgent\gjagent.exe  (file missing)
O22 - Task: Driver Booster SkipUAC (Dmitry) - E:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe /skipuac (file missing)
O22 - Task: IObitSelfCheckTask - E:\Program Files (x86)\IObit\Smart Defrag\IObitSelfCheck.exe /dotip (file missing)

Проблема решена?

**dmitrychrome** · 21.02.2018, 17:46

regsvr32 не запускается, пока все вроде бы чисто)
Спасибо!)
посоветуйте как предотвратить повтор подобных проблем?

**Vvvyg** · 21.02.2018, 22:00

Сейчас, уязвимости найдём и посмотрим.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**dmitrychrome** · 22.02.2018, 00:14

Сообщение от Vvvyg

Сейчас, уязвимости найдём и посмотрим.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

лог SecurityCheck

- - - - -Добавлено - - - - -

лог SecurityCheck

**Vvvyg** · 22.02.2018, 07:08

Рекомендации, которые позволят снизить риск внедрения троянов в систему:

Держать систему, браузеры, MS Office, продукты Adobe, Java обновлёнными.

Использовать антивирус, включённый и обновлённый, хотя бы бесплатный. Kaspersky Free например.
Ни один антивирус на 100% не защитит от зловреда, он может быть новым и отсутствовать в базах, может быть подписан валидной цифровой подписью, а эвристический анализатор и эмулятор выполнения антивируса не распознают опасный код. Тем не менее, наличие правильно настроенного антивируса сильно повышает уровень безопасности.

Программы нужно скачивать с сайта производителя, а не по ссылкам с варезников, форумов, вконтакте и торрентов. Не нужно искать программу - нарвётесь на поддельный "комплексный инсталлятор" с рекламными функциями (в лучшем случае), или на шифровальщик, у большинства популярных программ есть официальные сайты, пользуйтесь приличными софтпорталами типа softodrom.ru - там, как правило, ссылки на чистые ресурсы.
Используйте, по возможности, лицензионный софт (в т. ч. вместо взломанных платных программ - бесплатные аналоги), это реально ведёт к большей защищенности. Постоянный поиск ключей, кряков, патчей, модов, репаков и т. п. обязательно приведёт к тому, что словите какую-нибудь дрянь, сейчас хакеры уже не альтруистичны и монетизируют свой труд как могут.
Шифровальщик/троян/бэкдор может загрузиться и запуститься даже при открытии специально сформированного документа Word, PDF-файла или просто при посещении веб-страницы с вирусным кодом. Именно поэтому система, MS Office, браузеры, продукты Adobe всегда должны быть обновлёнными, это снижает вероятность подобных атак, но не даёт, опять-таки, полной гарантии безопасности - могут использоваться т. н. уязвимости нулевого дня, не исправленные производителем программы (или вообще ему неизвестные пока).

Критически относитесь к письмам с вложениями и ссылками, особенно от неизвестных Вам отправителей (и от известных тоже - их могли взломать или просто подменить поле From: электронного письма). Шифровальщики часто маскируют под счета, балансы, сверки, претензии и т. п., ссылки могут вести на файлообменники или облачные сервисы, причём, там может быть вердикт: "Файл проверен антивирусом XXX, вирусов не обнаружено" - это не гарантия безопасности.
Проверяйте вложения и ссылки перед их открытием на https://www.virustotal.com/ru/ - но, ещё раз оговорюсь - даже если ни один из пяти десятков антивирусов ничего подозрительного не обнаружит, это не есть полная гарантия безопасности файла или интернет-сайта.

Просто думайте перед осуществлением очередного действия на компьютере

. Рекомендую к прочтению: О роли головного мозга в защите операционной системы.

**dmitrychrome** · 24.02.2018, 22:45

Сообщение от Vvvyg

Рекомендации, которые позволят снизить риск внедрения троянов в систему:

Держать систему, браузеры, MS Office, продукты Adobe, Java обновлёнными.

Использовать антивирус, включённый и обновлённый, хотя бы бесплатный. Kaspersky Free например.
Ни один антивирус на 100% не защитит от зловреда, он может быть новым и отсутствовать в базах, может быть подписан валидной цифровой подписью, а эвристический анализатор и эмулятор выполнения антивируса не распознают опасный код. Тем не менее, наличие правильно настроенного антивируса сильно повышает уровень безопасности.

Программы нужно скачивать с сайта производителя, а не по ссылкам с варезников, форумов, вконтакте и торрентов. Не нужно искать программу - нарвётесь на поддельный "комплексный инсталлятор" с рекламными функциями (в лучшем случае), или на шифровальщик, у большинства популярных программ есть официальные сайты, пользуйтесь приличными софтпорталами типа softodrom.ru - там, как правило, ссылки на чистые ресурсы.
Используйте, по возможности, лицензионный софт (в т. ч. вместо взломанных платных программ - бесплатные аналоги), это реально ведёт к большей защищенности. Постоянный поиск ключей, кряков, патчей, модов, репаков и т. п. обязательно приведёт к тому, что словите какую-нибудь дрянь, сейчас хакеры уже не альтруистичны и монетизируют свой труд как могут.
Шифровальщик/троян/бэкдор может загрузиться и запуститься даже при открытии специально сформированного документа Word, PDF-файла или просто при посещении веб-страницы с вирусным кодом. Именно поэтому система, MS Office, браузеры, продукты Adobe всегда должны быть обновлёнными, это снижает вероятность подобных атак, но не даёт, опять-таки, полной гарантии безопасности - могут использоваться т. н. уязвимости нулевого дня, не исправленные производителем программы (или вообще ему неизвестные пока).

Критически относитесь к письмам с вложениями и ссылками, особенно от неизвестных Вам отправителей (и от известных тоже - их могли взломать или просто подменить поле From: электронного письма). Шифровальщики часто маскируют под счета, балансы, сверки, претензии и т. п., ссылки могут вести на файлообменники или облачные сервисы, причём, там может быть вердикт: "Файл проверен антивирусом XXX, вирусов не обнаружено" - это не гарантия безопасности.
Проверяйте вложения и ссылки перед их открытием на https://www.virustotal.com/ru/ - но, ещё раз оговорюсь - даже если ни один из пяти десятков антивирусов ничего подозрительного не обнаружит, это не есть полная гарантия безопасности файла или интернет-сайта.

Просто думайте перед осуществлением очередного действия на компьютере

. Рекомендую к прочтению: О роли головного мозга в защите операционной системы.

Спасибо огромное за помощь. Буду следовать вашим советам