Здравствуйте!
Помогите пожалуйста разобраться с проблемой! Вот уже как дня четыре бьюсь над ней. Ни с того, ни с сего (ничего не устанавливал) процесс начал грузить систему на 15-50% (бывает один, бывает несколько). Завершение его не дает результата, он тут же восстанавливается.
Скачивал обновления, проверял Microsoft Security Ess., Dr.Web Curret, установил и полный Dr.Web, загрузился "чистой загрузкой" - никакого результата.
Win 7 x64
Последний раз редактировалось Kleno; 05.11.2019 в 01:26.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Kleno, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 14443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 14444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 21 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 2222 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 3333 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 4444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 5555 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 6666 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 7777 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 8443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 8888 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 9000 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 9999 TCP) (mirrored) - Action: Block
HiJackThis (из каталога autologger)профиксить Важно: необходимо отметить и профиксить только то, что указано ниже.
Код:
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать ВСЕ при помощи Download Master: (default) = (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать при помощи Download Master: (default) = (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Передать на удаленную закачку DM: (default) = (no file)
O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file)
O22 - Task: \Microsoft\Windows Live\SOXE\Extractor Definitions Update Task - {3519154C-227E-47F3-9CC9-12C3F05817F1} - (no file)
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Все сделал. Process Lasso ставил сам, он мне нужен для блокировки внутриигрового браузера.
Все манипуляции со сканированием я проводил при "чистой загрузке" (то есть с отключенными несистемными службами, кроме Dr.Web, который так не отключить) и отключенным антивирусом. Сейчас буду тестить в разных режимах. О результатах отпишусь.
"Что из следующего вам известно?"
Вообще, не понимаю, что это за символы)
- - - - -Добавлено - - - - -
Стало получше, постоянной загрузки процессора svchost'ом уже нет, но, тем не менее, при работе с сетью, каждые пару секунд этот процесс (уже один) подскакивает до 45% и падает обратно до нуля. Вентилятор молотит, проц греется Хотя нет, не один, а два (один network service, а второй просто svchost).
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
- - - - -Добавлено - - - - -
Сообщение от Kleno
Вообще, не понимаю, что это за символы)
это правила блокировки портов (политики ipsec), которые согласно логам были добавлены (2019/10/20)
HiJackThis (из каталога autologger)профиксить Важно: необходимо отметить и профиксить только то, что указано ниже.
Код:
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 14443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 14444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 21 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 2222 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 3333 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 4444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 5555 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 6666 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 7777 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 8443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 8888 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 9000 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 9999 TCP) (mirrored) - Action: Block
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Users\hp\AppData\Local\NVIDIA Corporation\GeForceNOW\CEF\GeForceNOW.exe','');
BC_ImportQuarantineList;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Карантин выслал (правда, при отправке лаганул инет и вылезла ошибка, но второй раз отправить не дало. Сказано, что такой файл уже был отправлен). Если его нет или он с ошибкой, скажите, попробую выслать повторно.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
12:30:23.0588 0x13a8 C:\Windows\System32\MsC5F0DC3AApp.dll - copied to quarantine
12:30:24.0883 0x13a8 HKLM\SYSTEM\ControlSet001\services\MsC5F0DC3AAppA - will be deleted on reboot
12:30:24.0899 0x13a8 HKLM\SYSTEM\ControlSet001\control\safeboot\Minimal\MsC5F0DC3AAppA - will be deleted on reboot
12:30:24.0899 0x13a8 HKLM\SYSTEM\ControlSet001\control\safeboot\Network\MsC5F0DC3AAppA - will be deleted on reboot
Могли бы проверить, если появился каталог с каратином предположительно в каталог C:\TDDSKiller, если да могли бы его пожалуйста заархивировать и отправить нам на исследование.
Приложите пожалуйста новый лог FRST.
P.S. Удалите старые вложения Мой кабинет => Вложения
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Да, TDSSKiller удалил два объекта (один с критическим уровнем опасности, второй со средним, но я от греха и его указал). После этого (тьфу, тьфу, тьфу), вроде, svchost перестал доминировать в процессах. Хотелось бы знать, что это было и как это проникло? Я, как мне казалось, патологически осторожен, каждый скаченный файл проверял всегда, как мог, и вона че, тем не менее))
1) архив содержит только файлы ini. Могли бы пожалуйста заархивировать целеком каталог C:\TDSSKiller_Quarantine и отправить его - загрузив по ссылке "Прислать запрошенный карантин" вверху темы.
2) Приложите пожалуйста новый лог FRST согласно следующей инструкции:
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
- - - - -Добавлено - - - - -
согласно отчету, этот вредоносный объект внедрялся в процесс %SystemRoot%\system32\svchost.exe
Карантин отправил. Вопрос: мог этот троян как-то влиять на интернет-соединение (т.е. разрывать его периодически)? А то я напряг провайдера не по-детски, он все проверил, говорит, оборудование все в порядке, хотят кабель менять. Я вот думаю, а может вирус был к этому причастен? Так как после его удаления, вроде, и соединение стабилизировалось.
Карантин отправил. Вопрос: мог этот троян как-то влиять на интернет-соединение (т.е. разрывать его периодически)? А то я напряг провайдера не по-детски, он все проверил, говорит, оборудование все в порядке, хотят кабель менять. Я вот думаю, а может вирус был к этому причастен? Так как после его удаления, вроде, и соединение стабилизировалось.
Да, скорее всего это вредоносное ПО.
- - - - -Добавлено - - - - -
Закройте и сохраните все открытые приложения.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Готово. Иногда TrustedInstaller.exe начинает вдруг работать, хотя поиск, загрузка и установка обновлений отключены. Или у меня уже паранойя начинается?)
Готово. Иногда TrustedInstaller.exe начинает вдруг работать, хотя поиск, загрузка и установка обновлений отключены.
Если служба работает в режиме manual то это нормально, так как она запускается по требованию, например во время установки каких-то компонентов и ролей и т.п.
Сообщите, пожалуйста если проблема еще беспокоит?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: