svchost.exe (NETWORK SERVICE) перегружает систему.

[Kleno]

Здравствуйте!
Помогите пожалуйста разобраться с проблемой! Вот уже как дня четыре бьюсь над ней. Ни с того, ни с сего (ничего не устанавливал) процесс начал грузить систему на 15-50% (бывает один, бывает несколько). Завершение его не дает результата, он тут же восстанавливается.
Скачивал обновления, проверял Microsoft Security Ess., Dr.Web Curret, установил и полный Dr.Web, загрузился "чистой загрузкой" - никакого результата.

Win 7 x64

[Info_bot]

Уважаемый(ая) Kleno, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,

Уточните пожалуйста сами ставили Process Lasso?

Код:

C:\Program Files\Process Lasso\ProcessGovernor.exe

Что из следующего вам известно?

Код:

O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 14443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 14444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 21 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 2222 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 3333 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 4444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 5555 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 6666 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 7777 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 8443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 8888 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 9000 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 9999 TCP) (mirrored) - Action: Block

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать ВСЕ при помощи Download Master: (default) = (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать при помощи Download Master: (default) = (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Передать на удаленную закачку DM: (default) = (no file)
O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file)
O22 - Task: \Microsoft\Windows Live\SOXE\Extractor Definitions Update Task - {3519154C-227E-47F3-9CC9-12C3F05817F1} - (no file)

- Подготовьте лог AdwCleaner и приложите его в теме.

[Kleno]

Все сделал. Process Lasso ставил сам, он мне нужен для блокировки внутриигрового браузера.
Все манипуляции со сканированием я проводил при "чистой загрузке" (то есть с отключенными несистемными службами, кроме Dr.Web, который так не отключить) и отключенным антивирусом. Сейчас буду тестить в разных режимах. О результатах отпишусь.

"Что из следующего вам известно?"
Вообще, не понимаю, что это за символы)

- - - - -Добавлено - - - - -

Стало получше, постоянной загрузки процессора svchost'ом уже нет, но, тем не менее, при работе с сетью, каждые пару секунд этот процесс (уже один) подскакивает до 45% и падает обратно до нуля. Вентилятор молотит, проц греется Хотя нет, не один, а два (один network service, а второй просто svchost).

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

- - - - -Добавлено - - - - -

Вообще, не понимаю, что это за символы)

это правила блокировки портов (политики ipsec), которые согласно логам были добавлены (2019/10/20)


HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 14443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 14444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 21 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 2222 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 3333 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 4444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 5555 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 6666 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 7777 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 8443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 8888 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 9000 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/10/20) - {1cdfa9bb-8ea3-4bf4-8a75-b1dc32b25e5d} - Source: my IP - Destination: Any IP (Port 9999 TCP) (mirrored) - Action: Block

[Kleno]

Прикрепляю два до (был сильный загруз) и после.

[SQ]

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\Users\hp\AppData\Local\NVIDIA Corporation\GeForceNOW\CEF\GeForceNOW.exe','');
BC_ImportQuarantineList;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Kleno]

Карантин выслал (правда, при отправке лаганул инет и вылезла ошибка, но второй раз отправить не дало. Сказано, что такой файл уже был отправлен). Если его нет или он с ошибкой, скажите, попробую выслать повторно.

Не могу загрузить FRST.txt - исчерпан лимит на загружаемые файлы
Залил на ЯД: https://yadi.sk/d/xO6ooxGr_dVK-w

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  Start::
  CreateRestorePoint:
  CloseProcesses:
  File: C:\Program Files\IDT\WDM\stacsv64.exe
  File: C:\Program Files\IDT\WDM\sttray64.exe
  File: C:\Users\hp\AppData\Local\NVIDIA Corporation\GeForceNOW\CEF\GeForceNOW.exe
  Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw.dll [No File]
  CHR HomePage: Profile 1 -> hxxp://klit.startnow.com/?src=startpage&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=RU&install_date=20130207&user_guid=CE34B3EE19144F2592761E33B6050DF5&machine_id=b997936b374fe8b6b63f5ef83c9d0735&browser=CR&os=win&os_version=6.1-x64-SP1
  File: C:\Windows\System32\MsC5F0DC3AApp.dll
  Zip: C:\Windows\System32\MsC5F0DC3AApp.dll
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

[Kleno]

При отправке карантина - "Результат загрузки Ошибка загрузки. Данный файл уже был загружен"

Fixlog https://yadi.sk/d/r84nfze65B0VAw
TDSS https://yadi.sk/d/oqRw1pCi9dFx2w

[SQ]

Виду вы в TDDSKIller удалили два объекта:

Код:

12:30:23.0588 0x13a8  C:\Windows\System32\MsC5F0DC3AApp.dll - copied to quarantine
12:30:24.0883 0x13a8  HKLM\SYSTEM\ControlSet001\services\MsC5F0DC3AAppA - will be deleted on reboot
12:30:24.0899 0x13a8  HKLM\SYSTEM\ControlSet001\control\safeboot\Minimal\MsC5F0DC3AAppA - will be deleted on reboot
12:30:24.0899 0x13a8  HKLM\SYSTEM\ControlSet001\control\safeboot\Network\MsC5F0DC3AAppA - will be deleted on reboot

Могли бы проверить, если появился каталог с каратином предположительно в каталог C:\TDDSKiller, если да могли бы его пожалуйста заархивировать и отправить нам на исследование.

Приложите пожалуйста новый лог FRST.

P.S. Удалите старые вложения Мой кабинет => Вложения

[Kleno]

Да, TDSSKiller удалил два объекта (один с критическим уровнем опасности, второй со средним, но я от греха и его указал). После этого (тьфу, тьфу, тьфу), вроде, svchost перестал доминировать в процессах. Хотелось бы знать, что это было и как это проникло? Я, как мне казалось, патологически осторожен, каждый скаченный файл проверял всегда, как мог, и вона че, тем не менее))

[SQ]

1) архив содержит только файлы ini. Могли бы пожалуйста заархивировать целеком каталог C:\TDSSKiller_Quarantine и отправить его - загрузив по ссылке "Прислать запрошенный карантин" вверху темы.

2) Приложите пожалуйста новый лог FRST согласно следующей инструкции:

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

- - - - -Добавлено - - - - -

согласно отчету, этот вредоносный объект внедрялся в процесс %SystemRoot%\system32\svchost.exe

Код:

[InfectedObject]
Type: Service
Name: MsC5F0DC3AAppA
Type: n/a (0x20)
Start: Auto (0x2)
ImagePath: %SystemRoot%\system32\svchost.exe -k netsvcs
Suspicious states: Hidden service; Hidden file;

P.S. Предварительно это вредоносное ПО Trojan.Win32.Vemptik.gmf - рекомендуется сменить все пароли.

[Kleno]

Карантин отправил. Вопрос: мог этот троян как-то влиять на интернет-соединение (т.е. разрывать его периодически)? А то я напряг провайдера не по-детски, он все проверил, говорит, оборудование все в порядке, хотят кабель менять. Я вот думаю, а может вирус был к этому причастен? Так как после его удаления, вроде, и соединение стабилизировалось.

[SQ]

Карантин отправил. Вопрос: мог этот троян как-то влиять на интернет-соединение (т.е. разрывать его периодически)? А то я напряг провайдера не по-детски, он все проверил, говорит, оборудование все в порядке, хотят кабель менять. Я вот думаю, а может вирус был к этому причастен? Так как после его удаления, вроде, и соединение стабилизировалось.

Да, скорее всего это вредоносное ПО.

- - - - -Добавлено - - - - -

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  Start::
  CreateRestorePoint:
  CloseProcesses:
  CHR HomePage: Profile 1 -> hxxp://klit.startnow.com/?src=startpage&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=RU&install_date=20130207&user_guid=CE34B3EE19144F2592761E33B6050DF5&machine_id=b997936b374fe8b6b63f5ef83c9d0735&browser=CR&os=win&os_version=6.1-x64-SP1
  CHR HKLM-x32\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path/update_url>
  File: C:\Windows\SysWOW64\drivers\prodrv06.sys
  File: C:\Windows\SysWOW64\drivers\prohlp02.sys
  File: C:\Windows\SysWOW64\drivers\prosync1.sys
  NETSVC: MsC5F0DC3AApp -> no filepath.
  NETSVC: MsC5F0DC3AAppB -> no filepath.
  NETSVC: MsC5F0DC3AAppC -> no filepath.
  NETSVC: MsC5F0DC3AAppBak -> no filepath.
  NETSVC: MsC5F0DC3AAppA -> no filepath.
  Folder: C:\Windows\tracing
  Folder: C:\Users\Все пользователи\Synaptics
  Folder: C:\Users\hp\AppData\Local\EmieSiteList
  File: C:\Windows\SysWOW64\kdbsdk32.dll
  AlternateDataStreams: C:\Users\Все пользователи\Temp:41ADDB8A [125]
  AlternateDataStreams: C:\Users\Все пользователи\Temp:A064CECC [124]
  AlternateDataStreams: C:\Users\Все пользователи\Temp:DED17083 [294]
  AlternateDataStreams: C:\Users\Все пользователи\Temp:F4CA4D70 [458]
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\09564627.sys => ""="Driver"
  File: C:\Windows\System32\DRIVERS\dump_C5F0DC3A.sys
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\09564627.sys => ""="Driver"
  FirewallRules: [{AC0ACDE2-709C-48C8-B073-58D73974DF14}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
  FirewallRules: [{0CAA4D5D-B627-4A26-900C-1DFC07D35AEB}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
  FirewallRules: [TCP Query User{482E1842-8383-4A12-9A13-93274A94F0F6}C:\games\il2\il2\il2-connect\il2_conn.exe] => (Allow) C:\games\il2\il2\il2-connect\il2_conn.exe No File
  FirewallRules: [UDP Query User{834417D6-0CF1-4C37-B79B-29743F9CC683}C:\games\il2\il2\il2-connect\il2_conn.exe] => (Allow) C:\games\il2\il2\il2-connect\il2_conn.exe No File
  FirewallRules: [TCP Query User{21D4AA88-8248-49F5-816F-D564CA6AA8B7}C:\program files (x86)\arduino\java\bin\javaw.exe] => (Allow) C:\program files (x86)\arduino\java\bin\javaw.exe No File
  FirewallRules: [UDP Query User{75452B08-18DA-4026-A826-ACA89FEAF3BA}C:\program files (x86)\arduino\java\bin\javaw.exe] => (Allow) C:\program files (x86)\arduino\java\bin\javaw.exe No File
  FirewallRules: [{F018161A-B009-4AC1-9B34-5DF6D490CB85}] => (Block) %SystemDrive%\games\World_of_Tanks\res\cef1\cef_browser_process.exe No File
  FirewallRules: [{30312173-5875-4B42-BEB3-66461CA871C9}] => (Allow) C:\Games\World_of_Tanks_CT\WoTLauncher.exe No File
  FirewallRules: [{B60AE7C3-13D9-4164-BBDE-FA843C14E07F}] => (Allow) C:\Games\World_of_Tanks_CT\WoTLauncher.exe No File
  FirewallRules: [{DA5246D1-9FCF-433E-8B11-A3601E1F1581}] => (Allow) C:\Games\World_of_Tanks_CT\worldoftanks.exe No File
  FirewallRules: [{4558D9F6-C6B6-4BF3-B94F-E5A035F42458}] => (Allow) C:\Games\World_of_Tanks_CT\worldoftanks.exe No File
  FirewallRules: [TCP Query User{B6C45222-D8B5-4094-B3B7-5D1B4D67516F}C:\games\max payne 3\maxpayne3.exe] => (Allow) C:\games\max payne 3\maxpayne3.exe No File
  FirewallRules: [UDP Query User{5F5A1543-C7A6-4511-8A5E-8ADD79755F68}C:\games\max payne 3\maxpayne3.exe] => (Allow) C:\games\max payne 3\maxpayne3.exe No File
  FirewallRules: [{5AF7F409-DF25-480E-88E8-64CF9C18B34F}] => (Allow) C:\Games\World_of_Tanks_CT\worldoftanks.exe No File
  FirewallRules: [{602CDA07-CE6E-4D9B-A282-7A33B744747C}] => (Allow) C:\Games\World_of_Tanks_CT\worldoftanks.exe No File
  FirewallRules: [{F1012273-06C1-42EB-A012-171976E37960}] => (Allow) C:\Games\World_of_Tanks_CT\WoTLauncher.exe No File
  FirewallRules: [{AE8A4A43-6F62-4D77-A622-13D184968125}] => (Allow) C:\Games\World_of_Tanks_CT\WoTLauncher.exe No File
  FirewallRules: [{87CD1731-6AD8-49F9-A910-2AB13508D97A}] => (Allow) C:\Users\hp\AppData\Local\Temp\DriverPack-20191023194438\tools\aria2c.exe No File
  FirewallRules: [{3218AB7D-971F-4521-9F66-19922E7818D5}] => (Allow) C:\Users\hp\AppData\Roaming\DRPSu\Alice\cloud.exe No File
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Kleno]

Готово. Иногда TrustedInstaller.exe начинает вдруг работать, хотя поиск, загрузка и установка обновлений отключены. Или у меня уже паранойя начинается?)

[SQ]

Готово. Иногда TrustedInstaller.exe начинает вдруг работать, хотя поиск, загрузка и установка обновлений отключены.

Если служба работает в режиме manual то это нормально, так как она запускается по требованию, например во время установки каких-то компонентов и ролей и т.п.

Сообщите, пожалуйста если проблема еще беспокоит?

[Kleno]

Проблемы, вроде, больше не наблюдается. Спасибо Вам огромное за помощь! Думал уже, перебивать винду.

[SQ]

В завершение:
1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

[Kleno]

А зачем их удалять? Вдруг понадобятся снова. Если они не вредят, то пусть себе лежат)