Самопроизовльное открытие рекламных страниц на imwhite (процесс wutphost)

@JIoB3uK · Регистрация: 09.03.2016

Author24 — интернет-сервис помощи студентам

благодаря _flashboot*ru подхватил заразу, периодически открывается браузер с рекламой. логи снял, софт который установился удалил, хвосты подчистить надо бы - не во всех уверен то, что сам хочу.

@Sandor · 07.07.2017, 10:42

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя JIoB3uK. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\stepin\appdata\local\temp\1155.tmp.exe');
 TerminateProcessByName('c:\users\stepin\appdata\local\temp\3c18.tmp.exe');
 TerminateProcessByName('c:\users\stepin\appdata\local\temp\e17b.tmp.exe');
 TerminateProcessByName('c:\windows\microsoft\svchost.exe');
 StopService('icacl');
 QuarantineFile('C:\Windows\system32\icacl.exe','');
 QuarantineFile('c:\users\stepin\appdata\local\temp\1155.tmp.exe', '');
 QuarantineFile('c:\users\stepin\appdata\local\temp\3c18.tmp.exe', '');
 QuarantineFile('c:\users\stepin\appdata\local\temp\e17b.tmp.exe', '');
 QuarantineFile('c:\windows\microsoft\svchost.exe', '');
 QuarantineFile('C:\Users\Stepin\AppData\Local\wutphost\wutphost.exe','');
 ExecuteFile('schtasks.exe', '/delete /TN "wutphost" /F', 0, 15000, true);
 DeleteFile('C:\Windows\system32\icacl.exe','32');
 DeleteFile('C:\Users\Stepin\AppData\Local\wutphost\wutphost.exe','32');
 DeleteFile('c:\users\stepin\appdata\local\temp\1155.tmp.exe', '32');
 DeleteFile('c:\users\stepin\appdata\local\temp\3c18.tmp.exe', '32');
 DeleteFile('c:\users\stepin\appdata\local\temp\e17b.tmp.exe', '32');
 DeleteFile('c:\windows\microsoft\svchost.exe', '32');
 DeleteService('icacl');
 DeleteService('SvcHost Service Host');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Подготовьте новый CollectionLog.

@JIoB3uK · 07.07.2017, 11:57 **[ТС]**

Sandor, новые логи

@JIoB3uK · 07.07.2017, 11:57 **[ТС]**

дубль

@Sandor · 07.07.2017, 13:09

Что с проблемой?

@JIoB3uK · 07.07.2017, 14:30 **[ТС]**

Sandor, вроде не открывается ничего(помониюторю). парочка других процессов, чекнул на вирустотал - вроде все норм.
Спасибо.

@Sandor · 07.07.2017, 14:43

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@JIoB3uK · 07.07.2017, 15:01 **[ТС]**

Sandor,

Кликните здесь для просмотра всего текста

SecurityCheck by glax24 & Severnyj v.1.4.0.51 [13.06.17]
WebSite: www.safezone.cc
DateLog: 07.07.2017 14:54:04
Path starting: C:\Users\Stepin\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Stepin
VersionXML: 4.48is-05.07.2017
___________________________________________________________________________

Windows 10(6.3.15063) (x64) Enterprise Версия: 1703 Lang: Russian(0419)
Дата установки ОС: 03.06.2017 03:51:20
Статус лицензии: Windows(R), Enterprise edition Срок истечения многопользовательской активации: 253321 мин.
Статус лицензии: Office 15, OfficeVisioProVL_KMS_Client edition Windows находится в режиме уведомления
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [465.2 Гб] Занято: [176 Гб] Свободно: [289.2 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.413.15063.0
Контроль учётных записей пользователя включен
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------- [ HotFix ] --------------------------------
HotFix KB4016871 Внимание! Скачать обновления
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2013 x64 v.15.0.4569.1506
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (включен и обновлен)
--------------------------- [ OtherUtilities ] ----------------------------
Foxit Reader 7.3.0.118 v.v 7.3.0.118 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
WinRAR 5.31 v.5.31 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.20513.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.0.43804 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AppleProduction ] ---------------------------
Bonjour Service (Bonjour Service) - Служба работает
------------------------------- [ Browser ] -------------------------------
Google Chrome v.59.0.3071.115
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\Program Files\Windows Defender\MsMpEng.exe v.4.11.15063.0
C:\Program Files\Windows Defender\NisSrv.exe v.4.11.15063.0
Антивирусная программа "Защитника Windows" (WinDefend) - Служба работает
Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба работает
---------------------------- [ UnwantedApps ] -----------------------------
Auslogics Disk Defrag v.version 3.3 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

Добавлено через 3 минуты
Sandor, подхватил я 30го, когда оживлял флэшки.
из лога за 30, то что осталось

2017-06-30 12:49:43 ----D---- C:\Windows\Transcend JetFlash Recovery Tool
2017-06-30 12:49:43 ----D---- C:\Program Files (x86)\Transcend JetFlash Recovery Tool
2017-06-30 11:42:04 ----A---- C:\Windows\system32\drivers\smidriver.sys
2017-06-30 10:47:46 ----N---- C:\Windows\SYSWOW64\DrvCovEx.exe
2017-06-30 10:47:45 ----A---- C:\Windows\system32\drivers\mpszfilt.sys
2017-06-30 10:27:20 ----A---- C:\Windows\system32\icacl.exe
2017-06-30 10:24:48 ----RSHD---- C:\Windows\Microsoft
2017-06-30 10:17:22 ----D---- C:\Program Files (x86)\Mail.Ru
2017-06-30 10:16:27 ----D---- C:\ProgramData\Mail.Ru
2017-06-30 10:15:52 ----A---- C:\Windows\SYSWOW64\drivers\mpfilt.sys
2017-06-30 08:54:47 ----D---- C:\Windows\SYSWOW64\IOSUBSYS
2017-06-30 08:54:47 ----D---- C:\Program Files (x86)\Prolific
2017-06-30 08:54:47 ----A---- C:\Windows\SYSWOW64\HotFixQ0306270.exe
2017-06-30 08:54:47 ----A---- C:\Windows\SYSWOW64\drivers\UMSS.SYS
2017-06-30 08:54:47 ----A---- C:\Windows\SYSWOW64\drivers\plff.sys
2017-06-30 08:54:47 ----A---- C:\Windows\SYSWOW64\drivers\PL2515.sys
2017-06-30 08:54:46 ----HD---- C:\Program Files (x86)\InstallShield Installation Information

папка Microsoft меня вбольше всего смущает. Я ни открыть ее не могу ничего

на чистой 10ке такого нету.
В ней как раз и был C:\Windows\Microsoft\svchost.exe

@Sandor · 07.07.2017, 15:17

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@JIoB3uK · 07.07.2017, 15:56 **[ТС]**

Sandor, сделал

@Sandor · 08.07.2017, 20:56

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CreateRestorePoint:
() C:\Windows\System32\icacl.exe
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
GroupPolicyScripts: Restriction <==== ATTENTION
HKU\S-1-5-21-2844612839-4055106650-1528665946-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811013
SearchScopes: HKU\S-1-5-21-2844612839-4055106650-1528665946-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BC482D419-FDD6-43A0-9BEA-9416B28A0290%7D&gp=811014
SearchScopes: HKU\S-1-5-21-2844612839-4055106650-1528665946-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BC482D419-FDD6-43A0-9BEA-9416B28A0290%7D&gp=811014
R2 icacl; C:\Windows\system32\icacl.exe [920784 2017-06-30] ()
2017-06-30 10:27 - 2017-06-30 10:27 - 00920784 _____ C:\Windows\system32\icacl.exe
2017-06-30 10:24 - 2017-06-30 10:24 - 00000000 ____D C:\Users\Stepin\AppData\Local\Поиcк в Интeрнете
2017-06-30 10:23 - 2017-07-07 10:47 - 00000000 ____D C:\Users\Stepin\AppData\Local\wutphost
Task: {57B287E6-E2A9-4D6F-912E-45F826D07B4A} - \wutphost -> No File <==== ATTENTION
FirewallRules: [{9E719559-945E-4152-B5EA-EBDB9F0FF859}] => (Allow) C:\Program Files\UBar\ubar.exe
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@JIoB3uK · 09.07.2017, 12:28 **[ТС]**

Sandor, готово

@Sandor · 10.07.2017, 21:21

Если больше ничего не беспокоит, исправьте указанное в сообщении №8.

Прочтите и выполните Рекомендации после удаления вредоносного ПО

Добавлено через 12 часов 29 минут
JIoB3uK, понимаю, что вам весело наблюдать за работой консультантов. В следующий раз, а он не за горами, быстрой помощи не ждите.
Я намекаю на ваш дубль тут и параллельное лечение на virusinfo.

@JIoB3uK · 12.07.2017, 12:52 **[ТС]**

Sandor,

Сообщение от Sandor

быстрой помощи не ждите.

Там не отвечали ООооочень долго. Я там даже первое время не апал тему, пока не начали отвечать на заявки, номер у которых после моего. Тогда и там апнул, и наткнулся что и тут помогают - тут написал. Увы ответили в итоге почти одновременно и там и там, не успел прикрыть где либо тему.
Что одни и те же люди и там и тут, ну по крайней мере Вы, я заметил уже позже.

Сообщение от Sandor

JIoB3uK, понимаю, что вам весело наблюдать за работой консультантов. В следующий раз, а он не за горами, быстрой помощи не ждите.

П.С.: Не обольщайтесь, следующего раза не будет. Данный раз был первый за более чем год

П.П.С.: вы оба прозевали svchost.update.exe

@Sandor 21552 / 15504 / 2987 Регистрация: 08.10.2012 Сообщений: 63,031
	07.07.2017, 10:42	2
	Сообщение было отмечено JIoB3uK как решение Решение Здравствуйте! Внимание! Рекомендации написаны специально для пользователя JIoB3uK. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\users\stepin\appdata\local\temp\1155.tmp.exe'); TerminateProcessByName('c:\users\stepin\appdata\local\temp\3c18.tmp.exe'); TerminateProcessByName('c:\users\stepin\appdata\local\temp\e17b.tmp.exe'); TerminateProcessByName('c:\windows\microsoft\svchost.exe'); StopService('icacl'); QuarantineFile('C:\Windows\system32\icacl.exe',''); QuarantineFile('c:\users\stepin\appdata\local\temp\1155.tmp.exe', ''); QuarantineFile('c:\users\stepin\appdata\local\temp\3c18.tmp.exe', ''); QuarantineFile('c:\users\stepin\appdata\local\temp\e17b.tmp.exe', ''); QuarantineFile('c:\windows\microsoft\svchost.exe', ''); QuarantineFile('C:\Users\Stepin\AppData\Local\wutphost\wutphost.exe',''); ExecuteFile('schtasks.exe', '/delete /TN "wutphost" /F', 0, 15000, true); DeleteFile('C:\Windows\system32\icacl.exe','32'); DeleteFile('C:\Users\Stepin\AppData\Local\wutphost\wutphost.exe','32'); DeleteFile('c:\users\stepin\appdata\local\temp\1155.tmp.exe', '32'); DeleteFile('c:\users\stepin\appdata\local\temp\3c18.tmp.exe', '32'); DeleteFile('c:\users\stepin\appdata\local\temp\e17b.tmp.exe', '32'); DeleteFile('c:\windows\microsoft\svchost.exe', '32'); DeleteService('icacl'); DeleteService('SvcHost Service Host'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы. К сообщению прикреплять файл quarantine.zip не нужно! Подготовьте новый CollectionLog. 1

@JIoB3uK 5 / 5 / 7 Регистрация: 09.03.2016 Сообщений: 89
	07.07.2017, 11:57 [ТС]	4
	дубль 0

@Sandor 21552 / 15504 / 2987 Регистрация: 08.10.2012 Сообщений: 63,031
	07.07.2017, 13:09	5
	Что с проблемой? 1

@JIoB3uK 5 / 5 / 7 Регистрация: 09.03.2016 Сообщений: 89
	07.07.2017, 14:30 [ТС]	6
	Sandor, вроде не открывается ничего(помониюторю). парочка других процессов, чекнул на вирустотал - вроде все норм. Спасибо. 0

@Sandor 21552 / 15504 / 2987 Регистрация: 08.10.2012 Сообщений: 63,031
	07.07.2017, 14:43	7
	Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@JIoB3uK 5 / 5 / 7 Регистрация: 09.03.2016 Сообщений: 89
	07.07.2017, 15:01 [ТС]	8
	Sandor, Кликните здесь для просмотра всего текста SecurityCheck by glax24 & Severnyj v.1.4.0.51 [13.06.17] WebSite: www.safezone.cc DateLog: 07.07.2017 14:54:04 Path starting: C:\Users\Stepin\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: Stepin VersionXML: 4.48is-05.07.2017 ___________________________________________________________________________ Windows 10(6.3.15063) (x64) Enterprise Версия: 1703 Lang: Russian(0419) Дата установки ОС: 03.06.2017 03:51:20 Статус лицензии: Windows(R), Enterprise edition Срок истечения многопользовательской активации: 253321 мин. Статус лицензии: Office 15, OfficeVisioProVL_KMS_Client edition Windows находится в режиме уведомления Режим загрузки: Normal Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe Системный диск: C: ФС: [NTFS] Емкость: [465.2 Гб] Занято: [176 Гб] Свободно: [289.2 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.413.15063.0 Контроль учётных записей пользователя включен Центр обновления Windows (wuauserv) - Служба остановлена Центр обеспечения безопасности (wscsvc) - Служба работает Удаленный реестр (RemoteRegistry) - Служба остановлена Обнаружение SSDP (SSDPSRV) - Служба работает Службы удаленных рабочих столов (TermService) - Служба работает Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена ------------------------------- [ HotFix ] -------------------------------- HotFix KB4016871 Внимание! Скачать обновления ------------------------------ [ MS Office ] ------------------------------ Microsoft Office 2013 x64 v.15.0.4569.1506 ---------------------------- [ Antivirus_WMI ] ---------------------------- Windows Defender (включен и обновлен) --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Windows (MpsSvc) - Служба работает --------------------------- [ AntiSpyware_WMI ] --------------------------- Windows Defender (включен и обновлен) --------------------------- [ OtherUtilities ] ---------------------------- Foxit Reader 7.3.0.118 v.v 7.3.0.118 Внимание! Скачать обновления ^Локализованные версии могут обновляться позже англоязычных!^ WinRAR 5.31 v.5.31 Внимание! Скачать обновления Microsoft Silverlight v.5.1.20513.0 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.0.43804 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. --------------------------- [ AppleProduction ] --------------------------- Bonjour Service (Bonjour Service) - Служба работает ------------------------------- [ Browser ] ------------------------------- Google Chrome v.59.0.3071.115 ------------------ [ AntivirusFirewallProcessServices ] ------------------- C:\Program Files\Windows Defender\MsMpEng.exe v.4.11.15063.0 C:\Program Files\Windows Defender\NisSrv.exe v.4.11.15063.0 Антивирусная программа "Защитника Windows" (WinDefend) - Служба работает Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба работает ---------------------------- [ UnwantedApps ] ----------------------------- Auslogics Disk Defrag v.version 3.3 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. ----------------------------- [ End of Log ] ------------------------------ Добавлено через 3 минуты Sandor, подхватил я 30го, когда оживлял флэшки. из лога за 30, то что осталось 2017-06-30 12:49:43 ----D---- C:\Windows\Transcend JetFlash Recovery Tool 2017-06-30 12:49:43 ----D---- C:\Program Files (x86)\Transcend JetFlash Recovery Tool 2017-06-30 11:42:04 ----A---- C:\Windows\system32\drivers\smidriver.sys 2017-06-30 10:47:46 ----N---- C:\Windows\SYSWOW64\DrvCovEx.exe 2017-06-30 10:47:45 ----A---- C:\Windows\system32\drivers\mpszfilt.sys 2017-06-30 10:27:20 ----A---- C:\Windows\system32\icacl.exe 2017-06-30 10:24:48 ----RSHD---- C:\Windows\Microsoft 2017-06-30 10:17:22 ----D---- C:\Program Files (x86)\Mail.Ru 2017-06-30 10:16:27 ----D---- C:\ProgramData\Mail.Ru 2017-06-30 10:15:52 ----A---- C:\Windows\SYSWOW64\drivers\mpfilt.sys 2017-06-30 08:54:47 ----D---- C:\Windows\SYSWOW64\IOSUBSYS 2017-06-30 08:54:47 ----D---- C:\Program Files (x86)\Prolific 2017-06-30 08:54:47 ----A---- C:\Windows\SYSWOW64\HotFixQ0306270.exe 2017-06-30 08:54:47 ----A---- C:\Windows\SYSWOW64\drivers\UMSS.SYS 2017-06-30 08:54:47 ----A---- C:\Windows\SYSWOW64\drivers\plff.sys 2017-06-30 08:54:47 ----A---- C:\Windows\SYSWOW64\drivers\PL2515.sys 2017-06-30 08:54:46 ----HD---- C:\Program Files (x86)\InstallShield Installation Information папка Microsoft меня вбольше всего смущает. Я ни открыть ее не могу ничего на чистой 10ке такого нету. В ней как раз и был C:\Windows\Microsoft\svchost.exe 0

@Sandor 21552 / 15504 / 2987 Регистрация: 08.10.2012 Сообщений: 63,031
	07.07.2017, 15:17	9
	Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 21552 / 15504 / 2987 Регистрация: 08.10.2012 Сообщений: 63,031
	10.07.2017, 21:21	13
	Если больше ничего не беспокоит, исправьте указанное в сообщении №8. Прочтите и выполните Рекомендации после удаления вредоносного ПО Добавлено через 12 часов 29 минут JIoB3uK, понимаю, что вам весело наблюдать за работой консультантов. В следующий раз, а он не за горами, быстрой помощи не ждите. Я намекаю на ваш дубль тут и параллельное лечение на virusinfo. 2

@JIoB3uK 5 / 5 / 7 Регистрация: 09.03.2016 Сообщений: 89
	12.07.2017, 12:52 [ТС]	14
	Sandor, Сообщение от Sandor быстрой помощи не ждите. Там не отвечали ООооочень долго. Я там даже первое время не апал тему, пока не начали отвечать на заявки, номер у которых после моего. Тогда и там апнул, и наткнулся что и тут помогают - тут написал. Увы ответили в итоге почти одновременно и там и там, не успел прикрыть где либо тему. Что одни и те же люди и там и тут, ну по крайней мере Вы, я заметил уже позже. Сообщение от Sandor JIoB3uK, понимаю, что вам весело наблюдать за работой консультантов. В следующий раз, а он не за горами, быстрой помощи не ждите. П.С.: Не обольщайтесь, следующего раза не будет. Данный раз был первый за более чем год П.П.С.: вы оба прозевали svchost.update.exe 0

Опции темы

Самопроизовльное открытие рекламных страниц на imwhite (процесс wutphost)

Решение