Процесс svchost.exe грузит ЦП на 100%, открываются вкладки с рекламой в браузере - Удаление вирусов

@JIazard · 07.11.2017, 20:20 **[ТС]**

Author24 — интернет-сервис помощи студентам

Доброго времени суток.
При включении компьютера открывается реклама в браузере, время от времени сами по себе открываются вкладки с рекламой в браузере. Svchost.exe грузит ЦП на 100%.

@Sandor · 08.11.2017, 10:59

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя JIazard. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\windows\microsoft\svchost.exe');
 TerminateProcessByName('C:\Windows\Microsoft\svchost.exe.exe');
 TerminateProcessByName('C:\Windows\System32\AppFrameHost.exe');
 StopService('AppFrameHost');
 StopService('clr_optimization_v1.03');
 QuarantineFile('C:\Users\Sancho\AppData\Roaming\curl\curl.exe', '');
 QuarantineFile('C:\Users\Sancho\AppData\Roaming\curl\curl_7_54.exe', '');
 QuarantineFile('C:\Users\Sancho\AppData\Roaming\setupsk\ml.py', '');
 QuarantineFile('C:\Users\Sancho\AppData\Roaming\setupsk\python\pythonw.exe', '');
 QuarantineFile('C:\Users\Sancho\AppData\Roaming\System\svchost.exe', '');
 QuarantineFile('c:\windows\microsoft\svchost.exe', '');
 QuarantineFile('C:\Windows\Microsoft\svchost.exe.exe', '');
 QuarantineFile('C:\Windows\System32\AppFrameHost.exe', '');
 QuarantineFileF('c:\users\sancho\appdata\roaming\setupsk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "setupsk" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "setupsk_upd" /F', 0, 15000, true);
 DeleteFile('C:\Users\Sancho\AppData\Roaming\curl\curl.exe', '32');
 DeleteFile('C:\Users\Sancho\AppData\Roaming\curl\curl_7_54.exe', '32');
 DeleteFile('C:\Users\Sancho\AppData\Roaming\setupsk\ml.py', '32');
 DeleteFile('C:\Users\Sancho\AppData\Roaming\setupsk\python\pythonw.exe', '32');
 DeleteFile('C:\Users\Sancho\AppData\Roaming\System\svchost.exe', '32');
 DeleteFile('C:\Users\Sancho\Favorites\Links\Интернет.url');
 DeleteFile('c:\windows\microsoft\svchost.exe', '32');
 DeleteFile('C:\Windows\Microsoft\svchost.exe.exe', '32');
 DeleteFile('C:\Windows\System32\AppFrameHost.exe', '32');
 DeleteService('AppFrameHost');
 DeleteService('clr_optimization_v1.03');
 DeleteService('SvcHost Service Host');
 DeleteFileMask('c:\users\sancho\appdata\roaming\setupsk', '*', true);
 DeleteDirectory('c:\users\sancho\appdata\roaming\setupsk');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ycAutoLaunch_026EA2B6FA4A23C9E6F495515A96AD2A');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'zxabpenppl');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(21);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Подготовьте новый CollectionLog.

@JIazard · 08.11.2017, 19:00 **[ТС]**

Вот новые логи)))

@Sandor · 09.11.2017, 10:24

Подготовьте и прикрепите лог сканирования AdwCleaner.

@JIazard · 09.11.2017, 17:39 **[ТС]**

Вот лог AdwCleaner.

@Sandor · 09.11.2017, 17:47

1.

Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@JIazard · 09.11.2017, 18:27 **[ТС]**

Вот логи)))

@Sandor · 10.11.2017, 09:40

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CreateRestorePoint:
SearchScopes: HKU\S-1-5-21-1421755440-408274841-3953283605-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BDBFC0A69-D8AE-4018-B1C8-F175AC293298%7D&gp=832417
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=832414
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?fr=ntg&product_id=%7B1D9867DD-8DF0-4AF4-AF0E-A7F760E38254%7D&gp=832417
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Sancho\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2017-11-06]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Sancho\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2017-11-06]
FF Extension: (Пульт) - C:\Users\Sancho\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2017-11-06]
CHR HomePage: Default -> inline.go.mail.ru
CHR StartupUrls: Default -> "hxxps://www.google.ru/?gfe_rd=cr&ei=faMoVdb0KOeO8QeQuoGYDA&gws_rd=ssl","hxxp://mail.ru/cnt/10445?gp=832405"
CHR NewTab: Default ->  Not-active:"chrome-extension://ncodoaimhlcfabjhkfidcilcijpbcabn/layout/newtab.html"
2017-11-06 15:48 - 2017-11-06 15:48 - 000003684 _____ C:\WINDOWS\System32\Tasks\CurrencyConvertor
2017-11-06 15:48 - 2017-11-06 15:48 - 000003622 _____ C:\WINDOWS\System32\Tasks\CurrencyConvertor2
2017-11-06 15:46 - 2017-11-08 18:43 - 000000000 ____D C:\Users\Sancho\AppData\Roaming\curl
2017-11-06 15:45 - 2017-11-07 18:33 - 000000000 ____D C:\Users\Sancho\AppData\Local\yc
Task: {5B483387-8949-4241-9113-223EAEAFDA92} - System32\Tasks\CurrencyConvertor2 => C:\Users\Sancho\AppData\Roaming\CurrencyConvertor\python\pythonw.exe <==== ATTENTION
Task: {D8C24A5F-11E1-4E1D-9E10-AC1F14FA22F0} - System32\Tasks\CurrencyConvertor => C:\Users\Sancho\AppData\Roaming\CurrencyConvertor\python\pythonw.exe <==== ATTENTION
HKU\S-1-5-21-1421755440-408274841-3953283605-1001\...\StartupApproved\Run: => "ycAutoLaunch_026EA2B6FA4A23C9E6F495515A96AD2A"
FirewallRules: [{46E78009-AD77-4099-9598-96EBF66E41D4}] => (Allow) C:\Users\Sancho\AppData\Local\yc\Application\yc.exe
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@JIazard · 10.11.2017, 10:34 **[ТС]**

А с кодом что делать?

@Sandor · 10.11.2017, 10:36

Сообщение от Sandor

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите.

Именно это

@JIazard · 10.11.2017, 17:42 **[ТС]**

Лог

@Sandor · 10.11.2017, 20:49

Что сейчас с проблемой?

@JIazard · 11.11.2017, 15:08 **[ТС]**

Проблемы больше нет, все отлично))) Огромное спасибо за помощь

@Sandor · 11.11.2017, 19:42

В завершение:
1.

Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@JIazard · 12.11.2017, 19:55 **[ТС]**

Вот лог.

@Sandor · 14.11.2017, 09:19

--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 4.01 (64-bit) v.4.01.0 Внимание! Скачать обновления
TeamViewer 11 v.11.0.80697 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.0.43916 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.61.0.3163.100 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^

Рекомендации после удаления вредоносного ПО

@JIazard 0 / 0 / 0 Регистрация: 04.05.2017 Сообщений: 32
	07.11.2017, 20:20 [ТС]	1
	Доброго времени суток. При включении компьютера открывается реклама в браузере, время от времени сами по себе открываются вкладки с рекламой в браузере. Svchost.exe грузит ЦП на 100%. 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	09.11.2017, 10:24	4
	Подготовьте и прикрепите лог сканирования AdwCleaner. 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	09.11.2017, 17:47	6
	1. Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 1

@JIazard 0 / 0 / 0 Регистрация: 04.05.2017 Сообщений: 32
	10.11.2017, 10:34 [ТС]	9
	А с кодом что делать? 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	10.11.2017, 10:36	10
	Сообщение от Sandor Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Именно это 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	10.11.2017, 20:49	12
	Что сейчас с проблемой? 0

@JIazard 0 / 0 / 0 Регистрация: 04.05.2017 Сообщений: 32
	11.11.2017, 15:08 [ТС]	13
	Проблемы больше нет, все отлично))) Огромное спасибо за помощь 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	11.11.2017, 19:42	14
	В завершение: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	14.11.2017, 09:19	16
	--------------------------- [ OtherUtilities ] ---------------------------- WinRAR 4.01 (64-bit) v.4.01.0 Внимание! Скачать обновления TeamViewer 11 v.11.0.80697 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.0.43916 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. ------------------------------- [ Browser ] ------------------------------- Google Chrome v.61.0.3163.100 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Google Chrome!^ Рекомендации после удаления вредоносного ПО 1

Опции темы