Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.80/5: Рейтинг темы: голосов - 5, средняя оценка - 4.80
o_ct1k
0 / 0 / 0
Регистрация: 08.12.2017
Сообщений: 9
1

RunDLL Hashsteam min temp1.exe svhost HhSm майнят на моем компе!

08.12.2017, 21:22. Просмотров 842. Ответов 15
Метки нет (Все метки)

Друг указал на этот вирус. Сказал обратиться к вам. Удалять его бесполезно, так как он самовосстанавливается.
0
Миниатюры
RunDLL Hashsteam min temp1.exe svhost HhSm майнят на моем компе!   RunDLL Hashsteam min temp1.exe svhost HhSm майнят на моем компе!  
Вложения
Тип файла: zip CollectionLog-2017.12.08-20.07.zip (66.4 Кб, 6 просмотров)
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
08.12.2017, 21:22
Ответы с готовыми решениями:

Процессы explorer.exe, svhost.exe нагружают ЦП до 100%
Пару дней назад заметил, что процессы explorer.exe, svhost.exe начали грузить систему вплоть до...

alg.exe rundll.exe
Нашел у себя 2 эти подозрительных приложения в диспетчере. Есть ли повод для беспокойства???

Ошибки svhost.exe и spoolsv.exe
Здравствуйте! Такая проблема: На компьютере стала выскакивать ошибка "Память не может быть...

Вирус-майнер HostXmrig.exe Rundll
Здравствуйте! В папке C:\Windows\ создается папка HhSm, через некоторое время в папке...

Снова обращаюсь к вам! Три процесса rundll.exe
Здравствуйте! В прошлой теме помогли, похоже не достаточно(ничего плохого про человека который...

15
Dragokas
Эксперт WindowsАвтор FAQ
17073 / 7128 / 861
Регистрация: 25.12.2011
Сообщений: 10,933
Записей в блоге: 16
08.12.2017, 22:43 2
Пожалуйста, скачайте MiniRegTool.zip и распакуйте его.
  • Запустите утилиту
  • Скопируйте и вставьте следующий текст в поле ввода:
    Код
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
  • Отметьте опцию Export Keys.
  • нажмите кнопку Go, после этого прикрепите к своему сообщению Result.txt.
0
o_ct1k
0 / 0 / 0
Регистрация: 08.12.2017
Сообщений: 9
10.12.2017, 11:38  [ТС] 3
Вот, все сделал
0
Вложения
Тип файла: txt Result.txt (3.7 Кб, 7 просмотров)
Sandor
Вирусоборец
13678 / 11718 / 1901
Регистрация: 08.10.2012
Сообщений: 47,792
11.12.2017, 10:03 4
Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя o_ct1k. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
  1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantineEx(true);
     TerminateProcessByName('c:\windows\hhsm\client.exe');
     TerminateProcessByName('c:\windows\min\hostxmrig.exe');
     TerminateProcessByName('c:\windows\mssecsvc.exe');
     QuarantineFile('C:\ProgramData\indus\start.vbs', '');
     QuarantineFile('c:\windows\hhsm\client.exe', '');
     QuarantineFile('c:\windows\min\hostxmrig.exe', '');
     QuarantineFile('c:\windows\mssecsvc.exe', '');
     DeleteFile('C:\ProgramData\indus\start.vbs', '32');
     DeleteFile('c:\windows\hhsm\client.exe', '32');
     DeleteFile('c:\windows\min\hostxmrig.exe', '32');
     DeleteFile('c:\windows\mssecsvc.exe', '32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'rundll');
    BC_ImportALL;
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки, выполните такой скрипт:

    Код
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
  2. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
    К сообщению прикреплять файл quarantine.zip не нужно!

  3. Файл CheckBrowserLnk.log
    из папки
    ...\AutoLogger\CheckBrowserLnk
    перетащите на утилиту ClearLNK.



    Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


  4. "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
    Код
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://mail.ru/cnt/10445?gp=profitraf3[/url]
    R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=profitraf3
    R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=profitraf3 (URL)
    R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://suggests.go.mail.ru/ie8?q={SearchTerms} (SuggestionsURL)
    O4 - HKLM\..\Run: [rundll] C:\Windows\system32\wscript.exe C:\ProgramData\indus\start.vbs
    O20 - AppInit_DLLs: 薈Љ慖⁤놣觅䮸訐 (disabled by registry)
  5. Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
0
11.12.2017, 10:03
o_ct1k
0 / 0 / 0
Регистрация: 08.12.2017
Сообщений: 9
16.12.2017, 19:20  [ТС] 5
Сделал
0
Вложения
Тип файла: log ClearLNK-16.12.2017_18-11.log (13.3 Кб, 3 просмотров)
o_ct1k
0 / 0 / 0
Регистрация: 08.12.2017
Сообщений: 9
16.12.2017, 19:32  [ТС] 6
Не знаю, нужно ли было прикреплять Collection.log, но прикрепил на всякий
0
Вложения
Тип файла: zip CollectionLog-2017.12.16-18.25.zip (43.5 Кб, 4 просмотров)
Sandor
Вирусоборец
13678 / 11718 / 1901
Регистрация: 08.10.2012
Сообщений: 47,792
18.12.2017, 10:51 7
Подготовьте и прикрепите лог сканирования AdwCleaner.
0
o_ct1k
0 / 0 / 0
Регистрация: 08.12.2017
Сообщений: 9
18.01.2018, 11:05  [ТС] 8
Окей
0
o_ct1k
0 / 0 / 0
Регистрация: 08.12.2017
Сообщений: 9
18.01.2018, 11:07  [ТС] 9
Сори за столь долгое отсутствие, вот, прошу
0
Вложения
Тип файла: txt AdwCleaner[S0].txt (1.9 Кб, 5 просмотров)
Sandor
Вирусоборец
13678 / 11718 / 1901
Регистрация: 08.10.2012
Сообщений: 47,792
18.01.2018, 11:36 10
1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome
      и нажмите Ok.
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.


2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.
0
o_ct1k
0 / 0 / 0
Регистрация: 08.12.2017
Сообщений: 9
19.01.2018, 00:03  [ТС] 11
Держите
0
Вложения
Тип файла: txt AdwCleaner[C0].txt (2.1 Кб, 2 просмотров)
Тип файла: rar Addition+FRST.rar (22.5 Кб, 2 просмотров)
Тип файла: rar Shortcut.rar (11.3 Кб, 2 просмотров)
Sandor
Вирусоборец
13678 / 11718 / 1901
Регистрация: 08.10.2012
Сообщений: 47,792
19.01.2018, 09:48 12
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код
    Start::
    CreateRestorePoint:
    2017-12-27 21:35 - 2017-11-07 21:15 - 000000000 ____D C:\ProgramData\indus
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.


Сообщите что с проблемой.
0
o_ct1k
0 / 0 / 0
Регистрация: 08.12.2017
Сообщений: 9
19.01.2018, 23:57  [ТС] 13
Тоесть? Что Вы имеете ввиду "Сообщите что с проблемой"?
0
Вложения
Тип файла: txt Fixlog.txt (1.2 Кб, 3 просмотров)
Sandor
Вирусоборец
13678 / 11718 / 1901
Регистрация: 08.10.2012
Сообщений: 47,792
20.01.2018, 09:48 14
Цитата Сообщение от o_ct1k Посмотреть сообщение
RunDLL Hashsteam min temp1.exe svhost HhSm майнят на моем компе
Это еще беспокоит?
0
o_ct1k
0 / 0 / 0
Регистрация: 08.12.2017
Сообщений: 9
21.01.2018, 02:51  [ТС] 15
Да, опять же, пройшло несколько дней они самоустановились обратно.
Смотрю через procexp, вроде в память не жрут, но нарягает тот факт, что они все еще у меня на компе.
0
Sandor
Вирусоборец
13678 / 11718 / 1901
Регистрация: 08.10.2012
Сообщений: 47,792
22.01.2018, 10:04 16
Подготовьте лог uVS.
0
22.01.2018, 10:04
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
22.01.2018, 10:04

svhost.exe
svhost.exe инструкция по адресу &quot;0х05765866&quot; обратилась к памяти по адресу &quot;0х05765866&quot; память не...

Кто-то шарится в моем компе?
Обращаюсь сюда, ибо знаю тут сидят знающие люди.. Ситуация такая, что на рабочем компе есть...

Svhost.exe грузит пк на 80%
svhost очень сильно грузит пк помогите пожалуйста.


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
16
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru