Непонятный процесс

@Xo6ut · Регистрация: 04.11.2011

Студворк — интернет-сервис помощи студентам

В диспетчере появился процесс winin1t.exe, который жрет цп, убийство не помогает(появляется снова).

@Kиpилл · 25.10.2017, 19:36

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Code
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\dhcq\w1ninit.exe');
 TerminateProcessByName('C:\ProgramData\Microsoft\DhcQ\winin1t.exe');
 StopService('DhcQ');
 QuarantineFileF('c:\programdata\dhcq', '*', true, '', 0 ,0);
 QuarantineFile('c:\programdata\dhcq\w1ninit.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\DhcQ\winin1t.exe', '');
 QuarantineFile('C:\ProgramData\Aebblnroq.psd', '');
 QuarantineFile('c:\programdata\application data\storm\update\%youshizhuay%\bbubd.cc3', '');
 QuarantineFile('D:\autorun.inf', '');
 DeleteFile('c:\programdata\dhcq\w1ninit.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\DhcQ\winin1t.exe', '32');
 DeleteFileMask('c:\programdata\dhcq', '*', true);
 DeleteDirectory('c:\programdata\dhcq');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Tomcat9\Parameters','ServiceDll');
 DeleteService('DhcQ');
ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Code
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Подготовьте такой лог
FAQ по работе с утилитой Farbar Recovery Scan Tool

@Xo6ut · 30.10.2017, 17:48 **[ТС]**

Извиняюсь за столь долгое отсутствие, не было доступа к данному пк, после возвращения проблема повторилась, выполнил ваш скрипт повторно, вот логи, карантин отправил.

@Xo6ut · 31.10.2017, 13:11 **[ТС]**

Процесс снова появился

@Sandor · 31.10.2017, 14:28

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-538789377-3517074585-1924007380-1000\...\MountPoints2: {e619682f-83ec-11e6-814c-7824af432f71} - G:\INSTALL.EXE
HKU\S-1-5-21-538789377-3517074585-1924007380-1000\...\MountPoints2: {e6196836-83ec-11e6-814c-7824af432f71} - H:\Autorun.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{21c88563-f6a8-44d5-b088-81ec9505b0e3} <==== ATTENTION (Restriction - IP)
CHR DefaultSearchURL: Default -> chrome-extension://klbibkeccnjlkjkiokjodocebajanakg/suspended.html#ttl=Winderton%20-%20YouTube&uri=hxxps://www.youtube.com/channel/UC4omkhNHsYLagT1o6hnmKQw/videos
R2 Tomcat9; C:\ProgramData\Aebblnroq.psd [8897024 2017-10-25] (Sogou.com Inc.) [File not signed]
2017-10-25 03:57 - 2017-10-25 03:57 - 008897024 __RSH (Sogou.com Inc.) C:\Users\Все пользователи\Aebblnroq.psd
2017-10-25 03:57 - 2017-10-25 03:57 - 008897024 __RSH (Sogou.com Inc.) C:\ProgramData\Aebblnroq.psd
2017-10-25 03:57 - 2017-10-25 03:57 - 000000500 _____ C:\8398844.vbs
2017-10-25 03:57 - 2017-10-25 03:57 - 000000000 __SHD C:\Windows\system32\%APPDATA%
2017-10-25 03:57 - 2017-10-25 03:57 - 000000000 ____D C:\Users\Все пользователи\Storm
2017-10-25 03:57 - 2017-10-25 03:57 - 000000000 ____D C:\ProgramData\Storm
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@Xo6ut · 31.10.2017, 15:30 **[ТС]**

Вот лог, и сразу вопрос, можно ли как-то восстановить вкладки и историю хрома?

@Sandor · 31.10.2017, 15:38

Сообщение от Xo6ut

можно ли как-то восстановить вкладки и историю хрома?

Вкладки не были затронуты. Вероятно Вы подразумеваете список недавних сайтов или стартовые страницы?
Был полностью очищен кэш.

Что сейчас с проблемой?

@Xo6ut · 31.10.2017, 15:41 **[ТС]**

Проблема пока ушла, спасибо.
А с вкладками странно, потому что у меня сейчас будто стоит чистый хром

@Sandor · 31.10.2017, 15:43

Попробуйте синхронизировать (если используете такое).

Добавлено через 18 секунд
+ В завершение:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Xo6ut · 31.10.2017, 15:48 **[ТС]**

Вот лог

@Sandor · 31.10.2017, 15:51

------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено (-1)
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138910 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3156019 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3170455 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Oracle VM VirtualBox 4.1.4 v.4.1.4 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.0.43804 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 151 (64-bit) v.8.0.1510.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u152-windows-x64.exe)^
Java SE Development Kit 8 Update 131 (64-bit) v.8.0.1310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u152-windows-x64.exe)^
Java 8 Update 151 v.8.0.1510.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u152-windows-i586.exe)^
--------------------------- [ AppleProduction ] ---------------------------
iTunes v.12.6.1.25 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 26 NPAPI v.26.0.0.126 Внимание! Скачать обновления
Adobe Flash Player 26 PPAPI v.26.0.0.131 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.61.0.3163.100 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^

Рекомендации после удаления вредоносного ПО

Новые блоги и статьи Все статьи Все блоги /
Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Символьное дифференцирование igorrr37 13.02.2026 / * Программа принимает математическое выражение в виде строки и выдаёт его производную в виде строки и вычисляет значение производной при заданном х Логарифм записывается как: (x-2)log(x^2+2) -. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.
«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .

@Kиpилл Особый статус 8429 / 1708 / 87 Регистрация: 15.04.2011 Сообщений: 5,520
	25.10.2017, 19:36
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ________________________________________ ______________ Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Code begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\programdata\dhcq\w1ninit.exe'); TerminateProcessByName('C:\ProgramData\Microsoft\DhcQ\winin1t.exe'); StopService('DhcQ'); QuarantineFileF('c:\programdata\dhcq', '', true, '', 0 ,0); QuarantineFile('c:\programdata\dhcq\w1ninit.exe', ''); QuarantineFile('C:\ProgramData\Microsoft\DhcQ\winin1t.exe', ''); QuarantineFile('C:\ProgramData\Aebblnroq.psd', ''); QuarantineFile('c:\programdata\application data\storm\update\%youshizhuay%\bbubd.cc3', ''); QuarantineFile('D:\autorun.inf', ''); DeleteFile('c:\programdata\dhcq\w1ninit.exe', '32'); DeleteFile('C:\ProgramData\Microsoft\DhcQ\winin1t.exe', '32'); DeleteFileMask('c:\programdata\dhcq', '', true); DeleteDirectory('c:\programdata\dhcq'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Tomcat9\Parameters','ServiceDll'); DeleteService('DhcQ'); ExecuteSysClean; ExecuteRepair(9); ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: Code begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". Подготовьте такой лог FAQ по работе с утилитой Farbar Recovery Scan Tool 1

@Xo6ut 103 / 90 / 75 Регистрация: 04.11.2011 Сообщений: 1,820
	31.10.2017, 13:11 [ТС]
	Процесс снова появился 0

@Xo6ut 103 / 90 / 75 Регистрация: 04.11.2011 Сообщений: 1,820
	31.10.2017, 15:41 [ТС]
	Проблема пока ушла, спасибо. А с вкладками странно, потому что у меня сейчас будто стоит чистый хром 0

@Sandor 22452 / 15906 / 3080 Регистрация: 08.10.2012 Сообщений: 64,820
	31.10.2017, 15:43
	Попробуйте синхронизировать (если используете такое). Добавлено через 18 секунд + В завершение: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 22452 / 15906 / 3080 Регистрация: 08.10.2012 Сообщений: 64,820
	31.10.2017, 15:51
	------------------------------- [ Windows ] ------------------------------- Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен (Уровень 1) ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено (-1) ------------------------------- [ HotFix ] -------------------------------- HotFix KB3115858 Внимание! Скачать обновления HotFix KB3140735 Внимание! Скачать обновления HotFix KB3138910 Внимание! Скачать обновления HotFix KB3138962 Внимание! Скачать обновления HotFix KB3145739 Внимание! Скачать обновления HotFix KB3146963 Внимание! Скачать обновления HotFix KB3156013 Внимание! Скачать обновления HotFix KB3156016 Внимание! Скачать обновления HotFix KB3156019 Внимание! Скачать обновления HotFix KB3155178 Внимание! Скачать обновления HotFix KB3153171 Внимание! Скачать обновления HotFix KB3170455 Внимание! Скачать обновления HotFix KB3178034 Внимание! Скачать обновления HotFix KB3185911 Внимание! Скачать обновления HotFix KB3184122 Внимание! Скачать обновления HotFix KB3192391 Внимание! Скачать обновления HotFix KB3197867 Внимание! Скачать обновления HotFix KB3205394 Внимание! Скачать обновления HotFix KB4012212 Внимание! Скачать обновления HotFix KB4019263 Внимание! Скачать обновления HotFix KB4022722 Внимание! Скачать обновления HotFix KB4015546 Внимание! Скачать обновления HotFix KB4025337 Внимание! Скачать обновления HotFix KB4034679 Внимание! Скачать обновления HotFix KB4041678 Внимание! Скачать обновления --------------------------- [ OtherUtilities ] ---------------------------- Oracle VM VirtualBox 4.1.4 v.4.1.4 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.0.43804 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 151 (64-bit) v.8.0.1510.12 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u152-windows-x64.exe)^ Java SE Development Kit 8 Update 131 (64-bit) v.8.0.1310.11 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jdk-8u152-windows-x64.exe)^ Java 8 Update 151 v.8.0.1510.12 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u152-windows-i586.exe)^ --------------------------- [ AppleProduction ] --------------------------- iTunes v.12.6.1.25 Внимание! Скачать обновления ^Для проверки новой версии используйте приложение Apple Software Update^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 26 NPAPI v.26.0.0.126 Внимание! Скачать обновления Adobe Flash Player 26 PPAPI v.26.0.0.131 Внимание! Скачать обновления ------------------------------- [ Browser ] ------------------------------- Google Chrome v.61.0.3163.100 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Google Chrome!^ Рекомендации после удаления вредоносного ПО 0