При включении интернета процессор загружается на 20-25%, вирус заменил файл hosts, в системных папках левые экзешники

Здравствуйте. При включении интернета процессор загружается на 20-25%. Приходится поступать следующим образом. Виновный процесс C:\Windows\System32\svchost.exe -k netsvcs останавливаю через "Завершить дерево процессов". Интернет в результате вырубается, снова включаю его. Достаточно быстро история с загрузкой процессора в точности повторяется. Снова этот же трюк с "Завершить дерево процессов" и повторным включением Интернета и, к удивлению, svchost.exe -k netsvcs перестает бесить - нагрузка на процессор 0.
Начал смотреть системные папки - там тихий ужас. Мой файл hosts заменен на другой (я вернул мой прежний). В других системных папках - скрипты, бат-файлы, экзешники, все с той же датой изменения, что и левый файл hosts. Например, в папке C:\Windows\Fonts\Mysql лежит taskhost.exe весом 15 КБ, хотя оригинальный файл, который в System32 - 48 КБ. В папке C:\Windows\Installer находился free.bat, внутри которого упоминаются такие гадости, как Eternalblue, Doublepulsar... Батник этот я с испугу переименовал в текстовый и закинул в отдельную папку.
KIS несколько раз возмущался, удалял кучу файлов (помню, много из папки C:\Windows\Fonts\Mysql), но почему-то никак не реагирует даже на откровенно поддельные wget.exe и taskhost.exe в этой же папке.

Вложения

CollectionLog-2019.07.11-20.49.zip (70.9 Кб, 6 просмотров)

0

Здравствуйте!

Сообщение от selogunov KIS несколько раз возмущался

У вас очень устаревшая и больше не поддерживаемая версия. Нужно обновить до актуальной.

Внимание! Рекомендации написаны специально для пользователя selogunov. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):
   
   
   Code

   begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
    ClearQuarantineEx(true);
    QuarantineFile('C:\Windows\Fonts\Mysql\svchost.exe', '');
    DeleteFile('C:\Windows\Fonts\Mysql\svchost.exe', '32');
    RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', '32');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
   BC_ImportALL;
   ExecuteSysClean;
    ExecuteWizard('SCU', 2, 3, true);
   BC_Activate;
   RebootWindows(true);
   end.

   Компьютер перезагрузится.
   
   После перезагрузки, выполните такой скрипт:
   
   
   Code

   begin
    DeleteFile(GetAVZDirectory+'quarantine.7z');
    ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
   end.

2. Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
   К сообщению прикреплять файл quarantine.7z не нужно!
   
   
   
3. Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

1

2019.07.12_quarantine_470851014a9445300e 14524ba441cf99.7z

Вложения

CollectionLog-2019.07.12-10.20.zip (51.7 Кб, 1 просмотров)

0

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

0

Запустил FRST.exe при работающем KIS и включенном интернете. Не нашел указания, что антивирус должен быть отключен при запуске FRST. Каспер сразу файл FRST.exe удалил. Пришлось добавлять всю папку C:\FRST и FRST.exe в доверенные.
Файл Addition.txt не создался. Вместо него появился файл users00 (без расширения). FRST.txt и users00 упаковал в архив.

Вложения

FRST_01.rar (890 байт, 1 просмотров)

0

Сообщение от selogunov Не нашел указания, что антивирус должен быть отключен при запуске FRST

На время сбора логов отключите и повторите еще раз. Приложенные не получились.

0

Упаковал в архив FRST.txt и Addition.txt

Вложения

FRST_02.rar (87.3 Кб, 1 просмотров)

0

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Code

  1 2 3 4 5 6 7 8 9 10 11 12 13 14 Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION GroupPolicy: Restriction ? <==== ATTENTION Task: {3B67850B-E57B-4B2B-A3FB-9C8312CBE886} - \At1 -> No File <==== ATTENTION Task: {6954098D-D2DA-400D-8CA9-E4464B02CD2D} - \At2 -> No File <==== ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{3291cb5a-74ed-4e69-b303-c74f2a1e747f} <==== ATTENTION (Restriction - IP) C:\Users\ALEKS\AppData\Roaming\Opera Software\Opera Stable\Extensions\cnbpedcoekjafichoehopgaaldogogch 2019-06-19 20:33 - 2019-06-19 20:33 - 000000319 _____ C:\Windows\xxoo.vbs 2019-06-19 20:33 - 2019-06-19 20:33 - 000000000 _RSHD C:\Windows\system32\dllhostex.exe Virustotal:C:\Windows\system\msinfo.exe;C:\Windows\system\lsaus.exe;C:\Windows\svchost.exe;C:\Windows\splwow64.exe EmptyTemp: Reboot: End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

0

Лог-файл

Вложения

Fixlog.txt (3.6 Кб, 2 просмотров)

0

Что сейчас с проблемой?

0

svchost.exe -k netsvcs по прежнему нагружает проц, но не более 15%

0

Обновления системы давно ставили?

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

0

Система старая, с 2015. Обновления отключены. Собираюсь переустанавливать, правда не уверен, десятку или свежую семерку. Памяти мало, из 4 ГБ используется 3,5 ГБ (((
Меня смущает тот факт, что кто-то писал на нашем форуме, что переустановил систему с нуля, но вирус (майнер) опять проявляется. Где-то сохраняется в загрузочной области жесткого диска. Хотелось бы пролечить существующую сейчас у меня семерку, убрать всю заразу, а уж потом переустанавливаться со спокойной душой. Как-то так...

Вложения

SecurityCheck.rar (20.1 Кб, 1 просмотров)

0

Сообщение от selogunov а уж потом переустанавливаться

Хм, об этом надо было написать в начале.
При полном форматировании диска вирус (если он даже был) не сохраняется.

0

Возможно, в ближайшее время переустановить не получится. Хотелось бы пролечить существующую систему...

0

Сообщение от selogunov svchost.exe -k netsvcs по прежнему нагружает проц, но не более 15%

Вполне нормальное поведение.

По возможности исправьте/обновите:
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17501 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2015-01-23 14:28:34
------------------------------- [ HotFix ] --------------------------------
HotFix KB3020369 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4503292 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Internet Security 2013 v.13.0.1.4190 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Git version 2.21.0 v.2.21.0 Внимание! Скачать обновления
K-Lite Mega Codec Pack 14.6.0 v.14.6.0 Внимание! Скачать обновления
VLC media player v.2.2.2 Внимание! Скачать обновления
Wireshark 2.6.0 32-bit v.2.6.0 Внимание! Скачать обновления
Microsoft .NET Framework 4.5.3 Preview v.4.5.53349 Внимание! Скачать обновления
Microsoft Office - профессиональный выпуск версии 2003 v.11.0.8173.0 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office XP - веб-компоненты v.11.0.8173.0 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2003 - веб-компоненты v.11.0.8173.0 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft .NET Framework 4.5.3, предварительная версия (русский) v.4.5.53349 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.21 бета 1 (32-разрядная) v.5.21.1 Внимание! Скачать обновления
7-Zip 9.38 v.9.38.00.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.4.4-I601 v.2.4.4-I601 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.5.41865 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 201 v.8.0.2010.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u211-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.1.5.3.9120 Внимание! Скачать обновления
Adobe Reader XI (11.0.05) - Russian v.11.0.05 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 59.0.3 (x86 ru) v.59.0.3 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera Stable 60.0.3255.170 v.60.0.3255.170 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
----------------------------- [ EmailClient ] -----------------------------
Windows Live Mail v.16.4.3528.0331 Данная программа больше не поддерживается разработчиком.
Почта Windows Live v.16.4.3528.0331 Данная программа больше не поддерживается разработчиком.
The Bat! v7.4.16 (32-bit) v.7.4.16 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
MiPony 2.5.0 v.2.5.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Ace Stream Media 3.1.16.1 v.3.1.16.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!


Читайте Рекомендации после удаления вредоносного ПО

0

Сообщение от Sandor Вполне нормальное поведение.

Да, но после двух on/off сети нагрузка от него - 0%

0

Об особенностях работы этого процесса можете поинтересоваться в системном или сетевом разделе форума.

0