Решена Замена поиска на mail.ru и всплывающие баннеры.

[Игорь Чех]

Все сделал, логи приложил.
После перезагрузки процесс svchost.exe жрет всю оперативу, так что комп практически висит, приходится его прибивать вручную.
Вот логи. после перезагрузки svchost грузит оперативу, что вызывает подвисание компа, приходится вручную завершать процесс.
Извините за дублирование, думал что не отправил.

 

[Chinaski]

Расширение в Google Chrome Ваше?
Extension mjbepbhonbojpoaenhckjocchgfiaofo 2 Ace Stream Web Extension 1.0.1

Выполните скрипт в AVZ из безопасного режима!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\system32\drivers\netfilter2.sys', '');
 QuarantineFileF('C:\netfilter2', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
 QuarantineFileF('C:\Program Files (x86)\filter', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
 DeleteFile('C:\Windows\system32\drivers\netfilter2.sys', '32');
 DeleteService('netfilter2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

 

[Игорь Чех]

Карантин отправил на ***@mail.ru, размер 3 762 КБ.
В Google Chrome есть расширения, но такого нет (Extension mjbepbhonbojpoaenhckjocchgfiaofo 2 Ace Stream Web Extension 1.0.1).

 

[Chinaski]

Игорь Чех, карантин надо отправлять через форму (на свою я вас просил отправить когда карантин не дошел)
Игорь Чех, посмотрите содержимое папки C:\netfilter2 там есть какие нибудь файлы и каков ее размер?
Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
DeleteFileMask('C:\Program Files (x86)\filter','*', true);
DeleteDirectory('C:\Program Files (x86)\filter');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

компьютер будет перезагружен.

 

[Игорь Чех]

В папке C:\netfilter2 находится папка SSL в ней 2 файла cert размер 2 КБ и Sample CA 2 размер 1 КБ.

 

[Chinaski]

Игорь Чех, Удалите папку C:\netfilter2, так же, через панель управления удалите SpaceSoundPro, после чего сделайте новые логи.

 

[Игорь Чех]

Папку удалил. SpaceSoundPro в панели управления нет.
AIMP и Ace Stream я сегодня установил.

 

[Chinaski]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из безопасного режима (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '');
QuarantineFile('C:\Windows\system32\drivers\netfilter2.sys', '');
QuarantineFileF('C:\Program Files\SpaceSoundPro', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
QuarantineFileF('C:\Users\CHEKH\AppData\Local\Steak\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
DeleteFile('C:\Windows\system32\drivers\netfilter2.sys', '32');
DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32');
DeleteService('netfilter2');
DeleteFileMask('C:\Program Files\SpaceSoundPro', '*', true);
DeleteFileMask('C:\Users\CHEKH\AppData\Local\Steak\', '*', true);
DeleteDirectory('C:\Program Files\SpaceSoundPro');
DeleteDirectory('C:\Users\CHEKH\AppData\Local\Steak');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SpaceSoundPro');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - HKLM\..\Run: [SpaceSoundPro] "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe"

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

 

[Игорь Чех]

В HijackThis строка "O4 - HKLM\..\Run: [SpaceSoundPro] "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe" отсутствует.

 

[Chinaski]

Игорь Чех, удалите папку C:\FRST.

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Подробнее читайте в этом разделе форума поддержки утилиты.

 

[Игорь Чех]

Все сделал.

 

[Chinaski]

Обновите IE (даже если не используете) вредоносные программы могут использовать уязвимости в браузере. При обновлении IE может осуществляться проверка подлинности Windows!

Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Рекомендую исправиь следующие пункты
Контроль учётных записей пользователя отключен
Автоматическое обновление отключено

Ace Stream Media 3.1.2 v.3.1.2 - Нежелательное ПО, если не используете лучше удалить.

 

[Игорь Чех]

Ace Stream использую. Процесс svchost съедает 1,2 ГБ оперативной памяти, что делает невозможным работу системы (загрузка 95%), вручную прибиваю данный процесс через время опять процесс появляется.

 

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
тера[/url]

 

[Chinaski]

Игорь Чех, про ваш svchost я забыл совсем. скачайте Process Explorer, в момент большой нагрузки откройте нагружающий процесс, перейдите на вкладку threads отсортируйте список по столбцу CPU что бы самые активные потоки были вверху, и покажите скриншот, так же выделите самый активный поток и нажмите stack, и тоже покажите скриншот. Process Explorer открывайте от имени администратора.

 

[Игорь Чех]

Я в Process Explorer не нашел вкладку threads и кнопку stack.

 

[regist]

Игорь Чех, когда будет нагрузка сделайте такой лог GetCPUUsage

P.S. скрипт по устранению уязвимостей выполнили? Если нет, то лучше сначала сделайте это.

 

[Chinaski]

Игорь Чех, на скриншоте ничего не видно. Еще раз - открываете Process Explorer, находите грузящий процесс (в вашем случае svchost.exe) что бы найти грузящий процесс можно отсортировать список по столбику CPU, двойным щелчком открываете процесс и там уже будут вкладки.