Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Уязвимости - [решено] windowshost грузит цп

< Предыдущая 1 2
Ответить
Настройки темы
Уязвимости - [решено] windowshost грузит цп

Новый участник


Сообщения: 7
Благодарности: 0

Профиль | Отправить PM | Цитировать

Изменения
Автор: vaytek
Дата: 21-12-2020
Вложения
Тип файла: log HiJackThis.log
(29.7 Kb, 1 просмотров)
Тип файла: txt info.txt
(26.6 Kb, 1 просмотров)
Тип файла: txt log.txt
(73.1 Kb, 0 просмотров)
Тип файла: log Check_Browsers_LNK.log
(13.5 Kb, 0 просмотров)
C:\ProgramData\WindowsTask\MicrosoftHost.exe -o stratum+tcp://loders.xyz:3333 -u RandomX_CPU --donate-level=1 -k -t1 Грузит ЦП, если отрыть диспетчер задач процесс пропадает, но через некоторое время диспетчер задач закрывается и процесс снова появляется. Тему открыл тут потому что при открытии вкладки Лечение систем от вредоносных программ закрывается браузер.

Отправлено: 00:25, 21-12-2020

 

Ветеран


Консультант


Сообщения: 1511
Благодарности: 413

Профиль | Отправить PM | Цитировать

+

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.


Удалите остатки Аваст их утилитой https://safezone.cc:443/threads/chis...antivirusa.58/

Профиксите в HijackThis
Код: Выделить весь код
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://securesearch.org/homepage?hp=2&pId=BT170902&iDate=2020-08-14 01:22:30&bName=
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{993F5746-4C15-42BC-99C1-064A1764271B}: [url] = https://securesearch.org?q={searchTerms} - DefaultSearchYahoo
O4 - MSConfig\startupreg: EpicGamesLauncher [command] = D:\GAMES\Epic Games\Launcher\Portal\Binaries\Win64\EpicGamesLauncher.exe -silent (HKCU) (2020/11/24) (file missing)
O4 - MSConfig\startupreg: GameCenter [command] = C:\Users\Old\AppData\Local\GameCenter\GameCenter.exe -autostart (HKCU) (2020/11/24) (file missing)
O4 - MSConfig\startupreg: Opera Browser Assistant [command] = C:\Users\Old\AppData\Local\Programs\Opera\assistant\browser_assistant.exe (HKCU) (2020/11/24) (file missing)
O4 - MSConfig\startupreg: RazerCortex [command] = C:\Program Files (x86)\Razer\Razer Cortex\CortexLauncher.exe -autorun (HKLM) (2020/11/24) (file missing)
O4 - MSConfig\startupreg: Web Companion [command] = C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (HKCU) (2020/09/17) (file missing)
O15 - Trusted Zone: http://webcompanion.com
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: \Microsoft\Windows\Wininet\Cleaner - C:\Programdata\WindowsTask\winlogon.exe (file missing)
O22 - Task: \Microsoft\Windows\Wininet\RealtekHDControl - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Task: \Microsoft\Windows\Wininet\RealtekHDStartUP - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Task: \Microsoft\Windows\Wininet\Taskhost - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Task: \Microsoft\Windows\Wininet\Taskhostw - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
Проверьте открывается ли теперь у вас раздел лечения? http://forum.oszone.net/forum-87.html

Соберите свежие логи Автологером.

+ просто интересно
Код: Выделить весь код
WinRAR 5.70 (32-bit) [2020/08/14 03:20:49]-->C:\Program Files (x86)\WinRAR\uninstall.exe
WinRAR 5.70 (64-bit) [2020/08/14 03:20:42]-->C:\Program Files\WinRAR\uninstall.exe
Зачем два WinRAR - чем одного не хватает?

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 14:12, 21-12-2020 | #11



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 7
Благодарности: 0

Профиль | Отправить PM | Цитировать

Вложения
Тип файла: txt Fixlog.txt
(8.6 Kb, 1 просмотров)

Цитата Sandor:
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически. »
Выполнил

Отправлено: 14:35, 21-12-2020 | #12


Новый участник


Сообщения: 7
Благодарности: 0

Профиль | Отправить PM | Цитировать

Вложения
Тип файла: zip CollectionLog-2020.12.21-13.53.zip
(44.0 Kb, 1 просмотров)
Тип файла: log ClearLNK-2020.12.21_13.33.23.log
(5.3 Kb, 1 просмотров)

Цитата regist:
Отчёт о работе прикрепите. »
отчёты прикрепил
Цитата regist:
Зачем два WinRAR - чем одного не хватает? »
Даже не обращал внимания что их 2 , один удалил.

Отправлено: 14:56, 21-12-2020 | #13


Ветеран


Консультант


Сообщения: 1511
Благодарности: 413

Профиль | Отправить PM | Цитировать

1) Выполните команду
Код: Выделить весь код
icacls C:\ProgramData\Windows\* /save c:\PD_windows_ACLs.txt /t
Файл c:\PD_windows_ACLs.txt прикрепите.

2) Папки
Код: Выделить весь код
C:\Users\Old\AppData\Roaming\changzhi2
C:\Program Files\ldplayerbox
C:\Users\Old\AppData\Roaming\XuanZhi
C:\Users\Old\AppData\Roaming\lddownloader
Вам знакомы?

3) Выполните скрипт AVZ

Код: Выделить весь код
{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PD_folders.Add('bebca3bc90');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
	  begin
		  FSResetSecurity(fname);
		  QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
		  DeleteFileMask(fname, '*', true);
		  DeleteDirectory(fname);
	  end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData');
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData +'\', PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe');
 ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
 RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
 RegKeyParamDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer','DisallowRun');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
	ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
 ExecuteWizard('SCU', 2, 3, true);
 ExecuteSysClean;
end;

begin
 SetupAVZ('debug=y');
 AV_block_remove;
end.
свежие логи Автологером соберите.

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 15:32, 21-12-2020 | #14


Новый участник


Сообщения: 7
Благодарности: 0

Профиль | Отправить PM | Цитировать

Вложения
Тип файла: zip CollectionLog-2020.12.21-15.29.zip
(52.0 Kb, 1 просмотров)
Тип файла: rar PD_windows_ACLs.rar
(83 байт, 1 просмотров)

Цитата regist:
2) Папки
Код:
C:\Users\Old\AppData\Roaming\changzhi2
C:\Program Files\ldplayerbox
C:\Users\Old\AppData\Roaming\XuanZhi
C:\Users\Old\AppData\Roaming\lddownloader
Вам знакомы? »
Папки не знакомы.

Отправлено: 16:33, 21-12-2020 | #15


Ветеран


Консультант


Сообщения: 1511
Благодарности: 413

Профиль | Отправить PM | Цитировать

Цитата vaytek:
Папки не знакомы. »
Удалите их вручную, на этом с лечением закончим.

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 18:36, 21-12-2020 | #16

< Предыдущая 1 2


Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Уязвимости - [решено] windowshost грузит цп

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Разное - Проводник грузит цп Dradjen Microsoft Windows 10 8 05-09-2019 20:00
Разное - System грузит ЦП Kokayne Microsoft Windows 7 7 21-06-2016 17:00
Загрузка - System грузит ЦП nagashii Microsoft Windows 7 18 12-07-2014 22:10
Службы - Com surrogate грузит ЦП. yarikbeatz Microsoft Windows 8 и 8.1 8 01-12-2013 20:02
Загрузка - Процесс System грузит ЦП mr_swat Microsoft Windows 2000/XP 1 12-07-2011 21:18


« Предыдущая тема | Следующая тема »


 
Переход