Процесс svchost.exe грузит процессор после подключения к интернету с ноутбука , Svchost.exe, скрытый майнер, узел универсальных pnp-устройств

Здравствуйте.

Windows 7 Ultimate x64
Антивирус Eset Internet Security 11.1.42.1

При включении ноутбука либо после его перезагрузки и подключении к проводному интернету дома (через Ethernet) через некоторое время после работы в интернете самопроизвольно начинается сильная загрузка процессора (выше 30%) из-за процесса svchost.exe (процесс принадлежит узлу универсальных pnp-устройств). Странно то, что через стандартный диспетчер задач не видно процесс, который в данный момент сильно загружает процессор, а становится видно его только через Process Explorer или AnVir Task Manager.
После разрыва интернет-соединения загрузка процессора становится нормальной. Также пробовал убивать процесс svchost.exe через вкладку "потоки" из AnVir Task Manager при подключенном интернете - нагрузка сразу становилась в пределах нормы (при этом интернет отключать не нужно было). При работе в интернете через вай-фай подобной проблемы не наблюдается.
Подозреваю, что в системе работает либо скрытый майнер, либо какой-либо из драйверов системы дает сбой ( хотя проблемы ранее не наблюдалось, стало беспокоить, где-то с января, февраля месяца, причем драйвера ноутбука я не обновлял с 2016 года). Два дня назад сканировал систему AdwCleaner последней версии, логи прилагаю. После удаления обнаруженного PUP.Optional.Legacy, [Key] - HKLM\SOFTWARE\Microsoft\MediaPlayer\ShimInclusionList\browse­r.exe проблема все равно осталась. Логи AdwCleaner прикрепляю совместно с автозагрузкой uVS.

https://yadi.sk/d/9SN8xy_o3UPN6Y
 
Изменено: Владислав Исаев - 13.04.2018 16:49:13
АКТИВЕН    | C:\PROGRAM FILES (X86)\COMMON FILES\ALADDIN SHARED\HASP\HASPVLIB_46707.DLL
АКТИВЕН    | C:\WINDOWS\SYSTEM32\HASPLMS.EXE
АКТИВЕН    | C:\WINDOWS\SYSTEM32\DRIVERS\AKSCLASS.SYS
АКТИВЕН    | C:\WINDOWS\SYSTEM32\DRIVERS\AKSDF.SYS
АКТИВЕН    | C:\WINDOWS\SYSTEM32\DRIVERS\AKSFRIDGE.SYS
АКТИВЕН    | C:\WINDOWS\SYSTEM32\DRIVERS\AKSHASP.SYS
АКТИВЕН    | C:\WINDOWS\SYSTEM32\DRIVERS\AKSUSB.SYS
АКТИВЕН    | C:\WINDOWS\SYSTEM32\DRIVERS\HARDLOCK.SYS
---------------
Действительна, подписано "SafeNet Canada, Inc."
Сетевая активность.
Файлы на диске с: 03.01.2018 в 20:46
Скорее всего, это из-за КОМПАС 3D, который я установил 03.01.18. Придется удалять, видимо.
сделайте еще образ автозапуска из безопасного режима системы.
Хорошо. Сегодня позже сделаю. Удалю КОМПАС-3D 17.1.5 (x86/x64) [Ru] . Скажу результат без него будет как.
Сделал образ автозапуска в uVS  в безопасном режиме: https://yadi.sk/d/t4m7gUX53UQE8w
хактул.
Полное имя                  C:\PROGRAM FILES (X86)\ADOBE\ACROBAT 11.0\ACROBAT\AMT EMULATOR 0.9.2.EXE
Имя файла                   AMT EMULATOR 0.9.2.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                           
www.virustotal.com          2018-04-14
BitDefender                 Application.Hacktool.YH
Symantec                    PUA.Keygen
ESET-NOD32                  a variant of Win32/HackTool.Crack.FS potentially unsafe
DrWeb                       Trojan.DownLoader26.33933
Microsoft                   HackTool:Win32/Patcher
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
File_Id                     2A425E1926B000
Linker                      2.25
Размер                      2506752 байт
Создан                      24.03.2018 в 22:06:39
Изменен                     24.03.2018 в 21:31:51
                           
TimeStamp                   19.06.1992 в 22:22:17
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            emuext.exe
Версия файла                0.9.2.0
Описание                    ProxyEmu
Производитель               PainteR
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Файл                        ВОЗМОЖНО заражен вирусом из семейства Sality
                           
Доп. информация             на момент обновления списка
SHA1                        CAAD125358D2AE6D217E74CFCD175AC81C43C729
MD5                         8ABDC20F619641E29AA9AD2B999A0DCC
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-1048257828-1040429118-1263983042-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\C:\PROGRAM FILES (X86)\ADOBE\ACROBAT 11.0\ACROBAT\AMT EMULATOR 0.9.2.EXE
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini
                           
--------------------
можно в нормальном режиме системы запустить скрипт.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX
apply

QUIT

без перезагрузки, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
Сделал скрипт в uVS и после этого посидел в вк несколько минут, ответил человеку, и появилась опять загрузка процесса данного. Ссылка на логи проверки malwarebytes: https://yadi.sk/i/3vRhuJFQ3UQfJL
Изменено: Владислав Исаев - 14.04.2018 16:01:48 (Добавил ссылку на логи Malwarebytes)
сделайте лог процессов в Process Explorer, так чтобы были видны нагружаемые процессы,
+ можно сделать лог в Autoruns
Сделал лог в Autoruns, как описано по ссылке: https://safezone.cc/threads/kak-podgotovit-log-autoruns.30173/ ,  залил я-диск: https://yadi.sk/d/djPPtWy23UQmqe. После перезагрузки ПК, после того, как сделал скрипт в uVS, пока что svchost.exe не грузит систему. Слежу за вирусной активностью. А как сделать лог в Process Explorer?
Изменено: Владислав Исаев - 14.04.2018 17:53:30
Читают тему (гостей: 1)