Вирус с большим количеством процессов calc.exe

Printable View

29.12.2016, 19:22
ilmir2803

Вложений: 2

Вирус с большим количеством процессов calc.exe

Прблема появилась из за вируса на флешке.
29.12.2016, 19:23
Info_bot

Уважаемый(ая) [B]ilmir2803[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
29.12.2016, 21:14
mrak74

Здравствуйте !!!

[URL="http://virusinfo.info/showthread.php?t=130828"]отключите антивирусную программу [/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"][B]Выполните скрипт в AVZ[/B]:[/URL](в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\ilmir\appdata\roaming\c731200','');
QuarantineFile('C:\Program Files (x86)\ScreenUp\future_helper.exe','');
QuarantineFile('C:\Users\ilmir\AppData\Local\Root Language Helper.exe','');
QuarantineFile('C:\Users\ilmir\AppData\Local\FilterStart\FilterStart.exe','');
QuarantineFile('C:\Users\ilmir\AppData\Roaming\Windows Live\wpogtlmhky.exe','');
QuarantineFile('C:\Users\ilmir\AppData\Roaming\WindowsUpdate\Updater.exe','');
QuarantineFile('C:\Users\ilmir\AppData\Roaming\Microsoft\Windows\Xpiiif.exe','');
QuarantineFile('C:\Users\ilmir\AppData\Roaming\WindowsUpdate\mobsync.exe','');
QuarantineFile('C:\Users\ilmir\AppData\Roaming\WindowsUpdate\Live.exe','');
DeleteFile('C:\Users\ilmir\AppData\Local\Root Language Helper.exe');
DeleteFile('C:\Users\ilmir\AppData\Roaming\Microsoft\Windows\Xpiiif.exe','32');
DeleteFile('C:\Users\ilmir\AppData\Roaming\Windows Live\wpogtlmhky.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Custom Private Helper','64');
DeleteFile('C:\Windows\system32\Tasks\Root Language Helper','64');
DeleteFile('C:\Program Files (x86)\ScreenUp\future_helper.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Trusted Render Mgr','64');
DeleteFile('C:\Users\ilmir\appdata\local\filterstart\filterstart.exe','32');
DeleteFile('C:\Users\ilmir\appdata\roaming\windowsupdate\live.exe','32');
DeleteFile('C:\Users\ilmir\appdata\roaming\c731200','32');
DeleteFile('C:\Users\ilmir\appdata\roaming\windowsupdate\mobsync.exe','32');
DeleteFile('C:\Users\ilmir\appdata\roaming\windowsupdate\updater.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Sync Center');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Xpiiif');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.[/CODE]

После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]
- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url]. Для [u]повторной[/u] диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
29.12.2016, 22:45
ilmir2803

Вложений: 1

Вроде помогло.

вроде ща пропало.файл карантина не получилось отправить вес файла 1815 кБ.
29.12.2016, 23:15
mrak74

[URL="http://virusinfo.info/showthread.php?t=7239"][B]Выполните скрипт в AVZ[/B]:[/URL](в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Users\ilmir\AppData\Roaming\Windows Live\wpogtlmhky.exe','32');
DeleteFile('C:\Users\ilmir\AppData\Roaming\WindowsUpdate\Updater.exe','32');
DeleteFile('C:\Users\ilmir\AppData\Roaming\Microsoft\Windows\Xpiiif.exe','32');
DeleteFile('C:\Users\ilmir\AppData\Roaming\WindowsUpdate\mobsync.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Xpiiif');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Sync Center');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

+
[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/finish/1/"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven/10[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].