Добрый день! explorer.exe грузит процессор на 100% и в автозагрузке висит какой-то левый процесс, удаление и чистка реестра не помогает.
[ATTACH=CONFIG]659821[/ATTACH]
Printable View
Добрый день! explorer.exe грузит процессор на 100% и в автозагрузке висит какой-то левый процесс, удаление и чистка реестра не помогает.
[ATTACH=CONFIG]659821[/ATTACH]
Уважаемый(ая) [B]Kozana[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Documents and Settings\User\Application Data\WindowsUpdate\mobsync.exe', '');
QuarantineFileF('c:\documents and settings\all users\application data\{CF591757-9DD3-3F05-6299-59F8B9E6EDAF}', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
DeleteFile('C:\Documents and Settings\User\Application Data\WindowsUpdate\mobsync.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]
[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url]. Для [u]повторной[/u] диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
[QUOTE=regist;1448822]Здравствуйте!
- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Documents and Settings\User\Application Data\WindowsUpdate\mobsync.exe', '');
QuarantineFileF('c:\documents and settings\all users\application data\{CF591757-9DD3-3F05-6299-59F8B9E6EDAF}', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
DeleteFile('C:\Documents and Settings\User\Application Data\WindowsUpdate\mobsync.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]
[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url]. Для [u]повторной[/u] диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.[/QUOTE]
Результаты проверки карантина онлайн-сервисом VirusDetector: [url]https://virusinfo.info/virusdetector/report.php?md5=66F51ABAC6464EA21DD8D7A141326B97[/url]
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Documents and Settings\User\Application Data\WindowsUpdate\mobsync.exe', '');
QuarantineFileF('c:\documents and settings\all users\application data\{cf591757-9dd3-3f05-6299-59f8b9e6edaf}', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
DeleteFile('C:\Documents and Settings\User\Application Data\WindowsUpdate\mobsync.exe');
DeleteFileMask('c:\documents and settings\all users\application data\{cf591757-9dd3-3f05-6299-59f8b9e6edaf}', '*', true);
DeleteDirectory('c:\documents and settings\all users\application data\{cf591757-9dd3-3f05-6299-59f8b9e6edaf}');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/code]
[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]
[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
[url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url], только программу скачайте [url=https://yadi.sk/d/sMLgZKzK3GRwUZ]отсюда.[/url]
По ссылке [url]https://yadi.sk/d/sMLgZKzK3GRwUZ[/url] - Ничего не найдено. Поэтому программку скачала с [url]https://virusinfo.info/showthread.php?t=121767[/url].
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS и пришлите карантин:[/url]
[code]
;uVS v4.0.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
BREG
zoo %Sys32%\PATCHER.EXE
dirzooex %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\{CCC400E8-9E96-4265-B750-384FC40B7458}
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\{CF591757-9DD3-3F05-6299-59F8B9E6EDAF}\62E6C7C8.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\WINDOWSUPDATE\MOBSYNC.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\WINDOWSUPDATE\MOBSYNC.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\{CCC400E8-9E96-4265-B750-384FC40B7458}\048357.EXE
bl 1248912043FFD7675CD0EBA1F9669DF9 504320
addsgn 1AB3669A5583A7790BD4627DA804DEC9E9DF771AD8715A680C8639311D2A20C7761B91DA7B5DCDA18E81849FC5D2457130D36BB35453FD20AE0A582FB104C9A8 8 Backdoor.Win32.Androm.ndfl [Kaspersky] 7
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\{CCC400E8-9E96-4265-B750-384FC40B7458}\493489.EXE
bl C04E1FA55E028FE6CAE329442E418B15 504320
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\{CCC400E8-9E96-4265-B750-384FC40B7458}\562554.EXE
bl 1F5E0CFD861A6C1F7FACE55F9C5AF102 291840
addsgn 1AB2669A5583577E0BD4627DA804DEC9E9DF771AD8715A680C8639311D2A20C7761B91DA7B5DCDA18E81849FC5D2457130D36BB35453FD20AE0A582FB104C9A8 8 Backdoor.Win32.Androm. [Kaspersky] 7
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\{CCC400E8-9E96-4265-B750-384FC40B7458}\846632.EXE
bl 37ED98C69BA965A9DB52EBC4CE4A4E62 512512
addsgn 1A6E669A5583777E0BD4627DA804DEC9E9DF771AD8715A680C8639311D2A20C7761B91DA7B5DCDA19E81849FC5D2457130D36BB35453FD20AE0A582FB104C9A8 8 Backdoor.Win32.Androm. [Kaspersky] 7
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\{CCC400E8-9E96-4265-B750-384FC40B7458}\919930.EXE
bl 6B432B131DD344D28D952465DF54507D 291840
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\{CCC400E8-9E96-4265-B750-384FC40B7458}\344205.EXE
bl 1DCD55F9EC0F26F22897DC3CA8377F92 1081344
addsgn 1AB2669A5583577E0BD4627DA804DEC9E9DF771AD8715A680C8639311D2A20C7761B91DA7B5DCDA19E81849FC5D2457130D36BB35453FD20AE0A582FB104C9A8 8 Backdoor.Win32.Androm. [Kaspersky] 7
chklst
delvir
deldir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\{CCC400E8-9E96-4265-B750-384FC40B7458}
; Java(TM) 6 Update 31
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216031FF} /quiet
czoo
restart[/code]На вопросы об удалении программ соглашайтесь.
Сделайте свежий образ автозапуска.
Все сделала - вроде все нормально и процессор не грузит.
Загрузите карантин как вас просили в верху темы. К сообщению его прикреплять запрещено.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
+
Выполните скрипт в AVZ при наличии доступа в интернет:
[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
Карантин из uVS по верхней ссылке не грузился, поэтому и добавила в сообщение.
Спасибо за помощь!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\all users\application data\{cf591757-9dd3-3f05-6299-59f8b9e6edaf}\62e6c7c8.exe - [B]Backdoor.Win32.Androm.nhas[/B][*] c:\documents and settings\user\application data\windowsupdate\mobsync.exe - [B]Trojan.Win32.Waldek.xtk[/B][/LIST][/LIST]