Множество процессов calc.exe и вирус на флеш-носителе

**VintAreEZ** · 19.03.2017, 14:42

Здравствуйте, помогите пожалуйста, подхватил вирусню. На флешке появилась скрытая папка с рандомным названием и exe-шником внутри. При открытии данной папки (даже без запуска exe-шника) удаляются все прочие файлы с флешки. Форматирование/антивирус не помог. Также на компьютере запущено множество процессов calc.exe, которые грузят систему. Лог прикрепил.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 19.03.2017, 14:44

Уважаемый(ая) VintAreEZ, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 19.03.2017, 18:34

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\users\Евгений\appdata\roaming\{ba8f05ba-6f49-8c49-9559-c0e82367ee0a}\739647.exe');
 QuarantineFile('c:\users\Евгений\appdata\roaming\{ba8f05ba-6f49-8c49-9559-c0e82367ee0a}\739647.exe', '');
 QuarantineFile('C:\Windows\SysWOW64\nssm.exe', '');
 QuarantineFile('C:\Users\Евгений\AppData\Roaming\WindowsUpdate\Updater.exe', '');
 QuarantineFile('C:\Users\Евгений\AppData\Roaming\WindowsUpdate\Live.exe', '');
 QuarantineFile('C:\Users\Евгений\AppData\Roaming\Windows Live\hggxrhfopx.exe', '');
 QuarantineFile('C:\Users\Евгений\AppData\Roaming\WindowsUpdate\System.exe', '');
 QuarantineFile('C:\Users\Евгений\AppData\Roaming\WindowsUpdate\mobsync.exe', '');
 QuarantineFile('C:\Windows\system32\nssm.exe', '');
 QuarantineFile('C:\Users\Евгений\appdata\roaming\archiverapp\archapplication2.exe', '');
 QuarantineFile('C:\Users\Евгений\appdata\roaming\c731200', '');
 DeleteFile('c:\users\Евгений\appdata\roaming\{ba8f05ba-6f49-8c49-9559-c0e82367ee0a}\739647.exe', '32');
 DeleteFile('C:\Windows\SysWOW64\nssm.exe', '32');
 DeleteFile('C:\Users\Евгений\AppData\Roaming\WindowsUpdate\Updater.exe', '32');
 DeleteFile('C:\Users\Евгений\AppData\Roaming\WindowsUpdate\Live.exe', '32');
 DeleteFile('C:\Users\Евгений\AppData\Roaming\Windows Live\hggxrhfopx.exe', '32');
 DeleteFile('C:\Users\Евгений\AppData\Roaming\WindowsUpdate\System.exe', '32');
 DeleteFile('C:\Users\Евгений\AppData\Roaming\WindowsUpdate\mobsync.exe', '32');
 DeleteFile('C:\Windows\system32\nssm.exe', '32');
 DeleteFile('C:\Users\Евгений\appdata\roaming\archiverapp\archapplication2.exe', '32');
 DeleteFile('C:\Users\Евгений\appdata\roaming\c731200', '32');
 DeleteFileMask('c:\users\евгений\appdata\roaming\windowsupdate', '*', true);
 DeleteFileMask('c:\users\евгений\appdata\roaming\windows live', '*', true);
 DeleteFileMask('c:\users\евгений\appdata\roaming\archiverapp', '*', true);
 DeleteDirectory('c:\users\евгений\appdata\roaming\windowsupdate');
 DeleteDirectory('c:\users\евгений\appdata\roaming\windows live');
 DeleteDirectory('c:\users\евгений\appdata\roaming\archiverapp');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows System Installer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Sync Center');
 DeleteService('HostProcess');
ExecuteRepair(19);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог Autologger.

**VintAreEZ** · 19.03.2017, 18:42

Спасибо! Очень помогли

**Vvvyg** · 19.03.2017, 18:50

Новый лог делайте для контроля, возможно, не всё вычистили ещё. И карантин загрузите.

**thyrex** · 19.03.2017, 20:01

+ постарайтесь в будущем не плодить темы на разных форумах

Множество процессов calc.exe и вирус на флеш-носителе (заявка № 210371)

Опции темы