Вирус с большим количеством процессов calc.exe

[ilmir2803]

Прблема появилась из за вируса на флешке.

[Info_bot]

Уважаемый(ая) ilmir2803, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mrak74]

Здравствуйте !!!

отключите антивирусную программу

Выполните скрипт в AVZ:(в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\Users\ilmir\appdata\roaming\c731200','');
  QuarantineFile('C:\Program Files (x86)\ScreenUp\future_helper.exe','');
  QuarantineFile('C:\Users\ilmir\AppData\Local\Root Language Helper.exe','');
  QuarantineFile('C:\Users\ilmir\AppData\Local\FilterStart\FilterStart.exe','');
  QuarantineFile('C:\Users\ilmir\AppData\Roaming\Windows Live\wpogtlmhky.exe','');
  QuarantineFile('C:\Users\ilmir\AppData\Roaming\WindowsUpdate\Updater.exe','');
  QuarantineFile('C:\Users\ilmir\AppData\Roaming\Microsoft\Windows\Xpiiif.exe','');
  QuarantineFile('C:\Users\ilmir\AppData\Roaming\WindowsUpdate\mobsync.exe','');
  QuarantineFile('C:\Users\ilmir\AppData\Roaming\WindowsUpdate\Live.exe','');
  DeleteFile('C:\Users\ilmir\AppData\Local\Root Language Helper.exe');
  DeleteFile('C:\Users\ilmir\AppData\Roaming\Microsoft\Windows\Xpiiif.exe','32');
  DeleteFile('C:\Users\ilmir\AppData\Roaming\Windows Live\wpogtlmhky.exe','32');
  DeleteFile('C:\Windows\system32\Tasks\Custom Private Helper','64');
  DeleteFile('C:\Windows\system32\Tasks\Root Language Helper','64');
  DeleteFile('C:\Program Files (x86)\ScreenUp\future_helper.exe','32');
  DeleteFile('C:\Windows\system32\Tasks\Trusted Render Mgr','64');
  DeleteFile('C:\Users\ilmir\appdata\local\filterstart\filterstart.exe','32');
  DeleteFile('C:\Users\ilmir\appdata\roaming\windowsupdate\live.exe','32');
  DeleteFile('C:\Users\ilmir\appdata\roaming\c731200','32');
  DeleteFile('C:\Users\ilmir\appdata\roaming\windowsupdate\mobsync.exe','32');
  DeleteFile('C:\Users\ilmir\appdata\roaming\windowsupdate\updater.exe','32');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Sync Center');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Xpiiif');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
  RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
  RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
  RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
  RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
  RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
  RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[ilmir2803]

вроде ща пропало.файл карантина не получилось отправить вес файла 1815 кБ.

[mrak74]

Выполните скрипт в AVZ:(в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  DeleteFile('C:\Users\ilmir\AppData\Roaming\Windows Live\wpogtlmhky.exe','32');
  DeleteFile('C:\Users\ilmir\AppData\Roaming\WindowsUpdate\Updater.exe','32');
  DeleteFile('C:\Users\ilmir\AppData\Roaming\Microsoft\Windows\Xpiiif.exe','32');
  DeleteFile('C:\Users\ilmir\AppData\Roaming\WindowsUpdate\mobsync.exe','32');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Xpiiif');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Sync Center');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

+

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.