Александр Щеберяков Опубликовано 6 ноября, 2015 Опубликовано 6 ноября, 2015 В диспетчере задач 150 процессов из них большее количество "calc.exe", один из них нагружает процессор. CollectionLog-2015.11.07-00.50.zip
mike 1 Опубликовано 6 ноября, 2015 Опубликовано 6 ноября, 2015 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin SetAVZGuardStatus(True); QuarantineFile('C:\Users\Home\appdata\roaming\windowsupdate\updater.exe',''); QuarantineFile('C:\Users\Home\appdata\roaming\windowsupdate\msupdate.exe',''); QuarantineFile('C:\Users\Home\appdata\roaming\windowsupdate\live.exe',''); QuarantineFile('C:\Users\Home\appdata\roaming\update\explorer.exe',''); QuarantineFile('C:\Users\Home\appdata\roaming\c731200',''); QuarantineFile('C:\Users\Home\AppData\Roaming\WindowsUpdate\MSupdate.exe',''); QuarantineFile('C:\Users\Home\AppData\Roaming\WindowsUpdate\Updater.exe',''); QuarantineFile('C:\Users\Home\AppData\Roaming\Microsoft\Windows\themes\Kvkgkq.exe',''); QuarantineFile('C:\Users\Home\AppData\Roaming\Windows Live\lpobrfyapo.exe',''); QuarantineFile('C:\Users\Home\AppData\Roaming\WindowsUpdate\Live.exe',''); DeleteFile('C:\Users\Home\AppData\Roaming\WindowsUpdate\Live.exe','32'); DeleteFile('C:\Users\Home\AppData\Roaming\Windows Live\lpobrfyapo.exe','32'); DeleteFile('C:\Users\Home\AppData\Roaming\Microsoft\Windows\themes\Kvkgkq.exe','32'); DeleteFile('C:\Users\Home\AppData\Roaming\WindowsUpdate\Updater.exe','32'); DeleteFile('C:\Users\Home\AppData\Roaming\WindowsUpdate\MSupdate.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Kvkgkq'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Live'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Kvkgkq','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Installer','command'); DeleteFile('C:\Users\Home\appdata\roaming\c731200','32'); DeleteFile('C:\Users\Home\appdata\roaming\update\explorer.exe','32'); DeleteFile('C:\Users\Home\appdata\roaming\windowsupdate\live.exe','32'); DeleteFile('C:\Users\Home\appdata\roaming\windowsupdate\msupdate.exe','32'); DeleteFile('C:\Users\Home\appdata\roaming\windowsupdate\updater.exe','32'); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com. 1. В заголовке письма напишите "Запрос на исследование вредоносного файла". 2. В письме напишите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина и нажмите "Отправить" 4. Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи Автологгером.
Александр Щеберяков Опубликовано 7 ноября, 2015 Автор Опубликовано 7 ноября, 2015 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin SetAVZGuardStatus(True); QuarantineFile('C:\Users\Home\appdata\roaming\windowsupdate\updater.exe',''); QuarantineFile('C:\Users\Home\appdata\roaming\windowsupdate\msupdate.exe',''); QuarantineFile('C:\Users\Home\appdata\roaming\windowsupdate\live.exe',''); QuarantineFile('C:\Users\Home\appdata\roaming\update\explorer.exe',''); QuarantineFile('C:\Users\Home\appdata\roaming\c731200',''); QuarantineFile('C:\Users\Home\AppData\Roaming\WindowsUpdate\MSupdate.exe',''); QuarantineFile('C:\Users\Home\AppData\Roaming\WindowsUpdate\Updater.exe',''); QuarantineFile('C:\Users\Home\AppData\Roaming\Microsoft\Windows\themes\Kvkgkq.exe',''); QuarantineFile('C:\Users\Home\AppData\Roaming\Windows Live\lpobrfyapo.exe',''); QuarantineFile('C:\Users\Home\AppData\Roaming\WindowsUpdate\Live.exe',''); DeleteFile('C:\Users\Home\AppData\Roaming\WindowsUpdate\Live.exe','32'); DeleteFile('C:\Users\Home\AppData\Roaming\Windows Live\lpobrfyapo.exe','32'); DeleteFile('C:\Users\Home\AppData\Roaming\Microsoft\Windows\themes\Kvkgkq.exe','32'); DeleteFile('C:\Users\Home\AppData\Roaming\WindowsUpdate\Updater.exe','32'); DeleteFile('C:\Users\Home\AppData\Roaming\WindowsUpdate\MSupdate.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Kvkgkq'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Live'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Kvkgkq','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Installer','command'); DeleteFile('C:\Users\Home\appdata\roaming\c731200','32'); DeleteFile('C:\Users\Home\appdata\roaming\update\explorer.exe','32'); DeleteFile('C:\Users\Home\appdata\roaming\windowsupdate\live.exe','32'); DeleteFile('C:\Users\Home\appdata\roaming\windowsupdate\msupdate.exe','32'); DeleteFile('C:\Users\Home\appdata\roaming\windowsupdate\updater.exe','32'); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com. 1. В заголовке письма напишите "Запрос на исследование вредоносного файла". 2. В письме напишите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина и нажмите "Отправить" 4. Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи Автологгером. Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. updater.exe, explorer.exe, c731200 - Worm.Win32.Ngrbot.auzm msupdate.exe - Backdoor.Win32.Androm.ipvr live.exe - Trojan.Win32.Bublik.dylw Kvkgkq.exe - Worm.Win32.Ngrbot.atoo lpobrfyapo.exe - Trojan.Win32.Bublik.dyls Детектирование файлов будет добавлено в следующее обновление. KLAN-3324146717 CollectionLog-2015.11.07-10.45.zip
mike 1 Опубликовано 7 ноября, 2015 Опубликовано 7 ноября, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Александр Щеберяков Опубликовано 7 ноября, 2015 Автор Опубликовано 7 ноября, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Addition.txt FRST.txt
mike 1 Опубликовано 8 ноября, 2015 Опубликовано 8 ноября, 2015 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-3287528768-3616734913-1310611280-1000\...\Run: [Windows Live] => C:\Users\Home\AppData\Roaming\Windows Live\lpobrfyapo.exe HKU\S-1-5-21-3287528768-3616734913-1310611280-1000\...\Run: [Windows Update Installer] => C:\Users\Home\AppData\Roaming\WindowsUpdate\Updater.exe HKU\S-1-5-21-3287528768-3616734913-1310611280-1000\...\Run: [Kvkgkq] => C:\Users\Home\AppData\Roaming\Microsoft\Windows\themes\Kvkgkq.exe HKU\S-1-5-21-3287528768-3616734913-1310611280-1000\...\Winlogon: [Shell] C:\Windows\Explorer.exe [2872320 2010-11-21] (Microsoft Corporation) <==== ATTENTION CHR Extension: (Щит безопасности KIS) - C:\Users\Home\AppData\Local\Google\Chrome\User Data\Default\Extensions\dgijhjpnccoobiidepennokjmlbebenk [2015-10-10] 2015-11-06 20:40 - 2015-11-07 10:29 - 00000000 ____D C:\Users\Home\AppData\Roaming\Update 2015-09-27 14:07 - 2015-09-27 14:13 - 00000008 __RSH C:\Users\Все пользователи\ntuser.pol 2015-09-27 14:07 - 2015-09-27 14:13 - 00000008 __RSH C:\ProgramData\ntuser.pol [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Kvkgkq] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Installer] EmptyTemp: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен.
Александр Щеберяков Опубликовано 8 ноября, 2015 Автор Опубликовано 8 ноября, 2015 (изменено) Что с проблемой? Количество процессов нормализовалось, сейчас 49. Обратил внимание на странные процессы под названием igfxTray.exe, igfxEM.exe, igfxHK.exe раньше их не замечал. Изменено 8 ноября, 2015 пользователем Александр Щеберяков
mike 1 Опубликовано 8 ноября, 2015 Опубликовано 8 ноября, 2015 процессы под названием igfxTray.exe, igfxEM.exe, igfxHK.exe раньше их не замечал. Это процессы от Intel.
Александр Щеберяков Опубликовано 8 ноября, 2015 Автор Опубликовано 8 ноября, 2015 процессы под названием igfxTray.exe, igfxEM.exe, igfxHK.exe раньше их не замечал. Это процессы от Intel. Тогда все отлично, спасибо огромное за помощь!
mike 1 Опубликовано 8 ноября, 2015 Опубликовано 8 ноября, 2015 Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе Запустите DelFix Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите Да В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup Нажмите на кнопку Run Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Советы и рекомендации после лечения компьютера
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти