Много процессов calc.exe

[Гранатометчик]

Здравствуйте!

 

После того, как была вставлена вредоносная флешка, на которой вместо файлов были ярлыки, в ДЗ появилось много процессов calc.exe, mspaint.exe и других. А также вылетают сразу некоторые программы, например regedit

 

Пытался вылечить Касперским - он сказал, что вылечил, но после перезагрузки проблема повторилась.

CollectionLog-2016.02.10-13.26.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

 QuarantineFile('C:\Users\AZho\appdata\roaming\c731200','');

 QuarantineFile('C:\Users\AZho\AppData\Roaming\Microsoft\Windows\themes\Psxaxp.exe','');

 QuarantineFile('C:\Users\AZho\AppData\Roaming\Windows Live\pyrswjaqxl.exe','');

 QuarantineFile('C:\Users\AZho\AppData\Roaming\WindowsUpdate\mobsync.exe','');

 QuarantineFile('C:\Users\AZho\AppData\Roaming\WindowsUpdate\Live.exe','');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Sync Center');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Psxaxp');

 DeleteFile('C:\Users\AZho\AppData\Roaming\WindowsUpdate\Updater.exe','32');

 DeleteFile('C:\Users\AZho\AppData\Roaming\WindowsUpdate\Live.exe','32');

 DeleteFile('C:\Users\AZho\AppData\Roaming\WindowsUpdate\mobsync.exe','32');

 DeleteFile('C:\Users\AZho\AppData\Roaming\Windows Live\pyrswjaqxl.exe','32');

 DeleteFile('C:\Users\AZho\AppData\Roaming\Microsoft\Windows\themes\Psxaxp.exe','32');

 DeleteFile('C:\Users\AZho\appdata\roaming\c731200','32');

 DeleteFile('C:\Users\AZho\appdata\roaming\update\explorer.exe','32');

 DeleteFile('C:\Users\AZho\appdata\roaming\windowsupdate\live.exe','32');

ExecuteSysClean;

RebootWindows(true);

end.



 

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи Автологгером. 

 

[Гранатометчик]

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Users\AZho\appdata\roaming\c731200','');
 QuarantineFile('C:\Users\AZho\AppData\Roaming\Microsoft\Windows\themes\Psxaxp.exe','');
 QuarantineFile('C:\Users\AZho\AppData\Roaming\Windows Live\pyrswjaqxl.exe','');
 QuarantineFile('C:\Users\AZho\AppData\Roaming\WindowsUpdate\mobsync.exe','');
 QuarantineFile('C:\Users\AZho\AppData\Roaming\WindowsUpdate\Live.exe','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Sync Center');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Psxaxp');
 DeleteFile('C:\Users\AZho\AppData\Roaming\WindowsUpdate\Updater.exe','32');
 DeleteFile('C:\Users\AZho\AppData\Roaming\WindowsUpdate\Live.exe','32');
 DeleteFile('C:\Users\AZho\AppData\Roaming\WindowsUpdate\mobsync.exe','32');
 DeleteFile('C:\Users\AZho\AppData\Roaming\Windows Live\pyrswjaqxl.exe','32');
 DeleteFile('C:\Users\AZho\AppData\Roaming\Microsoft\Windows\themes\Psxaxp.exe','32');
 DeleteFile('C:\Users\AZho\appdata\roaming\c731200','32');
 DeleteFile('C:\Users\AZho\appdata\roaming\update\explorer.exe','32');
 DeleteFile('C:\Users\AZho\appdata\roaming\windowsupdate\live.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.

 

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи Автологгером. 

 

Все выполнено по инструкции:

 

[KLAN-3736860218]

 

Hello,

 

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

 

c731200,

Psxaxp.exe,

pyrswjaqxl.exe,

mobsync.exe,

Live.exe

 

A set of unknown files has been received. They will be sent to the Virus Lab.

 

Best Regards, Kaspersky Lab

 

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.com http://www.viruslist.com"

 

 

--------------------------------------------------------------------------------

From: 

Sent: 2/10/2016 12:46:45 PM

To: newvirus@kaspersky.com

Subject: Запрос на исследование вредоносного файла

 

Выполняется запрос хэлпера

Единственное, запустил AVZ не от имени администратора - это совсем плохо?

CollectionLog-2016.02.10-16.01.zip

Изменено 10 февраля, 2016 пользователем mike 1
Почта скрыта

[mike 1]

Все что нужно в карантин попало.

 

Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!!!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[Гранатометчик]

 

Все что нужно в карантин попало.

 

Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

.

 

Просканировал данной программой. Единственное, что там по умолчанию не стояло галочки у "Проверка на наличие руткитов". Надеюсь, это не помешает, но могу пересканировать.

ЛогМарвал.txt

Изменено 10 февраля, 2016 пользователем Гранатометчик

[mike 1]

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Quarantine" ("Карантин" - смотрите, что удаляете).

 

Разделы реестра: 2

PUP.Optional.InstallCore, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Smart File Advisor_is1, , [47c6a4bb0c8d76c03b5326dacb3a619f], 

PUP.Optional.InstallCore, HKU\S-1-5-21-3833879910-3970715650-2220552553-1000\SOFTWARE\ICSW1.17, , [7a93342b9108979f98f32eb538cbb848], 

 

Значения реестра: 2

PUP.Optional.FreeMakeConverter, HKLM\SOFTWARE\WOW6432NODE\MOZILLA\FIREFOX\EXTENSIONS|fmconverter@gmail.com, C:\Program Files (x86)\Freemake Video Converter\Freemake Video Converter\BrowserPlugin\Firefox, , [af5e540b4f4a90a626c95488e51ef907]

Trojan.Agent.MWTGen, HKU\S-1-5-21-3833879910-3970715650-2220552553-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Psxaxp, C:\Users\AZho\AppData\Roaming\Microsoft\Windows\themes\Psxaxp.exe, , [fa13fc63debb2c0ad7006a53cd365ea2]

 





Файлы: 21

PUP.Optional.InstallCore, C:\Program Files (x86)\Smart File Advisor\sfa_inst.exe, , [b4595f005b3ecc6a1f6f48b8709502fe], 

PUP.Optional.InstallCore, C:\Program Files (x86)\Smart File Advisor\StartupChecker.exe, , [927b36295247b383404e5aa6a65fcf31], 

PUP.Optional.InstallCore, C:\Program Files (x86)\Smart File Advisor\unins000.exe, , [47c6a4bb0c8d76c03b5326dacb3a619f], 

PUP.Optional.Somoto, C:\Users\AZho\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\U8NLJ6DG\setup[1].exe, , [44c9b2adf7a20b2bec34ce1d0001f50b], 

RiskWare.ExtensionMismatch, C:\Users\AZho\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VFUTRYCU\api1[1].gif, , [68a582dd0792bb7b403a3f1027da9070], 

Backdoor.Andromeda, C:\Users\AZho\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VFUTRYCU\api4[2].gif, , [bc51aab59108ba7c389ab23acd34e51b], 

Backdoor.Andromeda, C:\Users\AZho\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VFUTRYCU\api8[1].gif, , [a865c798aced81b5a42e5f8dd9283ac6], 

PUP.Optional.AdOffer, C:\Users\AZho\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VFUTRYCU\BiTool[1].dll, , [f81556094851b284d17350ea09f91ce4], 

Backdoor.Andromeda, C:\Users\AZho\AppData\Local\Temp\temp41.tmp, , [a46960ff5f3a979f8e44eb01f11006fa], 

Backdoor.Andromeda, C:\Users\AZho\AppData\Local\Temp\706it.exe, , [a865aeb1afead75f864c8f5dde2334cc], 

Backdoor.Andromeda, C:\Users\AZho\AppData\Local\Temp\7cmed.exe, , [759871eea5f452e44d85975514ed07f9], 

PUP.Optional.OpenCandy, C:\Users\AZho\AppData\Local\Temp\HYD1C9A.tmp.1440797198\HTA\install.1440797198.zip, , [e9244a157f1a310539ac7ec3738f29d7], 

Backdoor.Andromeda, C:\Users\AZho\AppData\Roaming\Update\Update.exe, , [f518253a554483b32ca6d517827f817f], 

 

Обратите внимание! Для остальных объектов выберете действие "Ignore" ("Игнорировать").

 

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

 

[Гранатометчик]

 

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Quarantine" ("Карантин" - смотрите, что удаляете).

 

Разделы реестра: 2
PUP.Optional.InstallCore, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Smart File Advisor_is1, , [47c6a4bb0c8d76c03b5326dacb3a619f], 
PUP.Optional.InstallCore, HKU\S-1-5-21-3833879910-3970715650-2220552553-1000\SOFTWARE\ICSW1.17, , [7a93342b9108979f98f32eb538cbb848], 
 
Значения реестра: 2
PUP.Optional.FreeMakeConverter, HKLM\SOFTWARE\WOW6432NODE\MOZILLA\FIREFOX\EXTENSIONS|fmconverter@gmail.com, C:\Program Files (x86)\Freemake Video Converter\Freemake Video Converter\BrowserPlugin\Firefox, , [af5e540b4f4a90a626c95488e51ef907]
Trojan.Agent.MWTGen, HKU\S-1-5-21-3833879910-3970715650-2220552553-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Psxaxp, C:\Users\AZho\AppData\Roaming\Microsoft\Windows\themes\Psxaxp.exe, , [fa13fc63debb2c0ad7006a53cd365ea2]
 


Файлы: 21
PUP.Optional.InstallCore, C:\Program Files (x86)\Smart File Advisor\sfa_inst.exe, , [b4595f005b3ecc6a1f6f48b8709502fe], 
PUP.Optional.InstallCore, C:\Program Files (x86)\Smart File Advisor\StartupChecker.exe, , [927b36295247b383404e5aa6a65fcf31], 
PUP.Optional.InstallCore, C:\Program Files (x86)\Smart File Advisor\unins000.exe, , [47c6a4bb0c8d76c03b5326dacb3a619f], 
PUP.Optional.Somoto, C:\Users\AZho\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\U8NLJ6DG\setup[1].exe, , [44c9b2adf7a20b2bec34ce1d0001f50b], 
RiskWare.ExtensionMismatch, C:\Users\AZho\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VFUTRYCU\api1[1].gif, , [68a582dd0792bb7b403a3f1027da9070], 
Backdoor.Andromeda, C:\Users\AZho\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VFUTRYCU\api4[2].gif, , [bc51aab59108ba7c389ab23acd34e51b], 
Backdoor.Andromeda, C:\Users\AZho\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VFUTRYCU\api8[1].gif, , [a865c798aced81b5a42e5f8dd9283ac6], 
PUP.Optional.AdOffer, C:\Users\AZho\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VFUTRYCU\BiTool[1].dll, , [f81556094851b284d17350ea09f91ce4], 
Backdoor.Andromeda, C:\Users\AZho\AppData\Local\Temp\temp41.tmp, , [a46960ff5f3a979f8e44eb01f11006fa], 
Backdoor.Andromeda, C:\Users\AZho\AppData\Local\Temp\706it.exe, , [a865aeb1afead75f864c8f5dde2334cc], 
Backdoor.Andromeda, C:\Users\AZho\AppData\Local\Temp\7cmed.exe, , [759871eea5f452e44d85975514ed07f9], 
PUP.Optional.OpenCandy, C:\Users\AZho\AppData\Local\Temp\HYD1C9A.tmp.1440797198\HTA\install.1440797198.zip, , [e9244a157f1a310539ac7ec3738f29d7], 
Backdoor.Andromeda, C:\Users\AZho\AppData\Roaming\Update\Update.exe, , [f518253a554483b32ca6d517827f817f], 

 

Обратите внимание! Для остальных объектов выберете действие "Ignore" ("Игнорировать").

 

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

 

.

 

Все сделано по инструкции. Прикрепляю новый лог.

 

П.С. Спустя час после первого сканирования и удаления комп завис, а после перезагрузки началась проверка дисков. Потом винда загрузилась, и сделана была новая проверка. Это допустимо?

Новый ЛогМалвар.txt

[mike 1]

Ничего страшного.

 

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Гранатометчик]

 

Ничего страшного.

 

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

.

 

Прилагаю файлы FRST и Addition

FRST.txt

Addition.txt

Изменено 11 февраля, 2016 пользователем Гранатометчик

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

HKU\S-1-5-21-3833879910-3970715650-2220552553-1000\...\Run: [Windows Live] => C:\Users\AZho\AppData\Roaming\Windows Live\pyrswjaqxl.exe

HKU\S-1-5-21-3833879910-3970715650-2220552553-1000\...\Run: [Windows Update Installer] => C:\Users\AZho\AppData\Roaming\WindowsUpdate\Updater.exe

Toolbar: HKU\S-1-5-21-3833879910-3970715650-2220552553-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File

Toolbar: HKU\S-1-5-21-3833879910-3970715650-2220552553-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File

C:\Users\AZho\AppData\Local\Temp\12qb5.exe

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

 

 

[Гранатометчик]

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3833879910-3970715650-2220552553-1000\...\Run: [Windows Live] => C:\Users\AZho\AppData\Roaming\Windows Live\pyrswjaqxl.exe
HKU\S-1-5-21-3833879910-3970715650-2220552553-1000\...\Run: [Windows Update Installer] => C:\Users\AZho\AppData\Roaming\WindowsUpdate\Updater.exe
Toolbar: HKU\S-1-5-21-3833879910-3970715650-2220552553-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-3833879910-3970715650-2220552553-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
C:\Users\AZho\AppData\Local\Temp\12qb5.exe

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

.

 

Прикрепляю

Fixlog.txt

[mike 1]

Что с проблемой?

[Гранатометчик]

Что с проблемой?

.

 

По-видимому, все решилось. Программы запускаются. И кучи одинаковых процессов типа calc и mspaint не наблюдается.

Что-то еще необходимо сделать? (Например, читал у вас на форуме про создание новых контрольных точек восстановления системы)

[mike 1]

Деинсталлируйте MBAM.

 

 

1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе

Запустите DelFix

Обратите внимание

, что утилиты необходимо запускать от имени Администратора. По умолчанию в

Windows XP

так и есть. В

Windows Vista

и

Windows 7

администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать

Запуск от имени Администратора

, при необходимости укажите пароль администратора и нажмите

Да

В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

Нажмите на кнопку Run

 

 

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

 

[Гранатометчик]

 

Деинсталлируйте MBAM.

 

 

• Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе

• Запустите DelFix

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

• Нажмите на кнопку Run

 

 

 

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

 

 

SecurityCheck.txt