Перейти к содержанию
Правила раздела

Множество процессов calc.exe*32

Ildarballer

Автор Ildarballer
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Roman_Five

Roman_Five

Опубликовано
Опубликовано
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('E:\Users\Katy\appdata\roaming\c731200','');
 QuarantineFile('E:\Users\Katy\appdata\roaming\update\explorer.exe','');
 QuarantineFile('E:\Users\Katy\AppData\Roaming\WindowsUpdate\VGA.exe','');
 QuarantineFile('E:\Users\Katy\AppData\Roaming\Microsoft\Windows\themes\Sjkgky.exe','');
 QuarantineFile('E:\Users\Katy\AppData\Roaming\WindowsUpdate\Live.exe','');
 QuarantineFile('E:\Users\Katy\AppData\Roaming\Windows Live\llvynadink.exe','');
 QuarantineFile('E:\Users\Katy\AppData\Roaming\WindowsUpdate\mobsync.exe','');
 QuarantineFile('E:\Users\Katy\AppData\Roaming\WindowsUpdate\Updater.exe','');
 DeleteFile('E:\Users\Katy\AppData\Roaming\Windows Live\llvynadink.exe','32');
 DeleteFile('E:\Users\Katy\AppData\Roaming\WindowsUpdate\Live.exe','32');
 DeleteFile('E:\Users\Katy\AppData\Roaming\Microsoft\Windows\themes\Sjkgky.exe','32');
 DeleteFile('E:\Users\Katy\AppData\Roaming\WindowsUpdate\VGA.exe','32');
 DeleteFile('E:\Users\Katy\appdata\roaming\update\explorer.exe','32');
 DeleteFile('E:\Users\Katy\appdata\roaming\c731200','32');
 DeleteFile('E:\Users\Katy\appdata\roaming\windowsupdate\mobsync.exe','32');
 DeleteFile('E:\Users\Katy\appdata\roaming\windowsupdate\updater.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Sjkgky');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Sync Center');
 DelAutorunByFileName('E:\Users\Katy\AppData\Roaming\WindowsUpdate\VGA.exe');
 DelAutorunByFileName('E:\Users\Katy\appdata\roaming\windowsupdate\mobsync.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O2 - BHO: SafeMon Class - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} - (no file)
O4 - HKCU\..\Run: [Microsoft Sync Center] E:\Users\Katy\AppData\Roaming\WindowsUpdate\mobsync.exe
O4 - HKCU\..\Run: [Sjkgky] E:\Users\Katy\AppData\Roaming\Microsoft\Windows\themes\Sjkgky.exe
O4 - HKCU\..\Run: [Windows Live Installer] E:\Users\Katy\AppData\Roaming\WindowsUpdate\Live.exe
O4 - HKCU\..\Run: [Windows Live] E:\Users\Katy\AppData\Roaming\Windows Live\llvynadink.exe
O4 - HKCU\..\Run: [Windows Update Installer] E:\Users\Katy\AppData\Roaming\WindowsUpdate\Updater.exe
O4 - MSConfig..HKLM: 2015/01/24 [Raptr] E:\PROGRA~2\Raptr\raptrstub.exe --startup (no file)
 
Сделайте новые логи по правилам (только пункт 2).

+
приложите логи FRST

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

Ildarballer

Ildarballer

Опубликовано
  • Автор
Опубликовано (изменено)

Спасибо!

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

c731200,
explorer.exe,
Updater.exe - Worm.Win32.Ngrbot.ayuu
Live.exe - Trojan.Win32.Yakes.pavu
llvynadink.exe - Trojan.Win32.Bublik.eebe

Детектирование файлов будет добавлено в следующее обновление.

Sjkgky.exe,
mobsync.exe

CollectionLog-2016.02.15-20.18.zip

FRST.txt

Изменено пользователем Ildarballer
Roman_Five

Roman_Five

Опубликовано
Опубликовано

удалите в MBAM следующие строки:

PUP.Optional.Conduit, D:\Program Files (x86)\Conduit\Community Alerts\Alert.dll, , [53ac352b9702f44216a612fd56aae020], 
PUP.Optional.ConduitTB.Gen, D:\Program Files (x86)\uTorrentControl2\ldrtbuTor.dll, , [f708fe62f3a63600dd7cf2106b9a59a7], 
PUP.Optional.ConduitTB.Gen, D:\Program Files (x86)\uTorrentControl2\prxtbuTor.dll, , [ef10e17f7821e6502d2c89790ef76f91], 
PUP.Optional.ConduitTB.Gen, D:\Program Files (x86)\uTorrentControl2\tbuTor.dll, , [906f441cafeaca6cc297ab572ed7f50b], 
PUP.Optional.WebAlta, D:\Users\R2D2\AppData\Local\Temp\9200.16384.120725-1247_lp-RU_x64_2277629_157_rar.exe, , [b649f070b8e146f00d6893a9946ccf31], 
PUP.Optional.WebAlta, D:\Users\R2D2\AppData\Local\Temp\~zm_{E08F57EB-42C1-47FF-BFD1-8F8C6C2C1BD9}\WebaltaToolbarSetup.exe, , [629d3c24dabf67cf482dc07cc63a21df], 
PUP.Optional.WebAlta, D:\Users\R2D2\AppData\Local\Webalta Toolbar\WebAltaSearch.dll, , [db249fc1c5d416205e17221a9967d62a], 
PUP.Optional.ConduitTB.Gen, D:\Users\R2D2\AppData\LocalLow\uTorrentControl2\ldrtbuTor.dll, , [d82792ce7128102682d7d62c8c79b14f], 
PUP.Optional.ConduitTB.Gen, D:\Users\R2D2\AppData\LocalLow\uTorrentControl2\tbuTor.dll, , [837c8ed28b0e89ada7b2dd25a65fb050], 
PUP.Optional.WebAlta, D:\Windows\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88\WebAltaSearch.dll, , [0bf46df343562a0ccfa6f448817f649c], 
PUP.Optional.OpenCandy, F:\Users\Katy\Downloads\DAEMON Tools Ultra v3.0.0.0309 Final Ml_Rus\DAEMONToolsUltra300-0309.exe, , [35cab7a989104fe7726f50aab1539e62], 
RiskWare.Tool.CK, E:\RECYCLER\S-1-5-21-839522115-1425521274-1417001333-1003\Dc225\CRACK\CDRSUITKG.EXE, , [7b84e17f7029f541e63661916c98728e], 
RiskWare.ExtensionMismatch, E:\Users\Katy\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8EYOUHDD\api1[1].gif, , [0af58ad6178285b1ce4f3f1136cb4bb5], 
Worm.Gamarue, E:\Users\Katy\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9KO9JGSY\api5[1].gif, , [738ccf91c6d39f9728334e8723ded22e], 
RiskWare.ExtensionMismatch, E:\Users\Katy\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9KO9JGSY\api8[1].gif, , [20df342c6b2ee94d8e8f5ef248b906fa], 
Worm.Gamarue, E:\Users\Katy\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WV5PEPVN\api7[1].gif, , [e41bca96e8b121152536597cba472bd5], 
RiskWare.ExtensionMismatch, E:\Users\Katy\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XHGJNCSR\api4[1].gif, , [e21ddd83bddc999d8a93dc74cd342ad6], 
PUP.Optional.OpenCandy, E:\Users\Katy\AppData\Roaming\uTorrent\updates\3.4.2_38913.exe, , [cb34fe62b3e6b383710545c008f8be42], 
PUP.Optional.OpenCandy, E:\Users\Katy\AppData\Roaming\uTorrent\updates\3.4.3_40760.exe, , [fd02bfa158410333d0e39cd81ce6ae52], 
Trojan.Agent, E:\Users\Katy\AppData\Roaming\Update\Update.exe, , [0cf35c04425793a3c778611efd06738d], 

что с проблемой?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...