Ambul1 Опубликовано 14 декабря, 2016 Опубликовано 14 декабря, 2016 Много процессов Calc.exe CollectionLog-2016.12.14-09.31.zip
SQ Опубликовано 14 декабря, 2016 Опубликовано 14 декабря, 2016 Здравствуйте,HiJackThis (из каталога автологгера) профиксить O4 - HKCU\..\Policies\Explorer\Run: [Windows Live] C:\Users\User\AppData\Roaming\Windows Live\xwfjiuyapa.exe O4 - HKCU\..\Run: [Microsoft Sync Center] C:\Users\User\AppData\Roaming\WindowsUpdate\mobsync.exe O4 - HKCU\..\Run: [Qmkoke] C:\Users\User\AppData\Roaming\Microsoft\Windows\Qmkoke.exe O4 - HKCU\..\Run: [Windows Live Installer] C:\Users\User\AppData\Roaming\WindowsUpdate\Live.exe O4 - HKCU\..\Run: [Windows Live] C:\Users\User\AppData\Roaming\Windows Live\xwfjiuyapa.exe O4 - HKCU\..\Run: [Windows Update Installer] C:\Users\User\AppData\Roaming\WindowsUpdate\Updater.exe O18 - Protocol: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - (no file) AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\User\appdata\roaming\windowsupdate\updater.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\WindowsUpdate\Updater.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\WindowsUpdate\mobsync.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\WindowsUpdate\Live.exe',''); QuarantineFile('C:\Users\User\appdata\roaming\windowsupdate\live.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\Windows Live\xwfjiuyapa.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Qmkoke.exe',''); QuarantineFile('C:\Users\User\appdata\roaming\c731200',''); DeleteFile('C:\Users\User\AppData\Roaming\WindowsUpdate\Updater.exe','32'); DeleteFile('C:\Users\User\appdata\roaming\windowsupdate\updater.exe','32'); DeleteFile('C:\Users\User\AppData\Roaming\WindowsUpdate\mobsync.exe','32'); DeleteFile('C:\Users\User\AppData\Roaming\WindowsUpdate\Live.exe','32'); DeleteFile('C:\Users\User\appdata\roaming\windowsupdate\live.exe','32'); DeleteFile('C:\Users\User\AppData\Roaming\Windows Live\xwfjiuyapa.exe','32'); DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Qmkoke.exe','32'); DeleteFile('C:\Users\User\appdata\roaming\c731200','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Qmkoke'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Sync Center'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Live'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.1. В заголовке письма напишите "Запрос на исследование вредоносного файла".2. В письме напишите "Выполняется запрос хэлпера".3. Прикрепите файл карантина и нажмите "Отправить"4. Полученный ответ сообщите здесь (с указанием номера KLAN)AVZ -> Файл -> Мастер поиска и устранения проблем -> Системные проблемы -> Пуск -> Отметьте пункт указанный выше -> Исправить отмеченные проблемы. >> Подмена диспетчера задач - Подготовьте лог AdwCleaner и приложите его в теме. 1
Ambul1 Опубликовано 14 декабря, 2016 Автор Опубликовано 14 декабря, 2016 (изменено) [KLAN-5505214970] Thank you for sending a file for analysis to the Anti-Virus Lab. Kaspersky Anti-Virus has scanned files.Malicious application was detected in files:xwfjiuyapa.exe - HEUR:Trojan.Win32.Genericc731200 - HEUR:Trojan.Win32.GenericNo malware detected in files:live.exeupdater.exemobsync.exeWe will thoroughly analyze files. If the result of the analysis is different from this scan result, you will be notified via email within 5 days. AdwCleanerS0.txt CollectionLog-2016.12.14-10.53.zip Изменено 14 декабря, 2016 пользователем Ambul1
SQ Опубликовано 14 декабря, 2016 Опубликовано 14 декабря, 2016 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти