Утилита атрибутов (attrib.exe)

[Silverwing]

Добрый день, попался вирус, который из 4 ядер в простое грузит 2 из них на 100 %, но как только запускаешь диспетчер задач, то нагрузка с них резко пропадает. На секунду после запуска диспетчера я заметил, что так систему грузит файл attrib.exe. Как только закрываешь диспетчер, через некоторое время нагрузка снова появляется и т.д.

CollectionLog-2017.06.16-19.04.zip

Изменено 16 июня, 2017 пользователем Silverwing

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Users\Михаил\AppData\Roaming\Microsoft\Windows\svchost.exe');
 QuarantineFile('C:\Users\Михаил\AppData\Roaming\Microsoft\Windows\svchost.exe', '');
 QuarantineFile('C:\Users\Михаил\Favorites\Links\Интернет.url', '');
 DeleteFile('C:\Users\Михаил\AppData\Roaming\Microsoft\Windows\svchost.exe', '32');
 DeleteFile('C:\Users\Михаил\Favorites\Links\Интернет.url');
 ExecuteFile('schtasks.exe', '/delete /TN "SystemCheck" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

[Silverwing]

Ссылка на проверенный карантин: https://virusinfo.info/virusdetector/report.php?md5=D3DBC88E61C89973EBB99252843889DC

Номер ответа: [KLAN-6412587799]

[regist]

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

жду.

[Silverwing]

Оно?

CollectionLog-2017.06.16-21.25.zip

[regist]

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

C:\Users\Михаил\Favorites\Links\Интернет.url

 

Если

- "C:\Users\Михаил\Favorites\Links\Яндекс.url"  ->                    hxxp://vvv.yandex.ru/?win=117&clid=2073747
- "C:\Users\Михаил\Favorites\Links\Почта.url"  ->                     hxxp://mail.yandex.ru/?win=117&clid=2073747

вам не знакомы, то их также вставьте в ClearLNK.

 

Что с проблемой?

[Silverwing]

Что с проблемой?

 

Сохраняется пока(

ClearLNK-16.06.2017_21-38.log

[regist]

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.

 

[Silverwing]

Сделал

scan.txt

[regist]

1) MBAM деиснталируйте.

 

2)

- "C:\Users\Михаил\Desktop\Goodgame Empire.url"  ->                   hxxp://empire.goodgamestudios.com/?w=349268

Этот ярлык вам знаком?

 

3) Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

Изменено 16 июня, 2017 пользователем regist

[Silverwing]

Этот ярлык вам знаком?

 

Нет.

 

 

Заметил после установки Dirt

Он у меня тоже установлен, кстати. Неужели вирус там?

МИХАИЛ-ПК_2017-06-16_22-51-09.7z

[regist]

У меня такая же фигня

Порядок оформления запроса о помощи

 

Особенно внимательно пункт №3 прочитайте.

[Денис Польгин]

 

Этот ярлык вам знаком?

Нет.

Заметил после установки Dirt

Он у меня тоже установлен, кстати. Неужели вирус там?

Ага качал четвертый на тапках. Там в коментах писали что каспер обнаруживает майнер. В итоге топик прикрыли

 

У меня такая же фигня

Порядок оформления запроса о помощи

Особенно внимательно пункт №3 прочитайте.

а я и не просил помощи. Я вам тут суть говорю. Может легче искать будет

Сообщение от модератора Soft

Прошу не нарушать правила раздела и не вмешиваться в процесс лечения!

[regist]

@Silverwing, удалите остатки MBAM с помощью Malwarebytes Clean Tool 3.1.0.1008

 

Выполните скрипт в uVS
 

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
BREG
;---------command-block---------
zoo %SystemDrive%\USERS\МИХАИЛ\APPDATA\ROAMING\MICROSOFT\WINDOWS\SVCHOST.EXE
delall %SystemDrive%\USERS\МИХАИЛ\APPDATA\ROAMING\MICROSOFT\WINDOWS\SVCHOST.EXE
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemDrive%\USERS\МИХАИЛ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.32.7\PSUSER.DLL
delref %SystemDrive%\USERS\МИХАИЛ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.3\PSUSER.DLL
delref %SystemDrive%\USERS\МИХАИЛ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.32.7\PSUSER_64.DLL
delref %SystemDrive%\USERS\МИХАИЛ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.3\PSUSER_64.DLL
apply
deltmp
czoo
restart

проверьте проблему.

[Silverwing]

 

 

проверьте проблему.

Да, пропала.

Огромное спасибо за помощь!