Процесс aes-acx2.exe грузит ЦП на 100%, появляется снова

[Shok23]

Появился процесс в диспетчере задач aes-acx2.exe
при завершении появляется снова
находится по пути (C:\Users\Pavel\AppData\Roaming\CEUJu\rsq\xm_3)
файлы из этой папки не удаляются, потому что они "открыты другой программой"

CollectionLog-2017.12.30-19.38.zip

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\pavel\appdata\roaming\ceuju\kcj\svchost.exe');
 TerminateProcessByName('c:\windows\mssecsvc.exe');
 TerminateProcessByName('c:\windows\temp\torrentsearch_restartonfail\installafterrebootservice0.exe');
 StopService('mssecsvc2.0');
 StopService('Rerun service for Torrent Search');
 QuarantineFile('C:\ProgramData\eiuwqmwualymvom168\tasksche.exe', '');
 QuarantineFile('C:\Users\Pavel\AppData\Local\Temp\is-1965b9a\mvcrt110.dll', '');
 QuarantineFile('c:\users\pavel\appdata\roaming\ceuju\kcj\svchost.exe', '');
 QuarantineFile('c:\windows\mssecsvc.exe', '');
 QuarantineFile('c:\windows\temp\torrentsearch_restartonfail\installafterrebootservice0.exe', '');
 QuarantineFile('C:\Windows\winstart.bat', '');
 QuarantineFileF('C:\ProgramData\eiuwqmwualymvom168\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\users\pavel\appdata\roaming\ceuju\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\windows\temp\torrentsearch_restartonfail\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\ProgramData\eiuwqmwualymvom168\tasksche.exe', '32');
 DeleteFile('C:\Users\Pavel\AppData\Local\Temp\is-1965b9a\mvcrt110.dll', '32');
 DeleteFile('c:\users\pavel\appdata\roaming\ceuju\kcj\svchost.exe', '32');
 DeleteFile('c:\windows\mssecsvc.exe', '32');
 DeleteFile('c:\windows\temp\torrentsearch_restartonfail\installafterrebootservice0.exe', '32');
 DeleteFile('C:\Windows\winstart.bat', '32');
 DeleteService('eiuwqmwualymvom168');
 DeleteService('mssecsvc2.0');
 DeleteService('Rerun service for Torrent Search');
 DeleteFileMask('C:\ProgramData\eiuwqmwualymvom168\', '*', true);
 DeleteFileMask('c:\users\pavel\appdata\roaming\ceuju\', '*', true);
 DeleteFileMask('c:\windows\temp\torrentsearch_restartonfail\', '*', true);
 DeleteDirectory('C:\ProgramData\eiuwqmwualymvom168\');
 DeleteDirectory('c:\users\pavel\appdata\roaming\ceuju\');
 DeleteDirectory('c:\windows\temp\torrentsearch_restartonfail\');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

+ в host записи сами добавляли?

 

и у вас там похоже сразу два шифровальщика активны. Обязательно надо поставить обновления безопасности на виндоус.

 

Начните с обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
И в будущем не забывайте своевременно обновляться.

[thyrex]

Дубль https://virusinfo.info/showthread.php?t=216938

 

@regist, можно продолжить там