в диспетчере куча процессов exe*32

8 января, 2018

После включения компьютера запускаются самопроизвольно процессы с именем exe*32

Компьютер начинает жутко тормозить

CollectionLog-2018.01.08-19.41.zip

Изменено 8 января, 2018 пользователем MikleR

8 января, 2018

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

indus version 1.5 [20171229]-->"C:\ProgramData\indus\unins000.exe"

деинсталируйте.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\indus\start.vbs', '');
 QuarantineFile('C:\ProgramData\Microsoft\Network\TIME.2.bat', '');
 QuarantineFile('C:\ProgramData\Rundll\svhost.exe', '');
 QuarantineFile('C:\Users\123\AppData\Local\Temp\1f0fb7c2d13cc0c07ff2ca40747bc03e_remove360.bat', '');
 QuarantineFile('C:\Users\система\AppData\Roaming\Windows\svhost.exe', '');
 QuarantineFile('C:\Windows\Fonts\1sass.exe', '');
 QuarantineFile('c:\windows\Fonts\svchost.exe', '');
 QuarantineFile('C:\Windows\Fonts\wininit.exe', '');
 QuarantineFileF('C:\ProgramData\indus\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\Rundll\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\ProgramData\indus\start.vbs', '32');
 DeleteFile('C:\ProgramData\Microsoft\Network\TIME.2.bat', '32');
 DeleteFile('C:\ProgramData\Rundll\svhost.exe', '32');
 DeleteFile('C:\Users\123\AppData\Local\Temp\1f0fb7c2d13cc0c07ff2ca40747bc03e_remove360.bat', '32');
 DeleteFile('C:\Users\система\AppData\Roaming\Windows\svhost.exe', '32');
 DeleteFile('C:\Windows\Fonts\1sass.exe', '32');
 DeleteFile('c:\windows\Fonts\svchost.exe', '32');
 DeleteFile('C:\Windows\Fonts\wininit.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "RavTask" /F', 0, 15000, true);
 DeleteService('RpcEptManger');
 DeleteService('Rundll');
 DeleteService('Samserver');
 DeleteFileMask('C:\ProgramData\Rundll\', '*', true);
 DeleteDirectory('C:\ProgramData\Rundll\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'rundll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', '360safeuninst_1f0fb7c2d13cc0c07ff2ca40747bc03e');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'Webhost');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run', 'Webhost');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.

Изменено 8 января, 2018 пользователем regist

8 января, 2018

https://virusinfo.info/virusdetector/report.php?md5=45FF58E2583AF1E124F3D9FA25C7D1B7

KLAN-7492192089

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

Malicious code has been detected in the following files:
svhost.exe - Trojan.Win32.Blouiroet.dw
svchost.exe - Trojan.Win64.Miner.qn
adfw-2.dll - Trojan.Win32.ShadowBrokers.t
adfw.dll - Trojan.Win32.ShadowBrokers.p
cnli-0.dll - Trojan.Win32.ShadowBrokers.am
cnli-1.dll - Trojan.Win32.ShadowBrokers.ao
coli-0.dll - Trojan.Win32.ShadowBrokers.u
crli-0.dll - Trojan.Win32.ShadowBrokers.at
dmgd-1.dll - Trojan.Win32.ShadowBrokers.aw
dmgd-4.dll - Trojan.Win32.ShadowBrokers.ay
Doublepulsar-1.3.1.exe - Backdoor.Win32.ShadowBrokers.f
esco-0.dll - Trojan.Win32.ShadowBrokers.v
Eternalblue-2.2.0.exe - Exploit.Win32.ShadowBrokers.ae
exma-1.dll - Trojan.Win32.ShadowBrokers.x
exma.dll - Trojan.Win32.ShadowBrokers.w
iconv.dll - Trojan.Win32.ShadowBrokers.ct
libcurl.dll - Trojan.Win32.EquationDrug.dm
libeay32.dll - Trojan.Win32.EquationDrug.dn
libxml2.dll - Trojan.Win32.EquationDrug.do
pcla-0.dll - Trojan.Win32.ShadowBrokers.y
pcre-0.dll - Trojan.Win32.ShadowBrokers.ax
pcrecpp-0.dll - Trojan.Win32.ShadowBrokers.av
pcreposix-0.dll - Trojan.Win32.ShadowBrokers.au
posh-0.dll - Trojan.Win32.ShadowBrokers.ab
posh.dll - Trojan.Win32.ShadowBrokers.aa
riar-2.dll - Trojan.Win32.ShadowBrokers.as
riar.dll - Trojan.Win32.ShadowBrokers.ar
setup.exe - Trojan.Win32.Blouiroet.bg
tibe-1.dll - Trojan.Win32.ShadowBrokers.bb
tibe-2.dll - Trojan.Win32.ShadowBrokers.ad
tibe.dll - Trojan.Win32.ShadowBrokers.ac
trch-0.dll - Trojan.Win32.ShadowBrokers.af
trch-1.dll - Trojan.Win32.ShadowBrokers.ag
trch.dll - Trojan.Win32.ShadowBrokers.ae
trfo-0.dll - Trojan.Win32.ShadowBrokers.aq
trfo-2.dll - Trojan.Win32.ShadowBrokers.ap
trfo.dll - Trojan.Win32.ShadowBrokers.an
tucl-1.dll - Trojan.Win32.ShadowBrokers.ai
tucl.dll - Trojan.Win32.ShadowBrokers.ah
ucl.dll - Trojan.Win32.Shadowbrokers.co
winhost.exe - Trojan.Win32.Miner.tccq
x64.dll - Trojan.Win32.Blouiroet.c
x86.dll - Trojan.Win32.Blouiroet.b
xdvl-0.dll - Trojan.Win32.ShadowBrokers.ak
zibe.dll - Trojan.Win32.ShadowBrokers.al
zlib1.dll - Trojan.Win32.EquationDrug.dp

No information about the specified files can be found in the antivirus databases:
1f0fb7c2d13cc0c07ff2ca40747bc03e_remove360.bat
autoran.bat
ISTask.dll
Rundll.exe
start.vbs
unins000.exe
w9xpopen.exe

Riskware which may harm your computer was detected in the following files:
1sass.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.imkj
wininit.exe - not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen

Adware application designed to display ads was detected in the following files:
libiconv-2.dll - HackTool.Win32.ShadowBrokers.g
ssleay32.dll - HackTool.Win32.ShadowBrokers.e

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

123-ПК_2018-01-09_01-20-48.7z

9 января, 2018

Антивирус 360 TOTAL SECURITY - установлен? И если да, то сами ставили или с вирусами пролез?

+ в срочном порядке ставьте поставьте обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
И в будущем не забывайте своевременно обновляться.

1) Удалите по этой инструкции остатки от Avast, McAfee, 360 TOTAL SECURITY.

2)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
dirzooex %SystemDrive%\PROGRAMDATA\SVHOST
zoo %SystemDrive%\PROGRAMDATA\SVHOST\XDVL-0.DLL
bl 5B72CCFA122E403919A613785779AF49 32256
addsgn 79132211B9E9317E0AA1AB592ECC12057863670B76059487D048293DBCFE724C23B4FBCB3E4514441F1C848FCF0379667DCF616F7946B03CA4428CB3C716AB4E 64 Trojan.Win32.ShadowBrokers. [Kaspersky] 7

zoo %SystemDrive%\PROGRAMDATA\SVHOST\UCL.DLL
bl 6B7276E4AA7A1E50735D2F6923B40DE4 58368
addsgn 79132211B9E9317E0AA1AB5916CB12057863670B76059487D048293DBCFE724C23B483A33E4514441774848FCF03710E7DCF616F612EB03CA44294DBC716AB4E 64 Trojan.Win32.Shadowbrokers. [Kaspersky] 7

zoo %SystemDrive%\PROGRAMDATA\SVHOST\TRCH-1.DLL
bl 838CEB02081AC27DE43DA56BEC20FC76 59904
addsgn 79132211B9E9317E0AA1AB5914CB12057863670B76059487D048293DBCFE724C23B4B3A33E4514444774848FCF03210E7DCF616F312EB03CA442C4DBC716AB4E 64 Trojan.Win32.ShadowBrokers. [Kaspersky] 7

zoo %SystemDrive%\PROGRAMDATA\SVHOST\COLI-0.DLL
bl 3C2FE2DBDF09CFA869344FDB53307CB2 15360
addsgn 79132211B9E9317E0AA1AB59E4CB12057863670B76059487D048293DBCFE724C23B4E3133E45144437C4848FCF0351BE7DCF616F419EB03CA442B46BC716AB4E 64 Trojan.Win32.ShadowBrokers 7

zoo %SystemDrive%\PROGRAMDATA\SVHOST\EXMA-1.DLL
bl BA629216DB6CF7C0C720054B0C9A13F3 10240
zoo %SystemDrive%\PROGRAMDATA\SVHOST\X86.DLL
bl BD913F8947757EC3007D261A9BC356BE 83456
addsgn A7679B1928664D070E3C96B064C8ED70357589FA768F17903B3D3A43D3127D11E11BC302B5B9F749D495947F4606B68F7520FD7EB5DAA0442473A4EF38133693 64 Trojan.Win32.Blouiroet. [Kaspersky] 7

chklst
delvir

zoo %SystemDrive%\USERS\123\APPDATA\LOCAL\TEMP\CHROME_BITS_2612_21766\DIG1_198.CRX
delall %SystemDrive%\USERS\123\APPDATA\LOCAL\TEMP\CHROME_BITS_2612_21766\DIG1_198.CRX
zoo %SystemDrive%\USERS\123\APPDATA\LOCAL\TEMP\CHROME_BITS_4776_9207\HIPS_783_X64.CRX
delall %SystemDrive%\USERS\123\APPDATA\LOCAL\TEMP\CHROME_BITS_4776_9207\HIPS_783_X64.CRX
zoo %SystemDrive%\USERS\123\APPDATA\LOCAL\TEMP\CHROME_BITS_2828_13523\HIPS_783_X64.CRX
delall %SystemDrive%\USERS\123\APPDATA\LOCAL\TEMP\CHROME_BITS_2828_13523\HIPS_783_X64.CRX
zoo %SystemDrive%\USERS\123\APPDATA\LOCAL\TEMP\CHROME_BITS_3068_21254\HIPS_783_X64.CRX
delall %SystemDrive%\USERS\123\APPDATA\LOCAL\TEMP\CHROME_BITS_3068_21254\HIPS_783_X64.CRX
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {8E5E2654-AD2D-48BF-AC2D-D17F00898D06}\[CLSID]
delref %SystemDrive%\USERS\123\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GOMEKMIDLODGLBBMALCNEEGIEACBDMKI\10.0.2502.149_0\AVAST ONLINE SECURITY
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
zoo %SystemDrive%\PROGRAM FILES\INTEL SECURITY\TRUE KEY\MSIE\TRUEKEY_IE.DLL
delall %SystemDrive%\PROGRAM FILES\INTEL SECURITY\TRUE KEY\MSIE\TRUEKEY_IE.DLL
zoo %SystemDrive%\PROGRAM FILES\INTEL SECURITY\TRUE KEY\MSIE\TRUEKEY_IE64.DLL
delall %SystemDrive%\PROGRAM FILES\INTEL SECURITY\TRUE KEY\MSIE\TRUEKEY_IE64.DLL
zoo %SystemDrive%\PROGRAMDATA\SVHOST\DOUBLEPULSAR-1.3.1.EXE
bl C24315B0585B852110977DACAFE6C8C1 45568
addsgn 1A96739A55838C8FF42B624E41304245250103A302169E94ADC0C5BCF3DECE0C239ECE5381159DC03E803BDF469F5406C39FE8FB60220E6C2DFE99DB79462215 8 Backdoor.Win32.ShadowBrokers.f 7

zoo %SystemDrive%\PROGRAMDATA\SVHOST\TRFO-2.DLL
bl 3E89C56056E5525BF4D9E52B28FBBCA7 29696
addsgn 79132211B9E9317E0AA1AB592ECC12057863670B76059487D048293DBCFE724C23B46BD23E4514448F05848FCF03E97F7DCF616FC95FB03CA4423CAAC716AB4E 64 Trojan.Win32.ShadowBrokers.ap 7

zoo %SystemDrive%\PROGRAMDATA\SVHOST\POSH-0.DLL
bl 2F0A52CE4F445C6E656ECEBBCACEADE5 11264
addsgn 79132211B9E9317E0AA1AB5911CB12057863670B76059487D048293DBCFE724C23B4E3133E45144437C4848FCF0351BE7DCF616F419EB03CA442B46BC716AB4E 64 Trojan.Win32.ShadowBrokers.ab 7

zoo %SystemDrive%\PROGRAMDATA\SVHOST\TIBE-2.DLL
bl F0881D5A7F75389DEBA3EFF3F4DF09AC 237568
addsgn 79132211B9E9317E0AA1AB5958CB12057863670B76059487D048293DBCFE724C23B41BFD3D451444FF2A878FCF0399507ECF616F9970B33CA4426C85C416AB4E 64 Trojan.Win32.ShadowBrokers.ad 7

zoo %SystemDrive%\PROGRAMDATA\SVHOST\CNLI-1.DLL
bl A539D27F33EF16E52430D3D2E92E9D5C 100864
addsgn 79132211B9E9317E0AA1AB59D1CA12057863670B76059487D048293DBCFE724C23B4F3C33F4514440714858FCF03616E7CCF616F714EB13CA44284BBC616AB4E 64 Trojan.Win32.ShadowBrokers.ao 7

zoo %SystemDrive%\PROGRAMDATA\SVHOST\SSLEAY32.DLL
bl 5E8ECDC3E70E2ECB0893CBDA2C18906F 184320
addsgn 79132211B9E9317E0AA1AB591ACB12057863670B76059487D048293DBCFE724C23B4DB9E3C4514443F49868FCF0359337FCF616F5913B23CA442ACE6C516AB4E 64 HackTool.Win32.ShadowBrokers.e 7

zoo %SystemDrive%\PROGRAMDATA\SVHOST\ETERNALBLUE-2.2.0.EXE
bl 8C80DD97C37525927C1E549CB59BCBF3 129024
addsgn 1A00709A55838C8FF42B624E41A083442575D9D218BB1F87A0E354FD502954BCB356C39BF2995185E74C48538ADA8536B154AC565D51FC083D7C6CA48B222E06 8 Exploit.Win32.ShadowBrokers.ae 7

dirzoo %SystemDrive%\PROGRAMDATA\SVHOST
deldir %SystemDrive%\PROGRAMDATA\SVHOST
zoo %SystemRoot%\HHSM\HS_SVC.EXE
zoo %SystemRoot%\HASHSTREM\CLIENT.EXE
dirzooex %SystemRoot%\MIN
czoo
restart
;---------command-block---------
delref %SystemDrive%\USERS\123\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GLCIMEPNLJOHOLDMJCHKLOAFKGGFOIJH\2.1.29_0\ЗАЩИТА ОТ ВЕБ-УГРОЗ 360
bl DDB1A1F3E2627355F17E264D67567B9C 2979767
zoo %SystemDrive%\PROGRAMDATA\TEMP1.EXE
delall %SystemDrive%\PROGRAMDATA\TEMP1.EXE
bl 08BC61D8A203FF7398C92C84E76195E5 7560761
zoo %SystemRoot%\MIN\SETUP.EXE
delall %SystemRoot%\MIN\SETUP.EXE
bl CA5A2704626CF154520D1DA2B123DC77 553472
zoo %SystemRoot%\MIN\HOSTXMRIG.EXE
delall %SystemRoot%\MIN\HOSTXMRIG.EXE
bl B3A831BFA590274902C77B6C7D4C31AE 817152
zoo %SystemRoot%\MIN\XMRIG.EXE
delall %SystemRoot%\MIN\XMRIG.EXE
bl E685219F5704BD854D5ED6668B0E9146 2594816
zoo %SystemRoot%\MIN\NSCPUCNMINER.EXE
delall %SystemRoot%\MIN\NSCPUCNMINER.EXE
delref %SystemDrive%\USERS\123\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\CNPEGHMJDFDMNEILJEIBJNEMFDKOJDHL\2.1.30_0\ЗАЩИТА ОТ ВЕБ-УГРОЗ 360
apply

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
```
;uVS v4.0.5 [http://dsrt.dyndns.org]
v400c

adddir %SystemDrive%\USERS\ !!!! Имя юзера!!!! \APPDATA\ROAMING
crimg
```
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Изменено 9 января, 2018 пользователем regist

в диспетчере куча процессов exe*32

Рекомендуемые сообщения

MikleR

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

MikleR

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum