Перейти к содержанию
Правила раздела

Вирус использует 50% CPU, блокирует запуск программ и синий экран при завершении процесса

VsOK

Автор VsOK
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

VsOK

VsOK

Опубликовано
Опубликовано (изменено)

Добрый день. У меня проблема один в один такая же как в этой теме. (Модератор, почему-то перенес)

Я так понимаю что скрипт мой будет отличаться. Да и Мазила у меня в C:\Program Files (x86)\Mozilla Firefox но файлы 

C:\Program Files (x86)\Mozilla Firefox\mozavcodec.dll
C:\Program Files (x86)\Mozilla Firefox\mozavutil.dll

проверил на всякий случай

 

https://www.virustotal.com/#/file/68c0da0cf11f7529130c72b95f324dfbefcbac66cacce37b39a9792b6b4286df/detection

https://www.virustotal.com/#/file/24deb8f2b67efebd1d1340f75f0ead63d370e916c41d9d4c901cce12091df7f0/detection

. Прилагаю свои логи.CollectionLog-2018.03.15-19.06.zip

 

Сообщение от модератора Mark D. Pearlstone
Перемещено из темы 

Чтобы понять описание моей проблемы, прошу посмотреть пост из которой он был перемещен. Там один в один описана моя проблема, вот только вирус сидит где-то в другом месте.

Изменено пользователем VsOK
VsOK

VsOK

Опубликовано
  • Автор
Опубликовано

Использование скрипта из похожей с моей проблемой темой, не помогло.

thyrex

thyrex

Опубликовано
Опубликовано

Spybot - Search & Destroy

SpyHunter

Кнопка "Яндекс" на панели задач

удалите через Установку программ

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\AidmYp.exe','');
 QuarantineFile('C:\Users\VsOK\AppData\Roaming\tIXAEGO.exe','');
 DeleteFile('C:\Windows\system32\Tasks\{670F191D-DCF8-4843-ACC2-0DDFEFDCCE1B}','64');
 DeleteFile('C:\Users\VsOK\AppData\Roaming\tIXAEGO.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\zokidifcomkui','64');
 DeleteFile('C:\Windows\AidmYp.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{FF74C21E-5043-46F5-8961-54883C72EF4C}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
ShellExecuteHooks-x32: No Name - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} -  -> No File
ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay0] -> {64A9418A-B6B1-4112-B75C-E61633C9A31F} =>  -> No File
ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay1] -> {6A2E142B-EA63-433A-AC05-5223CBD26E65} =>  -> No File
ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay2] -> {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} =>  -> No File
ContextMenuHandlers1: [EmEditor] -> {DFA0CC7F-D36B-47D1-8EF5-415C1DA53F57} =>  -> No File
Task: {09749FE5-AABC-425F-9905-7E4B47555A41} - \klcp_update -> No File <==== ATTENTION
Task: {185DF799-D79C-4D1D-BDBB-871A610B99F0} - \Отправка сообщения о включении -> No File <==== ATTENTION
Task: {2BFB6859-99E1-47CC-AC9B-040FC4B64EEE} - \Microsoft\Сообщить о включении компьютера -> No File <==== ATTENTION
Task: {56368ACF-6DDD-4C71-BCED-F2F1DE6D590E} - \OfficeSoftwareProtectionPlatform\HDD -> No File <==== ATTENTION
Task: {753134D1-8D9F-4F4A-A85A-C94074AEFC95} - \{670F191D-DCF8-4843-ACC2-0DDFEFDCCE1B} -> No File <==== ATTENTION
Task: {8822FE96-8B4E-4830-84EA-93F0B217C49E} - \{FF74C21E-5043-46F5-8961-54883C72EF4C} -> No File <==== ATTENTION
Task: {A2061260-8271-4B8F-91D9-BD74C1F21443} - \zokidifcomkui -> No File <==== ATTENTION
Task: {E3893237-9B0B-488A-A250-795A4F661693} - \HDDScan -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:054B9966 [292]
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [156]
AlternateDataStreams: C:\ProgramData\TEMP:0C6951A3 [298]
AlternateDataStreams: C:\ProgramData\TEMP:3241321C [135]
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [125]
AlternateDataStreams: C:\ProgramData\TEMP:430C6D84 [127]
AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [197]
AlternateDataStreams: C:\ProgramData\TEMP:5CB1E0D3 [264]
AlternateDataStreams: C:\ProgramData\TEMP:810B9F0D [134]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [124]
AlternateDataStreams: C:\ProgramData\TEMP:C59E90A4 [140]
AlternateDataStreams: C:\ProgramData\TEMP:DFC5A2B2 [133]
AlternateDataStreams: C:\ProgramData\TEMP:FD9CE1F3 [145]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:054B9966 [292]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [156]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:0C6951A3 [298]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:3241321C [135]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [125]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:430C6D84 [127]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:58A5270D [197]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:5CB1E0D3 [264]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:810B9F0D [134]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [124]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:C59E90A4 [140]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:DFC5A2B2 [133]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:FD9CE1F3 [145]
FirewallRules: [{0893BF43-E31A-41F8-A51C-B0E9568EF3F6}] => (Allow) C:\Windows\AidmYp.exe
FirewallRules: [{85642FE1-B9DA-49E5-A1E8-BC083D917920}] => (Allow) C:\Users\VsOK\AppData\Roaming\tIXAEGO.exe
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
VsOK

VsOK

Опубликовано
  • Автор
Опубликовано

Забыл отравить сообщение и только сейчас это заметил. Все по инструкции сделал и прикрепляю файлик Fixlog.txt

thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...