Проблемы с файлом attrib.exe и его разрешениями.

[Matthew_wehttaM]

Здравствуйте. Появилась проблема с файлом attrib.exe, антивирус распознал но удалить не может, указывает на нахождение в оперативной памяти. 

Загружается процессор, при открытии диспетчера задач всё прячется, после закрытия диспетчера через пару минут опять начинается загрузка всех ядер практически на 100%

Удалить вручную возможности нет, антивирус видит но сделать ничего не может, пробовал Касперским и Eset Nod 32.

Помогите, пожалуйста

[kmscom]

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

[Matthew_wehttaM]

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

 

Спасибо, ниже прикрепляю лог. 

CollectionLog-2019.05.27-19.53.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Users\Nasubi\AppData\Roaming\Microsoft\Windows\Helper.exe');
 QuarantineFile('C:\Users\Nasubi\AppData\Roaming\Microsoft\Windows\Helper.exe', '');
 DeleteSchedulerTask('System\SystemCheck');
 DeleteFile('C:\Users\Nasubi\AppData\Roaming\Microsoft\Windows\Helper.exe', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[Matthew_wehttaM]

Процедуру выполнил, карантин отправил на почту с почты указанной в регистрации.

Лог прикреплён ниже, вероятно, проблема решена, процессор не загружен вообще. 

CollectionLog-2019.05.27-20.20.zip

Изменено 27 мая, 2019 пользователем Matthew_wehttaM

[Sandor]

Антивирус оставьте один, следы остальных очистите по соотв. инструкции:

Чистка системы после некорректного удаления антивируса.

 

Ответ по карантину сообщите, пожалуйста.

[Matthew_wehttaM]

KLAN-10208722391 

ПК почищу, спасибо=) 

[Sandor]

Кроме номера желательно и само сообщение с вердиктом.

[Matthew_wehttaM]

Quarantine [KLAN-10208722391]

newvirus@kaspersky.com

сегодня, 20:21

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
Helper.exe

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

Вот=)

[Sandor]

Перешлите карантин мне через систему ЛС.

 

В завершение здесь:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Matthew_wehttaM]

Проверка безопасности во вложении, с отправкой карантина сложности, слишком большой объём, в ЛС вообще не вижу где прикрепить. Может быть куда-нибудь на почту скинуть? 

SecurityCheck.txt

[Sandor]

Залейте на файлообменник и ссылку на скачивание мне в ЛС.

 

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.16428 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен (Уровень 1)

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Автоматическое обновление отключено

Дата установки обновлений: 2018-10-18 11:29:15

------------------------------- [ HotFix ] --------------------------------

HotFix KB3020369 Внимание! Скачать обновления

HotFix KB3125574 Внимание! Скачать обновления

HotFix KB4012212 Внимание! Скачать обновления

HotFix KB4499164 Внимание! Скачать обновления

--------------------------- [ OtherUtilities ] ----------------------------

Microsoft Silverlight v.5.1.20513.0 Внимание! Скачать обновления

NVIDIA GeForce Experience 3.17.0.126 v.3.17.0.126 Внимание! Скачать обновления

-------------------------------- [ Arch ] ---------------------------------

WinRAR 4.20.0 (64-разрядная) v.4.20.0 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.5.45146 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

 

 

Читайте Рекомендации после удаления вредоносного ПО