Rammus Опубликовано 21 января, 2015 Жалоба Поделиться Опубликовано 21 января, 2015 При включении компьютера в диспетчере задач появляются процессы calc.exe. Исправить можно завершая их,Хотелось бы избавиться от этого. Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 21 января, 2015 Жалоба Поделиться Опубликовано 21 января, 2015 @Rammus, соберите логи по Правилам подраздела Ссылка на комментарий Поделиться на другие сайты Поделиться
Rammus Опубликовано 21 января, 2015 Автор Жалоба Поделиться Опубликовано 21 января, 2015 сори в дубле добавил тут нет. CollectionLog-2015.01.21-15.08.zip CollectionLog-2015.01.21-15.08.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 21 января, 2015 Жалоба Поделиться Опубликовано 21 января, 2015 (изменено) 1. Через Панель управления - Удаление программ - удалите: Video Downloader version 1.5 2. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): beginExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('c:\users\qwerty\appdata\roaming\update\msupdate.exe', ''); QuarantineFile('C:\Users\qwerty\AppData\Roaming\Update\Explorer.exe', ''); QuarantineFile('C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll',''); DeleteFile('C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll','32'); DeleteFile('c:\users\qwerty\appdata\roaming\update\msupdate.exe', '32'); DeleteFile('C:\Users\qwerty\AppData\Roaming\Update\Explorer.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Explorer Manager'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');ExecuteSysClean; ExecuteRepair(9); ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');RebootWindows(true);end. Компьютер перезагрузится. 3. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. 4. Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". Изменено 21 января, 2015 пользователем Sandor Ссылка на комментарий Поделиться на другие сайты Поделиться
Rammus Опубликовано 21 января, 2015 Автор Жалоба Поделиться Опубликовано 21 января, 2015 Вот лог после скрипта CollectionLog-2015.01.21-17.17.zip CollectionLog-2015.01.21-17.17.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 21 января, 2015 Жалоба Поделиться Опубликовано 21 января, 2015 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): beginExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\qwerty\AppData\Roaming\Update\Explorer.exe', ''); QuarantineFile('C:\Users\qwerty\AppData\Roaming\Microsoft\Windows\Gmisiy.exe',''); DeleteFile('C:\Users\qwerty\AppData\Roaming\Microsoft\Windows\Gmisiy.exe','32'); DeleteFile('C:\Users\qwerty\AppData\Roaming\Update\Explorer.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Gmisiy'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Explorer Manager');ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');RebootWindows(true);end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O20 - AppInit_DLLs: c:\progra~2\movies~1\datamngr\mgrldr.dll c:\progra~3\wincert\win32c~1.dll Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". Дополнительно: Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM. Подробнее читайте в руководстве. Ссылка на комментарий Поделиться на другие сайты Поделиться
Rammus Опубликовано 21 января, 2015 Автор Жалоба Поделиться Опубликовано 21 января, 2015 Вот CollectionLog-2015.01.21-17.58.zip MBAM-log-2015-01-21 (20-03-37).txt CollectionLog-2015.01.21-17.58.zip MBAM-log-2015-01-21 (20-03-37).txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 22 января, 2015 Жалоба Поделиться Опубликовано 22 января, 2015 Карантин отправляли по форме? Продублируйте, пож., на почту. AVZ запускаете правой кнопкой от имени администратора? Ссылка на комментарий Поделиться на другие сайты Поделиться
Rammus Опубликовано 22 января, 2015 Автор Жалоба Поделиться Опубликовано 22 января, 2015 Отправил еще раз. Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 22 января, 2015 Жалоба Поделиться Опубликовано 22 января, 2015 Пожалуйста, дополнительно: Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Подробнее читайте в руководстве Как подготовить лог UVS. Карантин пришел, спасибо. Ссылка на комментарий Поделиться на другие сайты Поделиться
Rammus Опубликовано 22 января, 2015 Автор Жалоба Поделиться Опубликовано 22 января, 2015 Вот. Вот DASASD_2015-01-22_16-03-15.7z DASASD_2015-01-22_16-03-15.7z Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 22 января, 2015 Жалоба Поделиться Опубликовано 22 января, 2015 Закройте все программы, http://dsrt.dyndns.org];Target OS: NTv6.1v385cBREGdelall %SystemDrive%\USERS\QWERTY\APPDATA\ROAMING\MICROSOFT\WINDOWS\GMISIY.EXEdeltmprestartВ uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. Подробнее читайте в этом руководстве. Проблема устранена? Ссылка на комментарий Поделиться на другие сайты Поделиться
Rammus Опубликовано 22 января, 2015 Автор Жалоба Поделиться Опубликовано 22 января, 2015 Да похоже что больше не подгружаются процессы. У меня еще вопрос где можно убрать автозапуск программы? Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 22 января, 2015 Жалоба Поделиться Опубликовано 22 января, 2015 где можно убрать автозапуск программы? Через msconfig или с помощью Autoruns. Выполните скрипт в AVZ при наличии доступа в интернет: varLogPath : string;ScriptPath : string;begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Рекомендации после удаления вредоносного ПО Ссылка на комментарий Поделиться на другие сайты Поделиться
Rammus Опубликовано 22 января, 2015 Автор Жалоба Поделиться Опубликовано 22 января, 2015 Все, все неуязвимости исправлены. А можно вообще узнать, что сделали и я так понимаю кроме этой ошибки, нашли еще ? Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 22 января, 2015 Жалоба Поделиться Опубликовано 22 января, 2015 У вас был Trojan.Win32.Inject.sbic по классификации ЛК. AVZ его удалила, но остался "хвост", запись в реестре. С этим справилась uVS. 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Rammus Опубликовано 22 января, 2015 Автор Жалоба Поделиться Опубликовано 22 января, 2015 Все понял, спасибо большое. Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 22 января, 2015 Жалоба Поделиться Опубликовано 22 января, 2015 Удачи! Ссылка на комментарий Поделиться на другие сайты Поделиться
Rammus Опубликовано 23 января, 2015 Автор Жалоба Поделиться Опубликовано 23 января, 2015 Здравствуйте проблема опять появилась, только теперь заместо большого кол-ва процессов остался один. Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 24 января, 2015 Жалоба Поделиться Опубликовано 24 января, 2015 Скачайте MBAM, проведите сканирование, лог прикрепите к следующему вашему сообщению. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти