Rammus Posted January 21, 2015 Report Share Posted January 21, 2015 При включении компьютера в диспетчере задач появляются процессы calc.exe. Исправить можно завершая их,Хотелось бы избавиться от этого. Quote Link to comment Share on other sites More sharing options...
Sandor Posted January 21, 2015 Report Share Posted January 21, 2015 @Rammus, соберите логи по Правилам подраздела Quote Link to comment Share on other sites More sharing options...
Rammus Posted January 21, 2015 Author Report Share Posted January 21, 2015 сори в дубле добавил тут нет. CollectionLog-2015.01.21-15.08.zip CollectionLog-2015.01.21-15.08.zip Quote Link to comment Share on other sites More sharing options...
Sandor Posted January 21, 2015 Report Share Posted January 21, 2015 (edited) 1. Через Панель управления - Удаление программ - удалите: Video Downloader version 1.5 2. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): beginExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('c:\users\qwerty\appdata\roaming\update\msupdate.exe', ''); QuarantineFile('C:\Users\qwerty\AppData\Roaming\Update\Explorer.exe', ''); QuarantineFile('C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll',''); DeleteFile('C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll','32'); DeleteFile('c:\users\qwerty\appdata\roaming\update\msupdate.exe', '32'); DeleteFile('C:\Users\qwerty\AppData\Roaming\Update\Explorer.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Explorer Manager'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');ExecuteSysClean; ExecuteRepair(9); ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');RebootWindows(true);end. Компьютер перезагрузится. 3. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. 4. Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". Edited January 21, 2015 by Sandor Quote Link to comment Share on other sites More sharing options...
Rammus Posted January 21, 2015 Author Report Share Posted January 21, 2015 Вот лог после скрипта CollectionLog-2015.01.21-17.17.zip CollectionLog-2015.01.21-17.17.zip Quote Link to comment Share on other sites More sharing options...
Sandor Posted January 21, 2015 Report Share Posted January 21, 2015 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): beginExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\qwerty\AppData\Roaming\Update\Explorer.exe', ''); QuarantineFile('C:\Users\qwerty\AppData\Roaming\Microsoft\Windows\Gmisiy.exe',''); DeleteFile('C:\Users\qwerty\AppData\Roaming\Microsoft\Windows\Gmisiy.exe','32'); DeleteFile('C:\Users\qwerty\AppData\Roaming\Update\Explorer.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Gmisiy'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Explorer Manager');ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');RebootWindows(true);end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O20 - AppInit_DLLs: c:\progra~2\movies~1\datamngr\mgrldr.dll c:\progra~3\wincert\win32c~1.dll Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". Дополнительно: Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM. Подробнее читайте в руководстве. Quote Link to comment Share on other sites More sharing options...
Rammus Posted January 21, 2015 Author Report Share Posted January 21, 2015 Вот CollectionLog-2015.01.21-17.58.zip MBAM-log-2015-01-21 (20-03-37).txt CollectionLog-2015.01.21-17.58.zip MBAM-log-2015-01-21 (20-03-37).txt Quote Link to comment Share on other sites More sharing options...
Sandor Posted January 22, 2015 Report Share Posted January 22, 2015 Карантин отправляли по форме? Продублируйте, пож., на почту. AVZ запускаете правой кнопкой от имени администратора? Quote Link to comment Share on other sites More sharing options...
Rammus Posted January 22, 2015 Author Report Share Posted January 22, 2015 Отправил еще раз. Quote Link to comment Share on other sites More sharing options...
Sandor Posted January 22, 2015 Report Share Posted January 22, 2015 Пожалуйста, дополнительно: Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Подробнее читайте в руководстве Как подготовить лог UVS. Карантин пришел, спасибо. Quote Link to comment Share on other sites More sharing options...
Rammus Posted January 22, 2015 Author Report Share Posted January 22, 2015 Вот. Вот DASASD_2015-01-22_16-03-15.7z DASASD_2015-01-22_16-03-15.7z Quote Link to comment Share on other sites More sharing options...
Sandor Posted January 22, 2015 Report Share Posted January 22, 2015 Закройте все программы, http://dsrt.dyndns.org];Target OS: NTv6.1v385cBREGdelall %SystemDrive%\USERS\QWERTY\APPDATA\ROAMING\MICROSOFT\WINDOWS\GMISIY.EXEdeltmprestartВ uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. Подробнее читайте в этом руководстве. Проблема устранена? Quote Link to comment Share on other sites More sharing options...
Rammus Posted January 22, 2015 Author Report Share Posted January 22, 2015 Да похоже что больше не подгружаются процессы. У меня еще вопрос где можно убрать автозапуск программы? Quote Link to comment Share on other sites More sharing options...
Sandor Posted January 22, 2015 Report Share Posted January 22, 2015 где можно убрать автозапуск программы? Через msconfig или с помощью Autoruns. Выполните скрипт в AVZ при наличии доступа в интернет: varLogPath : string;ScriptPath : string;begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Рекомендации после удаления вредоносного ПО Quote Link to comment Share on other sites More sharing options...
Rammus Posted January 22, 2015 Author Report Share Posted January 22, 2015 Все, все неуязвимости исправлены. А можно вообще узнать, что сделали и я так понимаю кроме этой ошибки, нашли еще ? Quote Link to comment Share on other sites More sharing options...
Sandor Posted January 22, 2015 Report Share Posted January 22, 2015 У вас был Trojan.Win32.Inject.sbic по классификации ЛК. AVZ его удалила, но остался "хвост", запись в реестре. С этим справилась uVS. 1 Quote Link to comment Share on other sites More sharing options...
Rammus Posted January 22, 2015 Author Report Share Posted January 22, 2015 Все понял, спасибо большое. Quote Link to comment Share on other sites More sharing options...
Sandor Posted January 22, 2015 Report Share Posted January 22, 2015 Удачи! Quote Link to comment Share on other sites More sharing options...
Rammus Posted January 23, 2015 Author Report Share Posted January 23, 2015 Здравствуйте проблема опять появилась, только теперь заместо большого кол-ва процессов остался один. Quote Link to comment Share on other sites More sharing options...
edde Posted January 24, 2015 Report Share Posted January 24, 2015 Скачайте MBAM, проведите сканирование, лог прикрепите к следующему вашему сообщению. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.