Anstein Posted April 24, 2015 Report Share Posted April 24, 2015 Добрый День! В общем пытался установить Java 8.45, выводил ошибку 1601, последовал инструкции и скачал виндоус инсталлер фикс, после его использования начало в диспетчере задач само по себе создаваться процессы calc.exe*32...похоже на вирус...помогите разобраться с этой проблемой? CollectionLog-2015.04.24-17.51.zip CollectionLog-2015.04.24-17.51.zip Link to comment Share on other sites More sharing options...
Sandor Posted April 24, 2015 Report Share Posted April 24, 2015 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): beginExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\User10000\appdata\roaming\c731200',''); QuarantineFile('C:\Windows\SysWOW64\tumint720.dll',''); QuarantineFile('C:\Users\User10000\AppData\Local\SystemDir\nethost.exe',''); QuarantineFile('C:\Users\User10000\AppData\Roaming\WindowsUpdate\Updater.exe',''); QuarantineFile('C:\Users\User10000\AppData\Roaming\WindowsUpdate\MSupdate.exe',''); QuarantineFile('C:\Users\User10000\AppData\Roaming\WindowsUpdate\Live.exe',''); QuarantineFile('C:\Users\User10000\AppData\Roaming\Windows Live\rxjbgecrjm.exe',''); QuarantineFile('C:\Users\User10000\AppData\Roaming\Microsoft\Windows\themes\Kriaik.exe',''); QuarantineFile('C:\Users\User10000\AppData\Local\Kometa\Application\kometa.exe',''); QuarantineFileF('C:\Users\User10000\AppData\Roaming\newSI_651\', '*', true, '', 0 ,0); QuarantineFile('C:\Users\User10000\AppData\Roaming\WindowsUpdate\MSupdate.exe', ''); QuarantineFile('C:\Users\User10000\AppData\Roaming\newSI_651\s_inst.exe', ''); DeleteFile('C:\Users\User10000\AppData\Local\Kometa\Application\kometa.exe','32'); DeleteFile('C:\Users\User10000\AppData\Roaming\Microsoft\Windows\themes\Kriaik.exe','32'); DeleteFile('C:\Users\User10000\AppData\Roaming\Windows Live\rxjbgecrjm.exe','32'); DeleteFile('C:\Users\User10000\AppData\Roaming\WindowsUpdate\Live.exe','32'); DeleteFile('C:\Users\User10000\AppData\Roaming\WindowsUpdate\MSupdate.exe','32'); DeleteFile('C:\Users\User10000\AppData\Roaming\WindowsUpdate\Updater.exe','32'); DeleteFile('C:\Users\User10000\AppData\Local\SystemDir\nethost.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Windows Updater','64'); DeleteFile('C:\Users\User10000\appdata\roaming\c731200','32'); DeleteFile('C:\Windows\Tasks\newSI_651.job', '64'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\NetTrace\GatherNetworkInfo', '64'); DeleteFile('C:\Windows\system32\Tasks\newSI_651', '64'); DeleteFile('C:\Users\User10000\AppData\Roaming\WindowsUpdate\MSupdate.exe', '32'); DeleteFile('C:\Users\User10000\AppData\Roaming\newSI_651\s_inst.exe', '32'); DeleteFileMask('C:\Users\User10000\AppData\Roaming\newSI_651\', '*', true); DeleteDirectory('C:\Users\User10000\AppData\Roaming\newSI_651\'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Kriaik'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Live'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');RebootWindows(true);end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Link to comment Share on other sites More sharing options...
Anstein Posted April 25, 2015 Author Report Share Posted April 25, 2015 Добрый День! Спасибо Вам, все вроде пришло в норму, данная проблема исчезла. AdwCleanerR2.txt AdwCleanerR2.txt Link to comment Share on other sites More sharing options...
Sandor Posted April 25, 2015 Report Share Posted April 25, 2015 Выполните скрипт в AVZ при наличии доступа в интернет: varLogPath : string;ScriptPath : string;begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Прочтите и выполните Рекомендации после удаления вредоносного ПО Link to comment Share on other sites More sharing options...
Anstein Posted April 28, 2015 Author Report Share Posted April 28, 2015 Добрый День! Хорошо! Этот скрипт можно на любом компьютере использовать для проверки уязвимостей? Link to comment Share on other sites More sharing options...
Sandor Posted April 28, 2015 Report Share Posted April 28, 2015 Да. Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now