Jump to content
СофтФорум - всё о компьютерах и не только

Много процессов calc.exe в ДЗ

2gis
 Share

Recommended Posts

2gis

2gis

Posted
Posted

Доброго времени суток! Подхватил что-то при скачке в интернете, теперь жутко лагает в приложениях и греется ноутбук. (cureit, avast, kasp, comodo) нашли несколько червей, но с этим не помогли

CollectionLog-2015.06.09-03.39.zip

CollectionLog-2015.06.09-03.39.zip

Link to comment
Share on other sites
Sandor

Sandor

Posted
Posted

Здравствуйте!

 

 
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
beginExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\Оксана\appdata\roaming\c731200',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\write.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\winhlp32.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\twunk_32.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\twunk_16.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\splwow64.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\regedit.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\notepad.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\hh.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\explorer.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\bfsvc.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\KJ.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\HelpPane.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Identities\Cpbgbi.exe',''); QuarantineFile('C:\Users\Оксана\AppData\Roaming\WindowsUpdate\Updater.exe',''); QuarantineFile('C:\Users\Оксана\AppData\Roaming\WindowsUpdate\MSupdate.exe',''); QuarantineFile('C:\Users\Оксана\AppData\Roaming\Windows Live\ieefpcyane.exe',''); QuarantineFile('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\themes\Mpbgbs.exe',''); QuarantineFile('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\Vpbgbb.exe',''); QuarantineFile('C:\ProgramData\CreativeAudio\safpdndnn.exe',''); QuarantineFile('C:\PROGRA~3\mszjt.exe',''); QuarantineFile('c:\users\оксана\appdata\roaming\windowsupdate\msupdate.exe', ''); QuarantineFile('C:\Windows\TEMP\Adobe\Reader_sl.exe', ''); DeleteFile('C:\PROGRA~3\mszjt.exe','32'); DeleteFile('C:\ProgramData\CreativeAudio\safpdndnn.exe','32'); DeleteFile('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\Vpbgbb.exe','32'); DeleteFile('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\themes\Mpbgbs.exe','32'); DeleteFile('C:\Users\Оксана\AppData\Roaming\Windows Live\ieefpcyane.exe','32'); DeleteFile('C:\Users\Оксана\AppData\Roaming\WindowsUpdate\MSupdate.exe','32'); DeleteFile('C:\Users\Оксана\AppData\Roaming\WindowsUpdate\Updater.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Identities\Cpbgbi.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\HelpPane.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\KJ.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\bfsvc.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\explorer.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\hh.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\notepad.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\regedit.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\splwow64.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\twunk_16.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\twunk_32.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\winhlp32.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\write.exe','32'); DeleteFile('C:\Users\Оксана\appdata\roaming\c731200','32'); DeleteFile('c:\users\оксана\appdata\roaming\windowsupdate\msupdate.exe', '32'); DeleteFile('C:\Windows\TEMP\Adobe\Reader_sl.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','1585311079'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Vpbgbb','command'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Mpbgbs'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Live','command'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Cpbgbi'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Cpbgbi'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','HelpPane.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','HelpPane.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','KJ.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','KJ.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','bfsvc.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','bfsvc.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','explorer.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','explorer.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','hh.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','hh.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','notepad.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','notepad.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','regedit.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','regedit.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','splwow64.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','splwow64.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','twunk_16.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','twunk_16.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','twunk_32.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','twunk_32.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','winhlp32.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','winhlp32.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','write.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','write.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');RebootWindows(true);end. 
 
Компьютер перезагрузится
 
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
 
 
 
 
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
  • Upvote 1
Link to comment
Share on other sites
2gis

2gis

Posted
  • Author
Posted

Лог отправил через форму, после повторной диагностики все процессы calc.exe пропали, большое спасибо

Link to comment
Share on other sites
Sandor

Sandor

Posted
Posted (edited)

 

 Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Оксана\appdata\roaming\update\explorer.exe','');
 QuarantineFile('C:\Users\Оксана\AppData\Roaming\WindowsUpdate\Updater.exe','');
 QuarantineFile('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\themes\Mpbgbs.exe','');
 DeleteFile('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\themes\Mpbgbs.exe','32');
 DeleteFile('C:\Users\Оксана\AppData\Roaming\WindowsUpdate\Updater.exe','32');
 DeleteFile('C:\Users\Оксана\appdata\roaming\update\explorer.exe','32');
 DeleteFileMask('C:\Users\Оксана\appdata\roaming\update\', '*', true);
 DeleteFileMask('C:\Users\Оксана\AppData\Roaming\WindowsUpdate\', '*', true);
 DeleteFileMask('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\themes\', '*', true);
 DeleteDirectory('C:\Users\Оксана\appdata\roaming\update\');
 DeleteDirectory('C:\Users\Оксана\AppData\Roaming\WindowsUpdate\');
 DeleteDirectory('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\themes\');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Mpbgbs');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
 ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 RebootWindows(true);
end.


 Компьютер перезагрузится.

 

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Еще раз повторите логи. Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

 

Смените все важные пароли на веб-сервисах (могли быть украдены).

Edited by Sandor
  • Upvote 1
Link to comment
Share on other sites
Sandor

Sandor

Posted
Posted

Чисто.

 

Напоследок -

 

Выполните скрипт в AVZ при наличии доступа в интернет:
 
varLogPath : string;ScriptPath : string;begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt';  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');       exit;      end;  end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)end.
 
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
 
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
  • Upvote 1
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...