Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум
Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  

Название темы: скрытый вирус грузит ЦП на 100, при открытии диспетчера все проходит
Показать сообщение отдельно

Аватара для Sandor

Ветеран


Консультант


Сообщения: 5318
Благодарности: 1330

Профиль | Отправить PM | Цитировать

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код: Выделить весь код
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\ProgramData\System32\Logs\servise.exe');
 TerminateProcessByName('C:\ProgramData\WindowsTask\windir.exe');
 TerminateProcessByName('c:\users\89\appdata\local\temp\csrss\proxy\tor\tor.exe');
 TerminateProcessByName('c:\windows\system32\hale.exe');
 TerminateProcessByName('C:\Windows\Temp\g5E36.tmp.exe');
 StopService('TCPSvc');
 QuarantineFile('C:\Program Files\ATI\AUJQAJHRTR\VEQWCAAREP.exe', '');
 QuarantineFile('C:\ProgramData\0036458fe7674c3f83c9c2ac15fb886e\chipset.exe', '');
 QuarantineFile('C:\ProgramData\91d21502ed034ab1bb7e9a98d54adb01\chipset.exe', '');
 QuarantineFile('C:\ProgramData\91d21502ed034ab1bb7e9a98d54adb01\PTEPRESOCG.exe', '');
 QuarantineFile('C:\ProgramData\System32\Logs\servise.exe', '');
 QuarantineFile('C:\ProgramData\WindowsTask\windir.exe', '');
 QuarantineFile('C:\Users\89\AppData\Local\081a1314444b49a09887f95e4b5d337f\chipset.exe', '');
 QuarantineFile('C:\Users\89\AppData\Local\446b880b69e4463b95537f57d66df96c\chipset.exe', '');
 QuarantineFile('c:\users\89\appdata\local\temp\csrss\proxy\tor\tor.exe', '');
 QuarantineFile('C:\Users\89\AppData\Local\Temp\e3ddad81fdf84a01999deecb3988e8cd\chipset.exe', '');
 QuarantineFile('C:\Users\89\AppData\Roaming\3a04a4f8800646f2b6f10c4d794bbfcd\chipset.exe', '');
 QuarantineFile('C:\Users\89\AppData\Roaming\4abcd95c65c640c9a0cb08be7bff222d\chipset.exe', '');
 QuarantineFile('C:\Users\89\AppData\Roaming\6124773a27944022b717bd3d0c10d5df\chipset.exe', '');
 QuarantineFile('C:\Users\89\AppData\Roaming\dc6d8a7569d74a929573fa8d76baf1a5\chipset.exe', '');
 QuarantineFile('c:\windows\system32\hale.exe', '');
 QuarantineFile('C:\Windows\Temp\g5E36.tmp.exe', '');
 DeleteFile('C:\Program Files\ATI\AUJQAJHRTR\VEQWCAAREP.exe', '32');
 DeleteFile('C:\ProgramData\0036458fe7674c3f83c9c2ac15fb886e\chipset.exe', '32');
 DeleteFile('C:\ProgramData\91d21502ed034ab1bb7e9a98d54adb01\chipset.exe', '32');
 DeleteFile('C:\ProgramData\91d21502ed034ab1bb7e9a98d54adb01\PTEPRESOCG.exe', '32');
 DeleteFile('C:\ProgramData\System32\Logs\servise.exe', '32');
 DeleteFile('C:\ProgramData\WindowsTask\windir.exe', '32');
 DeleteFile('C:\Users\89\AppData\Local\081a1314444b49a09887f95e4b5d337f\chipset.exe', '32');
 DeleteFile('C:\Users\89\AppData\Local\446b880b69e4463b95537f57d66df96c\chipset.exe', '32');
 DeleteFile('C:\Users\89\AppData\Local\f455f3647c6f402a8e60bb66c44e6f51\chipset.exe', '32');
 DeleteFile('c:\users\89\appdata\local\temp\csrss\proxy\tor\tor.exe', '32');
 DeleteFile('C:\Users\89\AppData\Local\Temp\e3ddad81fdf84a01999deecb3988e8cd\chipset.exe', '32');
 DeleteFile('C:\Users\89\AppData\Roaming\3a04a4f8800646f2b6f10c4d794bbfcd\chipset.exe', '32');
 DeleteFile('C:\Users\89\AppData\Roaming\4abcd95c65c640c9a0cb08be7bff222d\chipset.exe', '32');
 DeleteFile('C:\Users\89\AppData\Roaming\6124773a27944022b717bd3d0c10d5df\chipset.exe', '32');
 DeleteFile('C:\Users\89\AppData\Roaming\dc6d8a7569d74a929573fa8d76baf1a5\chipset.exe', '32');
 DeleteFile('c:\windows\system32\hale.exe', '32');
 DeleteFile('C:\Windows\Temp\g5E36.tmp.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_BZ" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_CA" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_HH" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_LH" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_NX" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_SU" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_TG" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_UP" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_VO" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_WT" /F', 0, 15000, true);
 DeleteService('TCPSvc');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'oypllaplep');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'PTEPRESOCG.exe');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'service');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'VEQWCAAREP.exe');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(13);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 08:34, 20-10-2017 | #3

Название темы: скрытый вирус грузит ЦП на 100, при открытии диспетчера все проходит