Calc.exe*32

[splave]

в диспетчере задач много процессов calc.exe *32 создал тему, направили сюда, вот сделал uVS ссылка на файл
Посмотреть вложение ADMIN-PC_2016-07-12_22-12-36.7z
[mod]Ссылки на обменники запрещены. Впредь размещайте файлы непосредственно на форуме http://www.tehnari.ru/f8/t32642/. Ваше сообщение исправил.
Модератор[/mod]

 

[splave]

я понял, спасибо

 

[Гризлик]

Скопируйте код ниже в буфер обмена

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\THEMES\HITGTN.EXE
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\WINDOWSUPDATE\LIVE.EXE
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\WINDOWS LIVE\MLGMVXGXKR.EXE
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\WINDOWSUPDATE\MOBSYNC.EXE
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\WINDOWSUPDATE\UPDATER.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJKFBLCBJFOJMGAGIKHLDEPPGMGDPJKPL%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\IEEF\PNL2DNDC0DLK.EXE
deldir %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\WINDOWSUPDATE
deltmp
delnfr
restart

Закройте все браузеры. Запустите UVS под текущим пользователем. В меню: Скрипты---Выполнить из буфера обмена. После перезагрузки выполните сканирование Malwarebytes и выложите полученый лог

 

[splave]

вот, все сделал как вы сказали.

 

[splave]

походу два сохранения выложил

 

[safety]

этот файлик добавьте в архив с паролем infected и вышлите в почту safety@chklst.ru

Ransom.TeslaCrypt, C:\Users\Администратор\Downloads\Microsoft Office 2010 Standard.[tfile.ru].torrent.exe.exe, , [bbcc36edc6d4fc3aaec39fc61ce83fc1],

+
вопрос: шифрования раньше не было на вашей машине?

далее,
2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://www.tehnari.ru/f150/t87975/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://www.tehnari.ru/f150/t245622/

 

[splave]

вопрос: шифрования раньше не было на вашей машине?
что значит шифрование? вроде нет, вобщем я сам переустанавливаю винду, если вы это имеете ввиду. А файл тот который вы прописали по пути?

 

[splave]

нажал на почту куда нужно переслать файл который я уже сжал и запаролил, меня перекинуло на гмаил почту, оттуда пытался переслать, а система гмайла блокирует сообщения потому как в нем есть этот сжатый архив. что делать?

 

[safety]

почта указана: safety@chklst.ru
если есть проблема с отправкой архива в почте, выложите архив на sendspace.com и дайте ссылку на этот файл опять же в мою почту.
+
ждем указанные в предыдущем сообщении логи

 

[splave]

вот, все сделал, что сказали удалил, что проверить проверил

 

[safety]

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

HKU\S-1-5-21-3601961364-3362135720-3230021022-500\...\Winlogon: [Shell] C:\Windows\EXPLORER.EXE [2871808 2015-03-14] (Microsoft Corporation) <==== ATTENTION
HKU\S-1-5-21-3601961364-3362135720-3230021022-500\...\Run: [Windows Live] => C:\Users\Администратор\AppData\Roaming\Windows Live\mlgmvxgxkr.exe
EmptyTemp:
Reboot:

 

[splave]

ссылку на файл отправил вам в личку

 

[splave]

вот, сделал

 

[splave]

+ Еще в диспетчере задач, все процессы "прыгают", не стоят на месте, не успеваю даже посмотреть описание процесса, чей он. И есть один процесс, svchost.exe он жрет очень много ЦП, раньше такого небыло.

 

[safety]

добавьте новый образ автозапуска.
+
пробуйте еще раз отправить ссылку в личные сообщения.

 

[safety]

http://www.tehnari.ru/f150/t81269/

 

[splave]

вот, сделал, как просили

 

[Гризлик]

Какие проблемы сейчас наблюдаются?

 

[splave]

сейчас вроде проблем нет, комп, наверное и загружается быстрее, но вот все те же процессы в диспетчере задач, мне не дают покоя, прыгают падлюки(( и загружают ЦП 80-100%

 

[Гризлик]

В Диспетчере задач на вкладке Процессы поставьте галочку на Отображать все процессы. И выложите скрин. Постарайтесь чтобы все процессы в скрин попали