Как удалить вирус который создает exe scr pif файлы

Обновлено: 30.06.2024

Кроме файла autorun.inf, который содержит информацию о запуске вируса, обычно на диске еще бывает и сам вирусный файл с расширением exe, bat, com или pif. Часто мне удавалось бороться с этим вирусом обычным удалением этих двух файлов в безопасном режиме. Но недавно я не смог побороться с указанным вирусом даже переустановкой системы.

Разновидность вируса, который мне попался, кроме указанных двух файлов создавала еще исполняемый файл isi32.exe и прятала его не куда-нибудь, а в каталог, расположенный в папке RECYCLER, то есть непосредственно в корзину. Поэтому неудивительно, что антивирусы этот файл просто не находят. Причем, эта самая папка RECYCLER создается и на флешках, на которых никакой корзины отродясь быть не должно.

Таким образом, вирус заразил и мою флешку с дистрибутивами. Чтобы очистить ее от вирусов, приходилось загружаться с диска Alkid Live CD, который загружает винду в память компьютера. Ибо даже в безопасном режиме из-под уже зараженной винды удалить заразу невозможно: удаляешь папку RECYCLER - появляется "сладкая парочка" в корне диска, удаляешь их - тут же появляется папка RECYCLER с подкаталогом, в котором лежит указанный isi32.exe. Все-таки, связь вируса с реестром виндовс очевидна.

Попутно замечу, что поиск в интернете этого самого isi32.exe полезных результатов не дал.

Словом, после чистой переустановки винды я вставил очищенную от заразы флешку и попытался СРАЗУ установить KIS7, от греха подальше. Но не тут то было! Касперыч не установился, более того - сразу возникли те же проблемы. Это привело меня к мысли, что вирус каким-то образом мог заразить и исполняемые файлы моей флешки. На всякий случай пришлось ее отформатировать.

Также указанный вирус производит следующие действия:

2. Запрещает включить показ скрытых файлов в Проводнике, чтобы не дать увидеть себя. Проблема вроде решается Тотал Командером, в котором просмотр скрытых файлов включается независимо от Проводника. А если Тотала под рукой нет. .

4. После удаления себя или файла isi32.exe создает свой"комплект" заново, причем исполняемый файл в корне диска имеет всякий раз НЕ ТОЛЬКО ДРУГОЕ ИМЯ, сгенерированное из набора букв, но также и расширение, которое может быть exe, bat, com и даже pif (это тоже досовский командный файл) .

Словом, проблема реальная, поэтому я нашел в интернете и обобщил для вас все способы борьбы с ней.

1. Остановка всех лишних процессов через Диспетчер задач (ага, если он доступен. ) , которые запущены от имени текущего пользователя системы. Должны остаться только следующие:

Остальные процессы можно смело убить. ВНИМАНИЕ: отключать только те процессы, которые запущены от имени пользователя!! ! Процессы SYSTEM лучше не трогать.

2. Запускаем msconfig и на вкладке Автозапуск удалаем всё, кроме ctfmon.exe

3. Перезагружаемся, и удаляем с дисков всю известную нам заразу, желательно через Тотал Командер.

4. Если среди процессов был процесс с именем amvo.exe, немедленно идите в папку Windows\system32\ и удалите файл amvo.exe.

5. Если вирус запретил вам показ скрытых файлов, ..(напишу в комменте, как делать)

6. Чтобы в дальнейшем обезопасить все диски от заражения этим вирусом, создавать в корне всех дисков папку с именем autorun.inf . В том числе и на флешках!! ! При подключении такой флэшки к заражённому компу вирус запишет на неё свой исполняемый файл, но не сможет прописать команду его запуска, поэтому потом вы просто удалите созданный вирусом файл на своём компьютере, только не запускайте его.

Продолжение напишу в коммент.

Вирусы отключают Диспетчер задач, чтобы их нельзя было принудительно выгрузить из оперативной памяти. При этом в Реестре Windows в разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] создается параметр REG_DWORD DisableTaskMgr со значением 1.

Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.

Сдается мне, что вирус может заражать также системные файлы, особенно он "любит" заражать explorer.exe и ctfmon.exe - тогда систему придется либо переустанавливать, либо попробовать заменить их "чистыми" файлами с другой винды, но заменять придется, естественно, загрузившись с какой-нибудь альтернативы (к примеру, с WindowsPE).

Подключите все устройства, которые могут быть заражены вирусом - перезагрузите компьютер и войдите в безопасный режим - там ставим на сканирование и обнаруженный вирус удаляем

Касперский Антивирус 7,0 с последними базами полное сканирование
Norton System 2007 с последними базами и полное сканирование
Nod 32 SmartSystem ож с последними базами=)

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Похожий контент

Как я понял, это уже классика целого раздела
Скачал файл, словил вирус, из антивирусов стоял только защитник винды
Журнал защиты стал чист, после скачивания dr.web (до этого висел троян)

Антивирус: Kaspersky Internet Security
ОС: Windows 10

Ругается на MEM:Trojan.Win64.Generic.mem
CollectionLog-2021.11.22-14.27.zip

Здравствуйте, все началось с того что мне нужно было скачать установительные диски MS-Dos для Virtual Box (много файлов не пропускало - были с вирусами, ну я этому не предал значения и дальше их не устанавливал). На следующий день захожу в браузер Opera и вижу место поисковика Google - Find IT pro. Я ж смотрю появилось странной расширение и еще на разных браузерах, ну я почистил кэш и поудалял это расширение. Дальше все нормально работало и в один момент антивирус начал ругаться - захожу а там целый букет Троянов и Майнеров. Я сразу же начал сканировать через SpyHunter (он за 2 часа ничего не обнаружил), потом сканировал вирусы через mrt (3.30 часа - тоже ничего не нашел),потом полностью сканировал еще раз через встроенный антивирус Windows (в журнале угроз выдает куча вирусов, но когда захожу в полный журнал угроз - ничего уже нету), смотрел через Панель Управления/Программы и компоненты - никаких новых скаченных приложений не было, смотрел так же в Диспетчере задач - так как у меня процессор Ryzen и нету видеокарты (а встроенное ядро) майнер по идее должен быть на видеокарте, но так нету её процессор занят на 3-10%. Так же искал сторонние приложения в вкладках Процессы,Автозагрузка,Подробности,Службы - посторонних програм не нашел. И самое главное никаких нагрузок и пролагов нету, все работало как и раньше, помогите пожалуйста решить проблему.

И еще горит красный крест на подключении к интернету, хотя интернет работает.

__________________
Помощь в написании контрольных, курсовых и дипломных работ здесь

появляются файлы с расширением *.exe
Привет! Помогите,пожалуйста. У меня все файлы дублируются файлами с расширением *.exe. Имя.

На флешке появляются файлы с расширением .exe
Добрый день! При подключении флешки к компьютеру, имеющиеся на ней папки и файлы скрываются, а на.

На дисках появляются файлы с расширением exe и pif
Здравствуйте, проблема в том что вирус блокирует всё что связано с названиями антивируса, убивает.

Вирус создает инфицированные файлы .scr и .exe
Здравствуйте! Avira постоянно обнаруживает инфицированные файлы .exe (как правило скрытые) и . scr.

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их -
это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
____________________________________________

2. После перезагрузки выполните такой скрипт:

все сделал. запаковал в архив т.к. по лимитам txt не проходит. Я еще вчера нажал кнопку Clean. Вчерашний файл и сегодняшние в архиве. Проблема сохраняется? Если да, повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Пока не знаю повторяется проблема или нет. Файлов с расширением ткимм пока не видел. Я и те что видел - забыл уже где видел. Или они уже удалены? Вот.

В логах порядок.

У вас установлен NIS, поэтому дополнительные а/в сканеры лишние. Удалите:
ESET Online Scanner v3
McAfee Security Scan Plus
Советую также удалить Hamster Free Archiver

Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Переименовать файлы с определенным расширением на нескольких жестких дисках
Всем привет! Помогите разобраться чет не получается( Суть такая: Нужен батник чтобы он находил все.

Появляются файлы с расширением .scr
Все в теме сказано. Комп правда тормозить стал еще. И еще горит красный крест на подключении к.

Как лечить файловый вирус
drweb livecd качайте на чистом компе + salitykiller
потом заново скачать AVZ и RSIT и сделать логи по инструкции - Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему izvinite, pitaus scanirovat uzhe nedelu za 10 4asov proverki tolko 9 procentov(( postoyannie pereboi elektrichestve, skoro proveru i sdelau vse nuzhnie logi

извините, пытаюсь сканировать уже неделю за 10 часов проверки только 9 процентов. постоянные перебои электрические, скоро проверю и сделаю нужные логи

Попробуйте использовать другой LiveCd. Не нужно так долго ждать. poprobuu s liveusb za 8 4asov 10 procentov, u menya prosto vint na 640 gigov i pohti ves zabitiy

попробую с livecd за 8 часов 10%, у меня просто винт на 640 гигов и почти весь забитый

Добавлено через 3 минуты
вчера оставил его сканировать, сегодня утром смотрю, а он как-бы спит но не просыпается, что делать? может проверить Kaspersky Rescue Disk? он мне больше доверия вселяет. Сейчас запустил SalityKiller пока он проверяет жду я незнаю что произошло с компьютером, но теперь я смог поставить Avast, на дисках не появляются файлы exe и pif и в процессах нету ничего левого

если хоть одна копия sality выжила - все начнется по новой

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
_______________________________________________________

1. обновите:
adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.

2. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

3. скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр.

4. обновите базы AVZ (файл - обновление баз) и сделайте повторные логи AVZ и RSIT

Newbie Перенести тему невозможно ( точнее говоря в этом нет смысла - все темы кроме ESET и uVS - закрыты ) Несколько лет назад создали алгоритм идентификации по набору текста. Каждый человек набирая текст имеет свой почерк ( это заметили ещё в первую мировую войну - когда человек работал на ключе - радиопередатчике ) Сейчас работают машинные алгоритмы. Думаю и с курсором та же история. ( всё сводиться к накоплению статистических данных - чем больше их обьём тем надёжнее идентификация ) Во всех странах есть своё законодательство. И считывание чужой информации - равносильно её краже. Если _специалисты этим и занимаются - то только в рамках борьбы с орг. преступностью. т.е. в рамках расследования инцидентов и слежки за подозреваемыми. + читаем лицензионное соглашение к программе. И ? Яндекс - зарабатывает на рекламе. Он может и должен интересоваться местоположением потенциального клиента. Чем он интересуется - какие рядом находятся места отдыха - аэропорты - магазины и т.д. и пользователю выдаётся контекстная реклама. Моторика человека индивидуальна . Но речь не о 100% результате, а % совпадении\схожести. Но нужен образец для сравнения. Такая технология разрабатывалась. Приминяется ли она на практике - не интересовался. ----------- Вообще форум мёрт. Рекомендую найти другой форум.

Хотелось бы чтобы Инфо. ( для создания\настройки критерия ) Содержало информацию: CPU: 96.75% * Внимание превышен 15% Порог. CPU: 483.75% * Внимание превышен 15% Порог. так как нагрузка плавает и невозможно задать точное значение.

Читайте также: