После лечения Eset висит запущенный процесс notepad.exe

@KIrina · Регистрация: 23.04.2015

Студворк — интернет-сервис помощи студентам

Поставила eset, просканировала компьютер полностью, было обнаружено несколько угроз, eset сказал, что все вычистил, но осталось странное поведение - ввод с клавиатуры испанских букв с ударениями á, é и тд не работает. В списке процессов висит notepad.exe, после снятия процесса ввод букв работает. При перезагрузке процесс запускается снова из %WINDIR%\SysWOW64, файл выглядит, как нормальный notepad.exe, подписан Microsoft.

Результаты автологгера - в аттаче.
Спасибо

@Sandor · 30.01.2020, 10:00

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя KIrina. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Intel\Wireless\97b9bc8\68068b6.au3', '');
 QuarantineFile('C:\ProgramData\Intel\Wireless\97b9bc8\dddhhfc.exe', '');
 DeleteFile('C:\ProgramData\Intel\Wireless\97b9bc8\68068b6.au3', '32');
 DeleteFile('C:\ProgramData\Intel\Wireless\97b9bc8\dddhhfc.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'e35a68f2', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'e35a68f2', 'x64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Code
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению прикреплять файл quarantine.7z не нужно!
Подготовьте новый CollectionLog.

@KIrina · 30.01.2020, 14:07 **[ТС]**

Всё выполнила, CollectionLog в аттаче.

@Sandor · 30.01.2020, 14:14

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@KIrina · 30.01.2020, 14:44 **[ТС]**

Готово.

@KIrina · 30.01.2020, 14:49 **[ТС]**

проверила, notepad.exe продолжает висеть.

@Sandor · 30.01.2020, 15:24

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2249417341-1962223753-3384079735-1001\...\Run: [e35a68f2] => C:\ProgramData\Intel\Wireless\97b9bc8\dddhhfc.exe [943784 2020-01-30] (AutoIt Consulting Ltd -> AutoIt Team)
Task: {7478A37D-9AE4-41DA-9E36-ED239233EE68} - System32\Tasks\VKSaverUpdate => C:\ProgramData\VKSaver\VKSaver.exe <==== ATTENTION
C:\ProgramData\Intel\Wireless\97b9bc8\dddhhfc.exe
C:\ProgramData\Intel\Wireless\97b9bc8\68068b6.au3
Folder: C:\ProgramData\Intel\Wireless\97b9bc8
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@KIrina · 31.01.2020, 00:45 **[ТС]**

Готово.

@Sandor · 31.01.2020, 09:22

Удалите старые и соберите новые отчёты FRST.txt и Addition.txt.

@KIrina · 31.01.2020, 23:30 **[ТС]**

Сделала.

@Sandor · 01.02.2020, 15:55

Проблема решена?

@KIrina · 01.02.2020, 23:31 **[ТС]**

Все проверила сейчас, notepad больше нет.

Спасибо огромное!

@Sandor · 03.02.2020, 09:13

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@KIrina · 05.02.2020, 02:16 **[ТС]**

Готово.

@Sandor · 05.02.2020, 09:14

--------------------------- [ OtherUtilities ] ----------------------------
IrfanView 4.51 (64-bit) v.4.51 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.61 (64-разрядная) v.5.61.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
uTorrent Web v.1.0.7 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
------------------------------- [ Browser ] -------------------------------
Opera Stable 66.0.3515.44 v.66.0.3515.44 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
----------------------------- [ EmailClient ] -----------------------------
Mozilla Thunderbird 60.9.1 (x86 ru) v.60.9.1 Внимание! Скачать обновления

Читайте Рекомендации после удаления вредоносного ПО

@KIrina · 06.02.2020, 02:21 **[ТС]**

Все обновила.
Спасибо Вам огромное за помощь.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Desktop (MinGW): Создаём пустое окно с нуля для 2D-графики на SDL3, Си и C++ 8Observer8 10.03.2026 Содержание блога Финальные проекты на Си и на C++: hello-sdl3-c. zip hello-sdl3-cpp. zip Результат:	Установка CMake и MinGW 13.1 для сборки С и C++ приложений из консоли и из Qt Creator в EXE 8Observer8 10.03.2026 Содержание блога MinGW - это коллекция инструментов для сборки приложений в EXE. CMake - это система сборки приложений. Здесь описаны базовые шаги для старта программирования с помощью CMake и. . .	Как дизайн сайта влияет на конверсию: 7 решений, которые реально повышают заявки Neotwalker 08.03.2026 Многие до сих пор воспринимают дизайн сайта как “красивую оболочку”. На практике всё иначе: дизайн напрямую влияет на то, оставит человек заявку или уйдёт через несколько секунд. Даже если у вас. . .	Модульная разработка через nuget packages DevAlt 07.03.2026 Сложившийся в . Net-среде способ разработки чаще всего предполагает монорепозиторий в котором находятся все исходники. При создании нового решения, мы просто добавляем нужные проекты и имеем. . .
Модульный подход на примере F# DevAlt 06.03.2026 В блоге дяди Боба наткнулся на такое определение: В этой книге («Подход, основанный на вариантах использования») Ивар утверждает, что архитектура программного обеспечения — это структуры,. . .	Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование 8Observer8 05.03.2026 Содержание блога Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. Сканируйте QR-код на мобильном. Вращайте камеру одним пальцем,. . .	SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .	SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip Сканируйте QR-код на мобильном и вы увидите, что появится джойстик для управления главным героем. . . .

@Sandor 22468 / 15922 / 3080 Регистрация: 08.10.2012 Сообщений: 64,858
	30.01.2020, 10:00
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя KIrina. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ________________________________________ ______________ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Code begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\Intel\Wireless\97b9bc8\68068b6.au3', ''); QuarantineFile('C:\ProgramData\Intel\Wireless\97b9bc8\dddhhfc.exe', ''); DeleteFile('C:\ProgramData\Intel\Wireless\97b9bc8\68068b6.au3', '32'); DeleteFile('C:\ProgramData\Intel\Wireless\97b9bc8\dddhhfc.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'e35a68f2', 'x32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'e35a68f2', 'x64'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: Code begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\', 1, 300000, false); end. Файл quarantine.7z* из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. К сообщению прикреплять файл quarantine.7z не нужно! Подготовьте новый CollectionLog. 1

@Sandor 22468 / 15922 / 3080 Регистрация: 08.10.2012 Сообщений: 64,858
	30.01.2020, 14:14
	Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 1

@KIrina 13 / 0 / 0 Регистрация: 23.04.2015 Сообщений: 25
	30.01.2020, 14:49 [ТС]
	проверила, notepad.exe продолжает висеть. 0

@Sandor 22468 / 15922 / 3080 Регистрация: 08.10.2012 Сообщений: 64,858
	31.01.2020, 09:22
	Удалите старые и соберите новые отчёты FRST.txt и Addition.txt. 1

@Sandor 22468 / 15922 / 3080 Регистрация: 08.10.2012 Сообщений: 64,858
	01.02.2020, 15:55
	Проблема решена? 1

@KIrina 13 / 0 / 0 Регистрация: 23.04.2015 Сообщений: 25
	01.02.2020, 23:31 [ТС]
	Все проверила сейчас, notepad больше нет. Спасибо огромное! 0

@Sandor 22468 / 15922 / 3080 Регистрация: 08.10.2012 Сообщений: 64,858
	03.02.2020, 09:13
	В завершение: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 1

@Sandor 22468 / 15922 / 3080 Регистрация: 08.10.2012 Сообщений: 64,858
	05.02.2020, 09:14
	--------------------------- [ OtherUtilities ] ---------------------------- IrfanView 4.51 (64-bit) v.4.51 Внимание! Скачать обновления Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ -------------------------------- [ Arch ] --------------------------------- WinRAR 5.61 (64-разрядная) v.5.61.0 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- uTorrent Web v.1.0.7 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. ------------------------------- [ Browser ] ------------------------------- Opera Stable 66.0.3515.44 v.66.0.3515.44 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ ----------------------------- [ EmailClient ] ----------------------------- Mozilla Thunderbird 60.9.1 (x86 ru) v.60.9.1 Внимание! Скачать обновления Читайте Рекомендации после удаления вредоносного ПО 1

@KIrina 13 / 0 / 0 Регистрация: 23.04.2015 Сообщений: 25
	06.02.2020, 02:21 [ТС]
	Все обновила. Спасибо Вам огромное за помощь. 0

После лечения Eset висит запущенный процесс notepad.exe

Решение