Много процессов calc.exe*32

[svis 0]

Здравствуйте ! 

1) У меня много процессов calc.exe*32 в деспечере задач

2) После проверки Dr.Web Cureit! было перемещено в карантин несколько троянов но это не помогло

3) Ещё текстовые файлы *.txt  сами по себе закрываются (хотел отчёт сам посмотреть но не получилось)

CollectionLog-2015.09.25-10.27.zip

cureit.rar

Изменено 25 сентября, 2015 пользователем svis

[Sandor 890]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Updater.exe','');

 QuarantineFile('C:\Users\Стоматология\AppData\Roaming\Windows Live\boyvwcpddv.exe','');

 QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Live.exe','');

 QuarantineFile('C:\Users\Стоматология\AppData\Roaming\Microsoft\Windows\themes\Fojqjv.exe','');

 QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\MSupdate.exe', '');

 DeleteFile('C:\Users\Стоматология\AppData\Roaming\Microsoft\Windows\themes\Fojqjv.exe','32');

 DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Live.exe','32');

 DeleteFile('C:\Users\Стоматология\AppData\Roaming\Windows Live\boyvwcpddv.exe','32');

 DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Updater.exe','32');

 DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\MSupdate.exe', '32');

 ExecuteFile('schtasks.exe', '/delete /TN "Windows Updater" /F', 0, 15000, true);

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fojqjv');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager');

 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');

ExecuteSysClean;

 ExecuteRepair(4);

 ExecuteWizard('SCU', 2, 3, true);

 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');

RebootWindows(true);

end.

 

 

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

 

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

[svis 0]

KLAN-3166257310

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

 

 

CollectionLog-2015.09.25-12.09.zip

AdwCleanerS1.txt

[Sandor 890]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Стоматология\appdata\roaming\c731200','');
 QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Live.exe','');
 QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Updater.exe','');
 QuarantineFile('C:\Users\Стоматология\AppData\Roaming\Windows Live\boyvwcpddv.exe','');
 QuarantineFile('C:\Users\Стоматология\AppData\Roaming\Microsoft\Windows\themes\Fojqjv.exe','');
 QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\MSupdate.exe', '');
 DeleteFile('C:\Users\Стоматология\AppData\Roaming\Microsoft\Windows\themes\Fojqjv.exe','32');
 DeleteFile('C:\Users\Стоматология\AppData\Roaming\Windows Live\boyvwcpddv.exe','32');
 DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Updater.exe','32');
 DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Live.exe','32');
 DeleteFile('C:\Users\Стоматология\appdata\roaming\c731200','32');
 DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\MSupdate.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fojqjv');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Live');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Fojqjv','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Live','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Live Installer','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Installer','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Manager','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
 

 

Компьютер перезагрузится. 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).

• В меню Настройки отметьте:

• Сброс политик IE

• Сброс политик Chrome

 

• Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.

• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!.

 

Подробнее читайте в этом руководстве.

 

 

 

Еще раз повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

[svis 0]

  KLAN-3166352236

 

Не могу скопировать сообщение перестал работать буфер обмена, текстовые файлы *.txt закрываются сами по себе(невозможно их посмотреть и невозможно ни чё скопировать). Вообщем там написано что  файл поврежден

 

Вирус не удален

AdwCleanerC1.txt

AdwCleanerC2.txt

[Sandor 890]

 

 

Еще раз повторите логи по правилам.

т.е. свежий CollectionLog, пожалуйста, покажите.

[svis 0]

Вот (у меня время тут на час вперед)

CollectionLog-2015.09.25-13.10.zip

Изменено 25 сентября, 2015 пользователем svis

[Sandor 890]

AVZ запускаете правой кнопкой от имени администратора?

[svis 0]

да

[Sandor 890]

Войдите в безопасный режим и

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 QuarantineFile('C:\Users\Стоматология\appdata\roaming\c731200','');

 QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\MSupdate.exe','');

 QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Live.exe','');

 QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Updater.exe','');

 QuarantineFile('C:\Users\Стоматология\AppData\Roaming\Windows Live\boyvwcpddv.exe','');

 QuarantineFile('C:\Users\Стоматология\AppData\Roaming\Microsoft\Windows\themes\Fojqjv.exe','');

 QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\MSupdate.exe', '');

 DeleteFile('C:\Users\Стоматология\AppData\Roaming\Microsoft\Windows\themes\Fojqjv.exe','32');

 DeleteFile('C:\Users\Стоматология\AppData\Roaming\Windows Live\boyvwcpddv.exe','32');

 DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Updater.exe','32');

 DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Live.exe','32');

 DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\MSupdate.exe','32');

 DeleteFile('C:\Users\Стоматология\appdata\roaming\c731200','32');

 DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\MSupdate.exe', '32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fojqjv');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Live');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Fojqjv','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Live','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Live Installer','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Installer','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Manager','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');

ExecuteSysClean;

 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');

RebootWindows(true);

end.

 

 

Компьютер перезагрузится. 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

В обычном режиме еще раз повторите логи по правилам. 

[svis 0]

KLAN-3166495548

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

 

Странно буфер обмена то работает то нет ?

CollectionLog-2015.09.25-13.59.zip

[Sandor 890]

1. Скачайте Universal Virus Sniffer (uVS)

Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание.

Если у вас установлены архиваторы

WinRAR

или

7-Zip

, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание

, что утилиты необходимо запускать от имени Администратора. По умолчанию в

Windows XP

так и есть. В

Windows Vista

и

Windows 7

администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать

Запуск от имени Администратора

, при необходимости укажите пароль администратора и нажмите

"Да"

.

Подробнее читайте в руководстве Как подготовить лог UVS.

[svis 0]

Лог программы UVS

Вот так выглядит мой диспечер задач. На всякий случай прислал.

 

Щас стал удалять эти процессы вручную, и новые не появляются, в итоге удалил все. Но после перезагрузки опять та же картина.

ПРЕОБРАЖЕНИЕ_2015-09-25_14-19-26.rar

Calc.rar

[Sandor 890]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

;uVS v3.86.5 [http://dsrt.dyndns.org]

;Target OS: NTv6.1

v385c

BREG

addsgn 1A05F49A5583348CF42B627DA89E9941019EF736FCD29434A1D34EF874DA429ED4E6488FB511B941DC710F6FCDD5BE9E59CF63BADE1C47480967A7FE2C41A9BB 8 Multi.Generic [Kaspersky]

 

zoo %SystemDrive%\USERS\СТОМАТОЛОГИЯ\APPDATA\ROAMING\WINDOWSUPDATE\MSUPDATE.EXE

bl BA6B753DDA15F831FE92BE0EA88B8BD0 281600

delall %SystemDrive%\PROGRA~3\MSCNQ.EXE

delall %SystemDrive%\USERS\СТОМАТОЛОГИЯ\APPDATA\LOCAL\TEMP\TEMPICATVISIONEXE\VISION.EXE

delall %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\SWEET-PAGE.XML

delall %SystemDrive%\USERS\À¡Ñ‚À½À£À°Ñ‚À½À»À½À²À¨Ñ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\W27TPIDK.DEFAULT\SEARCHPLUGINS\DSRLTE1.XML

addsgn 1A22A29A5583348CF42B254E3143FE8E60825FC2E9BE1F2546483AE9DB3AF0A00B14C3579FEDF50A2BB3411603EACA5FA523178D5589DA60A0F278D338F94873 8 calc

 

zoo %SystemDrive%\USERS\СТОМАТОЛОГИЯ\APPDATA\ROAMING\WINDOWS LIVE\BOYVWCPDDV.EXE

bl F378C40DA028F6EB7351E552B20B4415 285184

addsgn 1A62A69A5583348CF42B254E3143FE8E60825F1A04BF1F2546483AE9DB3AF0A00B14C3579FED350A2BB3411603EACA5FA523178D5589DA60A0F278D338F94873 8 calc

 

zoo %SystemDrive%\USERS\СТОМАТОЛОГИЯ\APPDATA\ROAMING\MICROSOFT\WINDOWS\THEMES\FOJQJV.EXE

bl D54F541660AADA484FB2B929B85FFAC0 373760

 

deldir %SystemDrive%\USERS\СТОМАТОЛОГИЯ\APPDATA\ROAMING\WINDOWSUPDATE

chklst

delvir

 

deltmp

czoo

restart



 

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."

Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

Если архив отсутствует, то

заархивруйте папку ZOO

с паролем

virus

.

Полученный архив отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Подробнее читайте в этом руководстве.

 

 

Повторите логи по правилам.

[svis 0]

KLAN-3166659929

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

BOYVWCPDDV.EXE._562A290B23E7154A46B82392EECE41777C4ACC79 - Trojan.Win32.Bublik.dwht
FOJQJV.EXE._9F0C9BD6E3027549B52F0DF9DF8287BC78C6F44D - Worm.Win32.Ngrbot.atku
MSUPDATE.EXE._ABB83FC41B2F4089C0E3BCAB93119C403E3E4F47 - Backdoor.Win32.Androm.iicm

Детектирование файлов будет добавлено в следующее обновление.

BOYVWCPDDV.EXE._562A290B23E7154A46B82392EECE41777C4ACC79.txt,
FOJQJV.EXE._9F0C9BD6E3027549B52F0DF9DF8287BC78C6F44D.txt,
MSUPDATE.EXE._ABB83FC41B2F4089C0E3BCAB93119C403E3E4F47.txt

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

CollectionLog-2015.09.25-15.02.zip