Очень много процессов Calc.exe 32

[Владимир Зуйков]

Доброе время суток!

У меня появилось много процессов calc.exe*32, которые жрут оперативку.

hijackthis.log

[mike 1]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] - правила

[Владимир Зуйков]

Прошу прощение.

 

CollectionLog-2015.10.02-16.19.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Users\Норд\appdata\local\vsemposkidki\stub.exe','');
 QuarantineFile('C:\Users\Норд\appdata\roaming\c731200','');
 QuarantineFile('C:\Users\Норд\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
 QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
 QuarantineFile('C:\Users\Норд\AppData\Local\28322144-9D26-4AB4-AF8A-A59D64B93862\28322144-9D26-4AB4-AF8A-A59D64B93862.exe','');
 QuarantineFile('C:\Users\Норд\AppData\Local\Browsers\browser1.bat','');
 QuarantineFile('C:\ProgramData\Browsers\browser6.bat','');
 QuarantineFile('C:\ProgramData\Browsers\browser0.bat','');
 QuarantineFile('C:\Users\Норд\AppData\Roaming\WindowsUpdate\Live.exe','');
 QuarantineFile('C:\Users\Норд\AppData\Roaming\WindowsUpdate\Updater.exe','');
 QuarantineFile('C:\Users\Норд\AppData\Roaming\Windows Live\xycsvmefum.exe','');
 QuarantineFile('C:\Users\Норд\AppData\Roaming\WindowsUpdate\MSupdate.exe','');
 QuarantineFile('C:\Users\Норд\AppData\Roaming\Microsoft\Windows\themes\Wnvkvg.exe','');
 DeleteService('TsDefenseBt');
 DeleteService('TS888x64');
 DeleteService('QMUdisk');
 DeleteService('QQPCRTP');
 StopService('sipikofi');
 DeleteService('sipikofi');
 TerminateProcessByName('c:\program files (x86)\03de0294-1443780512-0503-8f06-ac0700080009\knsd1447.tmpfs');
 QuarantineFile('c:\program files (x86)\03de0294-1443780512-0503-8f06-ac0700080009\knsd1447.tmpfs','');
 TerminateProcessByName('c:\program files (x86)\shop and save up\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-6.exe');
 QuarantineFile('c:\program files (x86)\shop and save up\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-6.exe','');
 TerminateProcessByName('c:\program files (x86)\shop and save up\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-1-6.exe');
 QuarantineFile('c:\program files (x86)\shop and save up\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-1-6.exe','');
 DeleteFile('c:\program files (x86)\shop and save up\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-1-6.exe','32');
 DeleteFile('c:\program files (x86)\shop and save up\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-6.exe','32');
 DeleteFile('c:\program files (x86)\03de0294-1443780512-0503-8f06-ac0700080009\knsd1447.tmpfs','32');
 DeleteFile('C:\Program Files (x86)\03DE0294-1443780512-0503-8F06-AC0700080009\knsd1447.tmpfs','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\QQPCRtp.exe','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\QMUdisk64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\TS888x64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\TsDefenseBT64.sys','32');
 DeleteFile('C:\Program Files (x86)\gmsd_ru_005010102\gmsd_ru_005010102.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010102');
 DeleteFile('C:\Users\Норд\AppData\Roaming\Microsoft\Windows\themes\Wnvkvg.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Wnvkvg');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer');
 DeleteFile('C:\Users\Норд\AppData\Roaming\WindowsUpdate\MSupdate.exe','32');
 DeleteFile('C:\Users\Норд\AppData\Roaming\Windows Live\xycsvmefum.exe','32');
 DeleteFile('C:\Users\Норд\AppData\Roaming\WindowsUpdate\Updater.exe','32');
 DeleteFile('C:\Users\Норд\AppData\Roaming\WindowsUpdate\Live.exe','32');
 DeleteFile('C:\ProgramData\Browsers\browser0.bat','32');
 DeleteFile('C:\ProgramData\Browsers\browser6.bat','32');
 DeleteFile('C:\Users\Норд\AppData\Local\Browsers\browser1.bat','32');
 DeleteFile('C:\Users\Норд\AppData\Local\Kometa\Application\kometa.bat','32');
 DeleteFile('C:\Windows\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-1-6.job','32');
 DeleteFile('C:\Windows\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-1-7.job','32');
 DeleteFile('C:\Windows\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-10_user.job','32');
 DeleteFile('C:\Windows\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-11.job','32');
 DeleteFile('C:\Windows\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-3.job','32');
 DeleteFile('C:\Windows\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-5.job','32');
 DeleteFile('C:\Windows\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-5_user.job','32');
 DeleteFile('C:\Windows\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-6.job','32');
 DeleteFile('C:\Windows\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-7.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
 DeleteFile('C:\Users\Норд\AppData\Local\28322144-9D26-4AB4-AF8A-A59D64B93862\28322144-9D26-4AB4-AF8A-A59D64B93862.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\28322144-9D26-4AB4-AF8A-A59D64B93862','64');
 DeleteFile('C:\Windows\system32\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-1-6','64');
 DeleteFile('C:\Windows\system32\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-1-7','64');
 DeleteFile('C:\Windows\system32\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-11','64');
 DeleteFile('C:\Windows\system32\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-3','64');
 DeleteFile('C:\Windows\system32\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-5','64');
 DeleteFile('C:\Windows\system32\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-6','64');
 DeleteFile('C:\Windows\system32\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-7','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
 DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
 DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64');
 DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','64');
 DeleteFile('C:\Windows\system32\Tasks\RestoreSearch','64');
 DeleteFile('C:\Users\Норд\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64');
 DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
 DeleteFile('C:\Windows\system32\Tasks\{32E3B6A6-1DBB-48AB-AC5C-F34B9AED81AD}','64');
 DeleteFile('C:\Windows\system32\Tasks\{365D23F9-E42E-4171-B4FA-162E8F670D3E}','64');
 DeleteFile('C:\Windows\system32\Tasks\{40DEB643-3EFB-44C0-97D0-24AA5A35B61D}','64');
 DeleteFile('C:\Windows\system32\Tasks\{4E3AF5FF-7724-4F9D-BB3E-CFA86C0675B1}','64');
 DeleteFile('C:\Windows\system32\Tasks\{5AB543D5-D90E-43BA-B73A-699E158AED6B}','64');
 DeleteFile('C:\Windows\system32\Tasks\{C25595CD-EB92-4E37-9220-822A6A8ADFAF}','64');
 DeleteFile('C:\Windows\system32\Tasks\{DA169621-ED91-4A85-A865-8AD706F8912B}','64');
 DeleteFile('C:\Windows\system32\Tasks\{FBDEC5B6-195B-49D3-B22B-452D15D6E001}','64');
 DeleteFile('C:\Users\Норд\appdata\roaming\c731200','32');
 DeleteFile('C:\Users\Норд\appdata\local\vsemposkidki\stub.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

• Прикрепите этот отчет к своему следующему сообщению.

 

 

 

Сделайте новые логи Автологгером. 

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

[Владимир Зуйков]

Re: Запрос на исследование вредоносного файла [KLAN-3188639676] (Запрос на исследование вредоносного файла [KLAN-3188639676])

 

 

Входящие

x

 

 

 

newvirus@kaspersky.com

17:42 (20 мин. назад)

 

кому: мне

 

 

 

английский

 

 

русский

 

   

Просмотреть исходное письмо

Всегда переводить: английский

 

 

Здравствуйте, 

Это сообщение было сгенерировано с помощью автоматической системы ответное сообщение. Сообщение содержит информацию о приговоров, которые были возвращены Антивирусом в ответ на файлы (если таковые входят в сообщении) с последними обновлениями. 

browser6.bat, 
browser0.bat - Trojan.BAT.StartPage.nw 

Новый вредоносное программное обеспечение было установлено в этих файлах. Обнаружение будут включены в следующем обновлении. Спасибо за вашу помощь. 

knsd1447.tmpfs 

Неизвестный файл был получен. Он будет направлен на вирусную лабораторию. 

99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-6.exe, 
99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-1-6.exe - не-вирус: AdWare.NSIS.Adwapper.do 

Эти файлы Рекламные инструменты, их техническое определение будут включены в следующем обновлении баз данных, установленных расширенных. Посмотреть более подробную информацию о расширенных баз данных здесь:http://www.kaspersky.com/extraavupdates 

С наилучшими пожеланиями, Лаборатория Касперского 

"., 39А / 3 Ленинградское шоссе, Москва, 125212, Россия Тел / Факс: + 7 (495) 797 8700 http://www.kaspersky.comhttp://www.viruslist.com 
 

 

Вот еще.

ClearLNK-02.10.2015_17-45.log

CollectionLog-2015.10.02-17.51.zip

AdwCleanerS1.txt

[mike 1]

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.