Перейти к содержанию

Очень много процессов Calc.exe 32


Владимир Зуйков

Рекомендуемые сообщения

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 QuarantineFile('C:\Users\Норд\appdata\local\vsemposkidki\stub.exe','');
 QuarantineFile('C:\Users\Норд\appdata\roaming\c731200','');
 QuarantineFile('C:\Users\Норд\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
 QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
 QuarantineFile('C:\Users\Норд\AppData\Local\28322144-9D26-4AB4-AF8A-A59D64B93862\28322144-9D26-4AB4-AF8A-A59D64B93862.exe','');
 QuarantineFile('C:\Users\Норд\AppData\Local\Browsers\browser1.bat','');
 QuarantineFile('C:\ProgramData\Browsers\browser6.bat','');
 QuarantineFile('C:\ProgramData\Browsers\browser0.bat','');
 QuarantineFile('C:\Users\Норд\AppData\Roaming\WindowsUpdate\Live.exe','');
 QuarantineFile('C:\Users\Норд\AppData\Roaming\WindowsUpdate\Updater.exe','');
 QuarantineFile('C:\Users\Норд\AppData\Roaming\Windows Live\xycsvmefum.exe','');
 QuarantineFile('C:\Users\Норд\AppData\Roaming\WindowsUpdate\MSupdate.exe','');
 QuarantineFile('C:\Users\Норд\AppData\Roaming\Microsoft\Windows\themes\Wnvkvg.exe','');
 DeleteService('TsDefenseBt');
 DeleteService('TS888x64');
 DeleteService('QMUdisk');
 DeleteService('QQPCRTP');
 StopService('sipikofi');
 DeleteService('sipikofi');
 TerminateProcessByName('c:\program files (x86)\03de0294-1443780512-0503-8f06-ac0700080009\knsd1447.tmpfs');
 QuarantineFile('c:\program files (x86)\03de0294-1443780512-0503-8f06-ac0700080009\knsd1447.tmpfs','');
 TerminateProcessByName('c:\program files (x86)\shop and save up\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-6.exe');
 QuarantineFile('c:\program files (x86)\shop and save up\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-6.exe','');
 TerminateProcessByName('c:\program files (x86)\shop and save up\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-1-6.exe');
 QuarantineFile('c:\program files (x86)\shop and save up\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-1-6.exe','');
 DeleteFile('c:\program files (x86)\shop and save up\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-1-6.exe','32');
 DeleteFile('c:\program files (x86)\shop and save up\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-6.exe','32');
 DeleteFile('c:\program files (x86)\03de0294-1443780512-0503-8f06-ac0700080009\knsd1447.tmpfs','32');
 DeleteFile('C:\Program Files (x86)\03DE0294-1443780512-0503-8F06-AC0700080009\knsd1447.tmpfs','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\QQPCRtp.exe','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\QMUdisk64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\TS888x64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\TsDefenseBT64.sys','32');
 DeleteFile('C:\Program Files (x86)\gmsd_ru_005010102\gmsd_ru_005010102.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010102');
 DeleteFile('C:\Users\Норд\AppData\Roaming\Microsoft\Windows\themes\Wnvkvg.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Wnvkvg');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer');
 DeleteFile('C:\Users\Норд\AppData\Roaming\WindowsUpdate\MSupdate.exe','32');
 DeleteFile('C:\Users\Норд\AppData\Roaming\Windows Live\xycsvmefum.exe','32');
 DeleteFile('C:\Users\Норд\AppData\Roaming\WindowsUpdate\Updater.exe','32');
 DeleteFile('C:\Users\Норд\AppData\Roaming\WindowsUpdate\Live.exe','32');
 DeleteFile('C:\ProgramData\Browsers\browser0.bat','32');
 DeleteFile('C:\ProgramData\Browsers\browser6.bat','32');
 DeleteFile('C:\Users\Норд\AppData\Local\Browsers\browser1.bat','32');
 DeleteFile('C:\Users\Норд\AppData\Local\Kometa\Application\kometa.bat','32');
 DeleteFile('C:\Windows\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-1-6.job','32');
 DeleteFile('C:\Windows\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-1-7.job','32');
 DeleteFile('C:\Windows\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-10_user.job','32');
 DeleteFile('C:\Windows\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-11.job','32');
 DeleteFile('C:\Windows\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-3.job','32');
 DeleteFile('C:\Windows\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-5.job','32');
 DeleteFile('C:\Windows\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-5_user.job','32');
 DeleteFile('C:\Windows\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-6.job','32');
 DeleteFile('C:\Windows\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-7.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
 DeleteFile('C:\Users\Норд\AppData\Local\28322144-9D26-4AB4-AF8A-A59D64B93862\28322144-9D26-4AB4-AF8A-A59D64B93862.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\28322144-9D26-4AB4-AF8A-A59D64B93862','64');
 DeleteFile('C:\Windows\system32\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-1-6','64');
 DeleteFile('C:\Windows\system32\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-1-7','64');
 DeleteFile('C:\Windows\system32\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-11','64');
 DeleteFile('C:\Windows\system32\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-3','64');
 DeleteFile('C:\Windows\system32\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-5','64');
 DeleteFile('C:\Windows\system32\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-6','64');
 DeleteFile('C:\Windows\system32\Tasks\99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-7','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
 DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
 DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64');
 DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','64');
 DeleteFile('C:\Windows\system32\Tasks\RestoreSearch','64');
 DeleteFile('C:\Users\Норд\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64');
 DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
 DeleteFile('C:\Windows\system32\Tasks\{32E3B6A6-1DBB-48AB-AC5C-F34B9AED81AD}','64');
 DeleteFile('C:\Windows\system32\Tasks\{365D23F9-E42E-4171-B4FA-162E8F670D3E}','64');
 DeleteFile('C:\Windows\system32\Tasks\{40DEB643-3EFB-44C0-97D0-24AA5A35B61D}','64');
 DeleteFile('C:\Windows\system32\Tasks\{4E3AF5FF-7724-4F9D-BB3E-CFA86C0675B1}','64');
 DeleteFile('C:\Windows\system32\Tasks\{5AB543D5-D90E-43BA-B73A-699E158AED6B}','64');
 DeleteFile('C:\Windows\system32\Tasks\{C25595CD-EB92-4E37-9220-822A6A8ADFAF}','64');
 DeleteFile('C:\Windows\system32\Tasks\{DA169621-ED91-4A85-A865-8AD706F8912B}','64');
 DeleteFile('C:\Windows\system32\Tasks\{FBDEC5B6-195B-49D3-B22B-452D15D6E001}','64');
 DeleteFile('C:\Users\Норд\appdata\roaming\c731200','32');
 DeleteFile('C:\Users\Норд\appdata\local\vsemposkidki\stub.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)
 

 

  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
 
move.gif
 
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
 
 
 
Сделайте новые логи Автологгером. 
 
 
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

Ссылка на комментарий
Поделиться на другие сайты

Re: Запрос на исследование вредоносного файла [KLAN-3188639676] (Запрос на исследование вредоносного файла [KLAN-3188639676])
 
 
Входящие
x
 
 
 
profile_mask2.png
newvirus@kaspersky.com
17:42 (20 мин. назад)
cleardot.gif
 
cleardot.gif
cleardot.gif
кому: мне
cleardot.gif
 
 
 
английский
 
 
русский
 
   
Просмотреть исходное письмо
Всегда переводить: английский
 
 
Здравствуйте, 

Это сообщение было сгенерировано с помощью автоматической системы ответное сообщение. Сообщение содержит информацию о приговоров, которые были возвращены Антивирусом в ответ на файлы (если таковые входят в сообщении) с последними обновлениями. 

browser6.bat, 
browser0.bat - Trojan.BAT.StartPage.nw 

Новый вредоносное программное обеспечение было установлено в этих файлах. Обнаружение будут включены в следующем обновлении. Спасибо за вашу помощь. 

knsd1447.tmpfs 

Неизвестный файл был получен. Он будет направлен на вирусную лабораторию. 

99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-6.exe, 
99b802a7-5d25-4ea6-b4e0-57ffd9443b1f-1-6.exe - не-вирус: AdWare.NSIS.Adwapper.do 

Эти файлы Рекламные инструменты, их техническое определение будут включены в следующем обновлении баз данных, установленных расширенных. Посмотреть более подробную информацию о расширенных баз данных здесь:http://www.kaspersky.com/extraavupdates 

С наилучшими пожеланиями, Лаборатория Касперского 

"., 39А / 3 Ленинградское шоссе, Москва, 125212, Россия Тел / Факс: + 7 (495) 797 8700 http://www.kaspersky.comhttp://www.viruslist.com 
 

 


Вот еще.

ClearLNK-02.10.2015_17-45.log

CollectionLog-2015.10.02-17.51.zip

AdwCleanerS1.txt

Ссылка на комментарий
Поделиться на другие сайты


Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Stillegoth
      От Stillegoth
      Друзья, прошу помощи! Кто-то словил заразу и вот такая оказия. Самая жесть, что ни на почту, ни на Телеграм не отвечают. Что можно сделать? Спасите! Во вложении зашифрованные файлы и письмо.
      Договор АВАНТ ООО.pdf Restore-My-Files.txt ООО Компания Тензор лицензионный договор и договор купли-продажи № 88221....pdf
    • KL FC Bot
      От KL FC Bot
      Хотя автоматизация и машинное обучения используются в ИБ почти 20 лет, эксперименты в этой области не останавливаются ни на минуту. Защитникам нужно бороться с более сложными киберугрозами и большим числом атак без существенного роста бюджета и численности ИБ-отделов. ИИ помогает значительно разгрузить команду аналитиков и ускорить многие фазы работы с инцидентом — от обнаружения до реагирования. Но ряд очевидных, казалось бы, сценариев применения машинного обучения оказываются недостаточно эффективными.
      Автоматическое обнаружение киберугроз с помощью ИИ
      Предельно упрощая эту большую тему, рассмотрим два основных и давно протестированных способа применения машинного обучения:
      Поиск атак. Обучив ИИ на примерах фишинговых писем, вредоносных файлов и опасного поведения приложений, можно добиться приемлемого уровня обнаружения похожих угроз. Основной подводный камень — эта сфера слишком динамична, злоумышленники постоянно придумывают новые способы маскировки, поэтому модель нужно очень часто обучать заново, чтобы поддерживать ее эффективность. При этом нужен размеченный набор данных, то есть большой набор свежих примеров доказанного вредоносного поведения. Обученный таким образом алгоритм не эффективен против принципиально новых атак, которые он «не видел» раньше. Кроме того, есть определенные сложности при обнаружении атак, целиком опирающихся на легитимные ИТ-инструменты (LOTL). Несмотря на ограничения, этот способ применяется большинством производителей ИБ-решений, например, он весьма эффективен для анализа e-mail, поиска фишинга, обнаружения определенных классов вредоносного программного обеспечения. Однако ни полной автоматизации, ни 100%-ной надежности он не обещает. Поиск аномалий. Обучив ИИ на «нормальной» деятельности серверов и рабочих станций, можно выявлять отклонения от этой нормы, когда, например, бухгалтер внезапно начинает выполнять административные действия с почтовым сервером. Подводные камни — этот способ требует собирать и хранить очень много телеметрии, переобучать ИИ на регулярной основе, чтобы он поспевал за изменениями в ИТ-инфраструктуре. Но все равно ложных срабатываний будет немало, да и обнаружение атак не гарантировано. Поиск аномалий должен быть адаптирован к конкретной организации, поэтому применение такого инструмента требует от сотрудников высокой квалификации как в сфере кибербезопасности, так и в анализе данных и машинном обучении. И подобные «золотые» кадры должны сопровождать систему на ежедневной основе. Подводя промежуточный философский итог, можно сказать, что ИИ прекрасно подходит для решения рутинных задач, в которых предметная область и характеристики объектов редко и медленно меняются: написание связных текстов, распознавание пород собак и тому подобное. Когда за изучаемыми данными стоит активно сопротивляющийся этому изучению человеческий ум, статично настроенный ИИ постепенно становится менее эффективен. Аналитики дообучают и настраивают ИИ вместо того, чтобы писать правила детектирования киберугроз, — фронт работ меняется, но, вопреки распространенному заблуждению, экономии человеческих сил не происходит. При этом стремление повысить уровень ИИ-детектирования угроз (True Positive, TP) неизбежно приводит к увеличению и числа ложноположительных срабатываний (False Positive, FP), а это напрямую увеличивает нагрузку на людей. Если же попытаться свести FP почти к нулю, то понижается и TP, то есть растет риск пропустить кибератаку.
      В результате ИИ занимает свое место в ансамбле инструментов детектирования, но не способен стать «серебряной пулей», то есть окончательно решить проблемы детектирования в ИБ или работать целиком автономно.
      ИИ-напарник аналитика SOC
      ИИ нельзя целиком доверить поиск киберугроз, но он может снизить нагрузку на человека, самостоятельно разбирая простые предупреждения SIEM и подсказывая аналитикам в остальных случаях:
      Фильтрация ложных срабатываний. Обучившись на предупреждениях из SIEM-системы и вердиктах команды аналитиков, ИИ способен достаточно надежно фильтровать ложноположительные срабатывания (FP) — в практике сервиса Kaspersky MDR это снижает нагрузку на команду SOC примерно на 25%. Подробности реализации «автоаналитика» мы опишем в отдельном посте. Приоритизация предупреждений. Тот же механизм машинного обучения может не только фильтровать ложные срабатывания, но и оценивать вероятность того, что обнаружен признак серьезной вредоносной активности. Такие серьезные предупреждения передаются для приоритетного анализа экспертам. Альтернативно «вероятность угрозы» может быть просто визуальным индикатором, помогающим аналитику обрабатывать наиболее важные оповещения с наибольшим приоритетом. Поиск аномалий. ИИ может быстро предупреждать об аномалиях в защищаемой инфраструктуре, отслеживая такие явления, как всплеск количества предупреждений, резкое увеличение или уменьшение потока телеметрии с конкретных сенсоров или изменение ее структуры. Поиск подозрительного поведения. Хотя сложности поиска произвольных аномалий в сети значительны, некоторые частные сценарии хорошо автоматизируются и машинное обучение работает в них эффективней статичных правил. Примеры: поиск несанкционированного использования учетных записей из необычных подсетей, детектирование аномального обращения к файловым серверам и их сканирования, поиск атак с использованием чужих билетов TGS (атаки Pass-the-Ticket). Большие языковые модели в ИБ
      Наиболее модная тема ИИ-индустрии, большие языковые модели (LLM), тоже многократно опробована ИБ-компаниями. Оставляя полностью за скобками такие темы, как написание фишинговых писем и ВПО при помощи GPT, отметим многочисленные интересные эксперименты по привлечению LLM к рутинным работам:
      генерация расширенных описаний киберугроз; подготовка черновиков отчетов по расследованию инцидентов; нечеткий поиск в архивных данных и логах через чат; генерация тестов, тест-кейсов, кода для фаззинга; первичный анализ декомпилированного исходного кода при реверс-инжиниринге; снятие обфускации и объяснение длинных командных строк (такая технология уже используется нашим сервисом MDR); генерация подсказок и рекомендаций при написании детектирующих правил и скриптов. Большинство перечисленных по ссылке работ и статей являются нишевыми внедрениями или научными экспериментами, поэтому они не дают измеримой оценки эффективности. Более того, имеющиеся исследования эффективности квалифицированных работников, которым в помощь выданы LLM, показывают противоречивые результаты. Поэтому внедрение подобных решений должно проводиться медленно и поэтапно, с предварительной оценкой потенциала экономии, детальной оценкой вложенного времени и качества результата.
      View the full article
    • JAZZ and JAZZ
      От JAZZ and JAZZ
      При включении ноутбука и загрузки ОС через 2-5мин начинается нагрев ЦП до 92 градусов GPU до 63 градусов.
      При этом сам запускается процесс fc.exe в видеокарте NVIDIA хотя она должна быть не активной, проблему поймал день назад ноут уходит в сильный перегрев.
      Пробовал лечить, результата нет.
      CollectionLog-2024.10.07-23.37.zip
    • blackleoninc
      От blackleoninc
      Коллеги, подскажите, у меня на разных компьютерах безумно медленная работа kaspersky password manager. Ввожу мастер пароль и kpm может 30, может 90 секунд висеть. Иногда висит пока не перезапустишь, в чем может быть проблема?
    • advan
      От advan
      Сначала закрывал страничку. Смена браузера не помогла, переходил на 8.8.8.8. Установил AVbr, все равно до конца не удалил. Он даже заражает телефоны. При подключении телефона к компу телефон заражает комп. Скорее всего ещё и роутер заражает. Помогите. Закрывает окно explorer с путём C:\Users\User\AppData\Local\Microsoft\Windows\History\Больше недели назад
×
×
  • Создать...