Много процессов calc.exe помогите устранить

[maratsss]

большое колличество процессов calc.exe32 как я понял это вирус помогите устранить1

[Sandor]

Здравствуйте!

 

Выполните Порядок оформления запроса о помощи

[maratsss]

Вот )!

CollectionLog-2015.10.14-20.30.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
 
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\001\appdata\roaming\c731200','');
 QuarantineFile('C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe','');
 QuarantineFile('C:\Users\001\AppData\Roaming\Windows Live\vpaijqufyi.exe','');
 QuarantineFile('C:\Users\001\AppData\Roaming\WindowsUpdate\Live.exe','');
 QuarantineFile('C:\Users\001\AppData\Roaming\Microsoft\Windows\themes\Plpipx.exe','');
 QuarantineFile('C:\Users\001\AppData\Roaming\WindowsUpdate\Updater.exe','');
 QuarantineFile('C:\Users\001\AppData\Roaming\WindowsUpdate\MSupdate.exe', '');
 QuarantineFile('C:\Users\001\AppData\Local\Temp\R.vbs', '');
 DeleteFile('C:\Users\001\AppData\Roaming\WindowsUpdate\Updater.exe','32');
 DeleteFile('C:\Users\001\AppData\Roaming\Microsoft\Windows\themes\Plpipx.exe','32');
 DeleteFile('C:\Users\001\AppData\Roaming\WindowsUpdate\Live.exe','32');
 DeleteFile('C:\Users\001\AppData\Roaming\Windows Live\vpaijqufyi.exe','32');
 DeleteFile('C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe','32');
 DeleteFile('C:\Users\001\appdata\roaming\c731200','32');
 DeleteFile('C:\Users\001\AppData\Roaming\WindowsUpdate\MSupdate.exe', '32');
 DeleteFile('C:\Users\001\AppData\Local\Temp\R.vbs', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "RestoreSearch" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster SkipUAC (001)" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Plpipx');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Live');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
ExecuteSysClean;
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
 

 
Компьютер перезагрузится.
 
 
 
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com
 
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
 
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[maratsss]

Файл отправил а повторный лог вам прислать?

[Sandor]

Да, прикрепите к следующему сообщению.

[maratsss]

Re: [KLAN-3251780161]

От кого: newvirus@kaspersky.com Кому: mr.ramazanov1993@mail.ru

 

сегодня, 21:06

 

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

c731200,
Live.exe,
Updater.exe,
MSupdate.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

vpaijqufyi.exe - Trojan.Win32.Bublik.dwwp
Plpipx.exe - Worm.Win32.Ngrbot.atwk

Детектирование файлов будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. 

c731200,
Live.exe,
Updater.exe,
MSupdate.exe

A set of unknown files has been received. They will be sent to the Virus Lab.

vpaijqufyi.exe - Trojan.Win32.Bublik.dwwp
Plpipx.exe - Worm.Win32.Ngrbot.atwk

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

 

 

Вот повторный лог 

 

CollectionLog-2015.10.14-21.21.zip

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Time tasks

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[maratsss]

Вот

AdwCleanerS1.txt

[Sandor]

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Настройки отметьте:
  • Сброс настроек Proxy
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[maratsss]

Вот

AdwCleanerC1.txt

[Sandor]

Проблема решена?

[maratsss]

я вот смотрю вроде пропали xD вот от Chrom 7 процессов

и загруженность памяти 1,55 из общих 4095 это нормально ?

Спасиюо друг помог от души )!

[Sandor]

В завершение:

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.