Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Процессы calc.exe

nomad91

Автор nomad91
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

nomad91 Новичок

nomad91

Опубликовано
Опубликовано (изменено)

Доброго времени суток! Поразила такая проблема как множество процессов calc.exe в ДЗ. Также блокнот не открывается, как избавиться от этих проблем? 

CollectionLog-2015.11.05-17.53.zip

Изменено пользователем nomad91
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 QuarantineFile('C:\Users\User\appdata\roaming\windowsupdate\updater.exe','');
 QuarantineFile('C:\Users\User\appdata\roaming\windowsupdate\msupdate.exe','');
 QuarantineFile('C:\Users\User\appdata\roaming\windowsupdate\live.exe','');
 QuarantineFile('C:\Users\User\appdata\roaming\update\explorer.exe','');
 QuarantineFile('C:\Users\User\appdata\roaming\c731200','');
 QuarantineFile('C:\Users\User\LOCALS~1\Temp\ccybaqik.scr','');
 QuarantineFile('C:\Users\User\AppData\Roaming\WindowsUpdate\Live.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\WindowsUpdate\MSupdate.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\Windows Live\xwfjiuyapa.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\WindowsUpdate\Updater.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\themes\Dtrcrf.exe','');
 StopService('Windows');
 DeleteService('Windows');
 TerminateProcessByName('C:\Windows\svchost.exe');
 QuarantineFile('C:\Windows\svchost.exe','');
 TerminateProcessByName('C:\Windows\csrss.exe');
 QuarantineFile('C:\Windows\csrss.exe','');
 DeleteFile('C:\Windows\csrss.exe','32');
 DeleteFile('C:\Windows\svchost.exe','32');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\themes\Dtrcrf.exe','32');
 DeleteFile('C:\Users\User\AppData\Roaming\WindowsUpdate\Updater.exe','32');
 DeleteFile('C:\Users\User\AppData\Roaming\Windows Live\xwfjiuyapa.exe','32');
 DeleteFile('C:\Users\User\AppData\Roaming\WindowsUpdate\MSupdate.exe','32');
 DeleteFile('C:\Users\User\AppData\Roaming\WindowsUpdate\Live.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Dtrcrf');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer');
 DeleteFile('C:\Users\User\LOCALS~1\Temp\ccybaqik.scr','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('C:\Users\User\appdata\roaming\c731200','32');
 DeleteFile('C:\Users\User\appdata\roaming\update\explorer.exe','32');
 DeleteFile('C:\Users\User\appdata\roaming\windowsupdate\live.exe','32');
 DeleteFile('C:\Users\User\appdata\roaming\windowsupdate\msupdate.exe','32');
 DeleteFile('C:\Users\User\appdata\roaming\windowsupdate\updater.exe','32');
ExecuteSysClean;
RebootWindows(true);
end. 
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
F3 - REG:win.ini: load=C:\Users\User\LOCALS~1\Temp\ccybaqik.scr
 

 

  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
 
move.gif
 
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
 
 
 
Сделайте новые логи Автологгером. 
 
Ссылка на комментарий
Поделиться на другие сайты
nomad91 Новичок

nomad91

Опубликовано
  • Автор
Опубликовано

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

updater.exe,
explorer.exe,
c731200,
Dtrcrf.exe - Worm.Win32.Ngrbot.aupl
msupdate.exe - Backdoor.Win32.Androm.ipmy
live.exe,
xwfjiuyapa.exe - Trojan.Win32.Bublik.dyka

Детектирование файлов будет добавлено в следующее обновление.

svchost.exe
csrss.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. 

updater.exe,
explorer.exe,
c731200,
Dtrcrf.exe - Worm.Win32.Ngrbot.aupl
msupdate.exe - Backdoor.Win32.Androm.ipmy
live.exe,
xwfjiuyapa.exe - Trojan.Win32.Bublik.dyka

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

svchost.exe
csrss.exe

A set of unknown files has been received. They will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"


[KLAN-3318227179]

Насчет ClearLNK, у меня нет лога Check_Browsers_LNK после разархивации

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [MsmqIntCert] => regsvr32 /s mqrt.dll
HKU\S-1-5-21-1675500977-1132385287-3170826570-1000\...\Run: [Windows Update Installer] => C:\Users\User\AppData\Roaming\WindowsUpdate\Updater.exe
HKU\S-1-5-21-1675500977-1132385287-3170826570-1000\...\Run: [Dtrcrf] => C:\Users\User\AppData\Roaming\Microsoft\Windows\themes\Dtrcrf.exe
HKU\S-1-5-21-1675500977-1132385287-3170826570-1000\...\CurrentVersion\Windows: [Load] C:\Users\User\LOCALS~1\Temp\ccybaqik.scr <===== ATTENTION
HKU\S-1-5-21-1675500977-1132385287-3170826570-1000\...\Winlogon: [Shell] C:\Windows\Explorer.exe [2872320 2010-11-21] (Microsoft Corporation) <==== ATTENTION
FF Extension: No Name - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\wfmliotf.default\Extensions\845f-b3a7-cf82-ed63 [2015-11-05] [not signed]
FF Extension: Домашняя страница Mail.Ru - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\wfmliotf.default\Extensions\homepage@mail.ru [2015-11-05]
FF Extension: Универсальный перевод для FireFox - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\wfmliotf.default\Extensions\translator@zoli.bod [2015-03-10] [not signed]
CHR Extension: (Quick Searcher) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\dbepggeogbaibhgnhhndojpepiihcmeb [2015-11-05]
OPR Extension: (Quick Searcher) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\dbepggeogbaibhgnhhndojpepiihcmeb [2015-11-05]
2015-11-05 17:16 - 2015-11-05 17:16 - 00002178 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk
2015-11-05 17:16 - 2015-11-05 17:16 - 00002178 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk
2015-11-05 17:16 - 2015-11-05 17:16 - 00000000 ____D C:\Users\User\AppData\Roaming\MailProducts
2015-11-05 17:16 - 2015-11-05 17:16 - 00000000 ____D C:\Users\User\AppData\LocalLow\Unity
2015-11-05 17:16 - 2015-11-05 17:16 - 00000000 ____D C:\Users\User\AppData\Local\Unity
2015-11-05 17:15 - 2015-11-05 17:17 - 00000000 ____D C:\Users\User\AppData\Local\Kometa
2015-11-05 17:15 - 2015-11-05 17:15 - 01625824 _____ (The OpenSSL Project, http://www.openssl.org/) C:\Windows\libeay32.dll
2015-11-05 17:15 - 2015-11-05 17:15 - 00608117 _____ C:\Windows\libcurl-4.dll
2015-11-05 17:15 - 2015-11-05 17:15 - 00073216 _____ C:\Windows\taskmgr.exe
2015-11-05 17:15 - 2015-11-05 17:15 - 00054784 _____ (MingW-W64 Project. All rights reserved.) C:\Windows\libwinpthread-1.dll
2015-11-05 17:15 - 2015-11-05 17:15 - 00002197 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk
2015-11-05 17:15 - 2015-11-05 17:15 - 00000000 ___SD C:\Windows\Sys
2015-11-05 17:15 - 2015-11-05 17:15 - 00000000 ____D C:\Windows\Azart
2015-11-05 17:14 - 2015-11-05 17:14 - 00000000 ____D C:\Users\User\AppData\Roaming\SPI
2015-11-05 17:14 - 2015-11-05 17:14 - 00000000 ____D C:\Users\User\AppData\Roaming\Browsers
2015-11-01 11:38 - 2015-11-01 11:38 - 00000000 ____D C:\Users\User\AppData\Roaming\wskhjcvholfsscyfvbx
2015-11-05 13:48 - 2015-11-05 17:41 - 00000000 ____D C:\Users\User\AppData\Roaming\Update
2015-10-13 20:01 - 2015-11-05 18:00 - 00000000 ____D C:\Users\User\AppData\Roaming\WindowsUpdate
EmptyTemp:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Garguha
      [РЕШЕНО] Два dwm.exe процесса один из которых скрытый майнер
      Автор Garguha
      Заметил что в простое происходит сильный нагрев и съедается около 20% процессора. После поисков проблем обнаружил 2 dwm.exe процесса один из которых и берёт на себя нагрузку. После прочтения нескольких статей форума не смог лично разобраться в решении проблемы.
      CollectionLog-2025.07.18-20.40.zip
    • Nelidoff
      [РЕШЕНО] Второй процесс dmw.exe греет процессор
      Автор Nelidoff
      На днях обнаружил что процессор нагревается в простое. При открытии диспетчера задач процессор остывает. Проверил ПК разными антивирусными программами, проблема сохраняется. Один антивирус начал все время показывать сообщение о блокировании исходящего трафика от файла C:\Windows\system32\dmw.exe .Через ProcessKiller увидел два процесса dmw.exe. При закрытии одного из них, того что с подробным адресом C:\Windows\system32\dmw.exe процессор остывает. Обновил windows но это ничего не дало. 
      CollectionLog-2025.07.15-16.59.zip
    • Sergant1983
      Появился процесс "Телефон Microsoft Windows" нагружающий процессор и оператику.
      Автор Sergant1983
      Добрый день.Стал замечать падение производительности ПК в играх. В программе Advanced SystemCare в мониторе производительности увидел процесс Телефон Microsoft Windows сильно грузящий оперативку и процессор.В диспетчере задач этого процесса нет,и при открытии диспетчера задач,заметил,что этот процесс может исчезнуть,но потом все равно выскакивает.При закрытии этото процесса вылетает Синий экран!
      CollectionLog-2025.06.16-00.50.zip
    • sfunlimit
      KSC - Доверенные процессы: Кнопка "Добавить" не активна
      Автор sfunlimit
      Добрый день, 
      Есть политика, Kaspersky Security Center для Windows Server - Вкладка "Дополнительные возможности" - Пункт "Доверенная зона" - во вкладке "Доверенные процессы" кнопка "добавить" не активна. В то же время, кнопка "добавить" во вкладке "Исключения" активна.
       
      В чем может быть проблема?


       
    • Suga
      [РЕШЕНО] NET:MALWARE.URL найден процесс, но не удален
      Автор Suga
      Решил проверить компьютер на вирусы тк какой-то процесс после запуска игр нагружал видеокарту в 100-90%. В диспетчере задач нагружал "хост окна консоли", теперь пропадает после запуска диспетчера. Как удалить "NET:MALWARE.URL"?

×
×
  • Создать...