Перейти к содержанию
Правила раздела
Конкурс по разработке Telegram-бота Kaspersky Club

Огромное кол-во процессов "calc.exe"

Александр Щеберяков

Автор Александр Щеберяков
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Александр Щеберяков Новичок

Александр Щеберяков

Опубликовано
Опубликовано

В диспетчере задач 150 процессов из них большее количество "calc.exe", один из них нагружает процессор.

CollectionLog-2015.11.07-00.50.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

SetAVZGuardStatus(True);

 QuarantineFile('C:\Users\Home\appdata\roaming\windowsupdate\updater.exe','');

 QuarantineFile('C:\Users\Home\appdata\roaming\windowsupdate\msupdate.exe','');

 QuarantineFile('C:\Users\Home\appdata\roaming\windowsupdate\live.exe','');

 QuarantineFile('C:\Users\Home\appdata\roaming\update\explorer.exe','');

 QuarantineFile('C:\Users\Home\appdata\roaming\c731200','');

 QuarantineFile('C:\Users\Home\AppData\Roaming\WindowsUpdate\MSupdate.exe','');

 QuarantineFile('C:\Users\Home\AppData\Roaming\WindowsUpdate\Updater.exe','');

 QuarantineFile('C:\Users\Home\AppData\Roaming\Microsoft\Windows\themes\Kvkgkq.exe','');

 QuarantineFile('C:\Users\Home\AppData\Roaming\Windows Live\lpobrfyapo.exe','');

 QuarantineFile('C:\Users\Home\AppData\Roaming\WindowsUpdate\Live.exe','');

 DeleteFile('C:\Users\Home\AppData\Roaming\WindowsUpdate\Live.exe','32');

 DeleteFile('C:\Users\Home\AppData\Roaming\Windows Live\lpobrfyapo.exe','32');

 DeleteFile('C:\Users\Home\AppData\Roaming\Microsoft\Windows\themes\Kvkgkq.exe','32');

 DeleteFile('C:\Users\Home\AppData\Roaming\WindowsUpdate\Updater.exe','32');

 DeleteFile('C:\Users\Home\AppData\Roaming\WindowsUpdate\MSupdate.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Kvkgkq');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Live');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Kvkgkq','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Installer','command');

 DeleteFile('C:\Users\Home\appdata\roaming\c731200','32');

 DeleteFile('C:\Users\Home\appdata\roaming\update\explorer.exe','32');

 DeleteFile('C:\Users\Home\appdata\roaming\windowsupdate\live.exe','32');

 DeleteFile('C:\Users\Home\appdata\roaming\windowsupdate\msupdate.exe','32');

 DeleteFile('C:\Users\Home\appdata\roaming\windowsupdate\updater.exe','32');

ExecuteSysClean;

RebootWindows(true);

end. 


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Сделайте новые логи Автологгером. 

 

Ссылка на комментарий
Поделиться на другие сайты
Александр Щеберяков Новичок

Александр Щеберяков

Опубликовано
  • Автор
Опубликовано

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Home\appdata\roaming\windowsupdate\updater.exe','');
 QuarantineFile('C:\Users\Home\appdata\roaming\windowsupdate\msupdate.exe','');
 QuarantineFile('C:\Users\Home\appdata\roaming\windowsupdate\live.exe','');
 QuarantineFile('C:\Users\Home\appdata\roaming\update\explorer.exe','');
 QuarantineFile('C:\Users\Home\appdata\roaming\c731200','');
 QuarantineFile('C:\Users\Home\AppData\Roaming\WindowsUpdate\MSupdate.exe','');
 QuarantineFile('C:\Users\Home\AppData\Roaming\WindowsUpdate\Updater.exe','');
 QuarantineFile('C:\Users\Home\AppData\Roaming\Microsoft\Windows\themes\Kvkgkq.exe','');
 QuarantineFile('C:\Users\Home\AppData\Roaming\Windows Live\lpobrfyapo.exe','');
 QuarantineFile('C:\Users\Home\AppData\Roaming\WindowsUpdate\Live.exe','');
 DeleteFile('C:\Users\Home\AppData\Roaming\WindowsUpdate\Live.exe','32');
 DeleteFile('C:\Users\Home\AppData\Roaming\Windows Live\lpobrfyapo.exe','32');
 DeleteFile('C:\Users\Home\AppData\Roaming\Microsoft\Windows\themes\Kvkgkq.exe','32');
 DeleteFile('C:\Users\Home\AppData\Roaming\WindowsUpdate\Updater.exe','32');
 DeleteFile('C:\Users\Home\AppData\Roaming\WindowsUpdate\MSupdate.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Kvkgkq');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Live');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Kvkgkq','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Installer','command');
 DeleteFile('C:\Users\Home\appdata\roaming\c731200','32');
 DeleteFile('C:\Users\Home\appdata\roaming\update\explorer.exe','32');
 DeleteFile('C:\Users\Home\appdata\roaming\windowsupdate\live.exe','32');
 DeleteFile('C:\Users\Home\appdata\roaming\windowsupdate\msupdate.exe','32');
 DeleteFile('C:\Users\Home\appdata\roaming\windowsupdate\updater.exe','32');
ExecuteSysClean;
RebootWindows(true);
end. 
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)
 
 
Сделайте новые логи Автологгером. 

 

Здравствуйте,
 
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 
 
updater.exe,
explorer.exe,
c731200 - Worm.Win32.Ngrbot.auzm
msupdate.exe - Backdoor.Win32.Androm.ipvr
live.exe - Trojan.Win32.Bublik.dylw
Kvkgkq.exe - Worm.Win32.Ngrbot.atoo
lpobrfyapo.exe - Trojan.Win32.Bublik.dyls
 
Детектирование файлов будет добавлено в следующее обновление.
KLAN-3324146717

CollectionLog-2015.11.07-10.45.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
Александр Щеберяков Новичок

Александр Щеберяков

Опубликовано
  • Автор
Опубликовано

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png

 

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3287528768-3616734913-1310611280-1000\...\Run: [Windows Live] => C:\Users\Home\AppData\Roaming\Windows Live\lpobrfyapo.exe
HKU\S-1-5-21-3287528768-3616734913-1310611280-1000\...\Run: [Windows Update Installer] => C:\Users\Home\AppData\Roaming\WindowsUpdate\Updater.exe
HKU\S-1-5-21-3287528768-3616734913-1310611280-1000\...\Run: [Kvkgkq] => C:\Users\Home\AppData\Roaming\Microsoft\Windows\themes\Kvkgkq.exe
HKU\S-1-5-21-3287528768-3616734913-1310611280-1000\...\Winlogon: [Shell] C:\Windows\Explorer.exe [2872320 2010-11-21] (Microsoft Corporation) <==== ATTENTION
CHR Extension: (Щит безопасности KIS) - C:\Users\Home\AppData\Local\Google\Chrome\User Data\Default\Extensions\dgijhjpnccoobiidepennokjmlbebenk [2015-10-10]
2015-11-06 20:40 - 2015-11-07 10:29 - 00000000 ____D C:\Users\Home\AppData\Roaming\Update
2015-09-27 14:07 - 2015-09-27 14:13 - 00000008 __RSH C:\Users\Все пользователи\ntuser.pol
2015-09-27 14:07 - 2015-09-27 14:13 - 00000008 __RSH C:\ProgramData\ntuser.pol
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Kvkgkq]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Installer]
EmptyTemp:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
Ссылка на комментарий
Поделиться на другие сайты
Александр Щеберяков Новичок

Александр Щеберяков

Опубликовано
  • Автор
Опубликовано (изменено)

Что с проблемой?

Количество процессов нормализовалось, сейчас 49. Обратил внимание на странные процессы под названием igfxTray.exe, igfxEM.exe, igfxHK.exe раньше их не замечал.

Изменено пользователем Александр Щеберяков
Ссылка на комментарий
Поделиться на другие сайты
Александр Щеберяков Новичок

Александр Щеберяков

Опубликовано
  • Автор
Опубликовано

 

 

 

процессы под названием igfxTray.exe, igfxEM.exe, igfxHK.exe раньше их не замечал.

Это процессы от Intel. 

 

Тогда все отлично, спасибо огромное за помощь!

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
  1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе

Запустите DelFix

Обратите внимание
, что утилиты необходимо запускать от имени Администратора. По умолчанию в
Windows XP
так и есть. В
Windows Vista
и
Windows 7
администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
Запуск от имени Администратора
, при необходимости укажите пароль администратора и нажмите
Да


В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

Нажмите на кнопку Run


 

 


Выполните скрипт в AVZ при наличии доступа в интернет:

 



var

LogPath : string;

ScriptPath : string;

begin

 LogPath := GetAVZDirectory + 'log\avz_log.txt';

 if FileExists(LogPath) Then DeleteFile(LogPath);

 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 

begin

    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 

else begin

       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');

       exit;

      end;

  end;

 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)

end.

 

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 


 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Suga
      [РЕШЕНО] NET:MALWARE.URL найден процесс, но не удален
      Автор Suga
      Решил проверить компьютер на вирусы тк какой-то процесс после запуска игр нагружал видеокарту в 100-90%. В диспетчере задач нагружал "хост окна консоли", теперь пропадает после запуска диспетчера. Как удалить "NET:MALWARE.URL"?

    • EpaX
      Подозрение на майнер в процессе dwm.exe
      Автор EpaX
      Пару дней назад, при открытии диспетчера задач, обратила внимание, что загруженность процессора с 99% резко падает на стандартные 3-4%. Плюс замечено откровенное торможение в ресурсоемких процессах. Так же в процессах висит три dwm.exe.
      Утилиты cureIt и касперский не помогли.
      Логи прилагаю. Очень надеюсь на помощь.

      CollectionLog-2025.03.26-21.31.zip
    • sencity72
      [РЕШЕНО] вирус который маскируется под системный процесс Телефон Microsoft Windows
      Автор sencity72
      Добрый день, поймал вирус - силно загружает энергопотребление - ноутбук работает на максимальном охлождении постоянно - ранее небыло видно этого процесса в диспетчере задач, а теперь он на самом верху -  Телефон Microsoft Windows, при попытке отключить процесс - система уходит в синий экран
      CollectionLog-2025.04.25-19.02.zip
    • Сергей98352247
      Пропала мышь и появились новые процессы
      Автор Сергей98352247
      Пропала мышь, Kaspersky, появилось много новых процессов. Выключил компьютер, выдернул сетевой шнур, включил. Получил помимо упомянутого, отсутствие всех установленных программ и на вкладке недавние те которые были ранее, ноне все, плюс новые. ничего не открывал, выключил комп.
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в борьбе с шифровальщиками-вымогателями
    • EDRG
      [РЕШЕНО] dwm.exe - 2 процесса, один из них потребляет много ресурса ЦП и как-то взаимодействует с неизвестным ip
      Автор EDRG
      CollectionLog-2025.01.15-04.30.zipЗдравствуйте, столкнулся с проблемой дубля файла dwm.exe. Из особенностей - он полностью повторяет путь, по всей видимости, оригинального файла и они будто являются одной и той же программой. При включении диспетчера задач резко сбрасывает потребление ЦП до сотых процента. Проблема не нова, судя по всему, и для удобства вставлю ссылки на решения похожей проблемы. 
       
      Сам я мало что понимаю в кодах, описанных в этих темах, чтобы их на свой лад изменять. Поэтому не сочтите за наглость, но я прошу о помощи.

      Проверил компьютер двумя рекомендованными утилитами. Интересующий файл они не обнаружили (разве что dr web обнаружил им определённый троян di.exe, но, вроде, сам его удалил).
      Ниже прикрепляю дополнительный скрин из утилиты System informer (ранее, Process hacker 2).

       

       
×
×
  • Создать...