calc.exe*32 которые жрут оперативку.

11 января, 2016

Доброе время суток!
У меня появилось много процессов calc.exe*32, которые жрут оперативку.

hijackthis.log

CollectionLog-2016.01.11-18.56.zip

Изменено 11 января, 2016 пользователем antisleepman

11 января, 2016

Порядок оформления запроса о помощи

11 января, 2016

Порядок оформления запроса о помощи

изменил.

11 января, 2016

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\1\appdata\roaming\update\explorer.exe','');
 QuarantineFile('C:\Users\1\appdata\roaming\c731200','');
 QuarantineFile('C:\Users\1\AppData\Roaming\WindowsUpdate\VGA.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\WindowsUpdate\MSupdate.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\WindowsUpdate\Live.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\WindowsUpdate\Updater.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\Windows Live\pvadwohjbe.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\themes\Edcqcu.exe','');
 DeleteFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\themes\Edcqcu.exe','32');
 DeleteFile('C:\Users\1\AppData\Roaming\Windows Live\pvadwohjbe.exe','32');
 DeleteFile('C:\Users\1\AppData\Roaming\WindowsUpdate\Updater.exe','32');
 DeleteFile('C:\Users\1\AppData\Roaming\WindowsUpdate\Live.exe','32');
 DeleteFile('C:\Users\1\AppData\Roaming\WindowsUpdate\MSupdate.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Edcqcu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Edcqcu','command');
 DeleteFile('C:\Users\1\AppData\Roaming\WindowsUpdate\VGA.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Manager','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Installer','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Live Installer','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Live','command');
 DeleteFile('C:\Users\1\appdata\roaming\c731200','32');
 DeleteFile('C:\Users\1\appdata\roaming\update\explorer.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

calc.exe*32 которые жрут оперативку.

Рекомендуемые сообщения

antisleepman

Ссылка на комментарий

Поделиться на другие сайты

Mark D. Pearlstone

Ссылка на комментарий

Поделиться на другие сайты

antisleepman

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum