Перейти к содержанию

calc.exe*32 которые жрут оперативку.


antisleepman

Рекомендуемые сообщения

Доброе время суток!
У меня появилось много процессов calc.exe*32, которые жрут оперативку.

hijackthis.log

CollectionLog-2016.01.11-18.56.zip

Изменено пользователем antisleepman
Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\1\appdata\roaming\update\explorer.exe','');
 QuarantineFile('C:\Users\1\appdata\roaming\c731200','');
 QuarantineFile('C:\Users\1\AppData\Roaming\WindowsUpdate\VGA.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\WindowsUpdate\MSupdate.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\WindowsUpdate\Live.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\WindowsUpdate\Updater.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\Windows Live\pvadwohjbe.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\themes\Edcqcu.exe','');
 DeleteFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\themes\Edcqcu.exe','32');
 DeleteFile('C:\Users\1\AppData\Roaming\Windows Live\pvadwohjbe.exe','32');
 DeleteFile('C:\Users\1\AppData\Roaming\WindowsUpdate\Updater.exe','32');
 DeleteFile('C:\Users\1\AppData\Roaming\WindowsUpdate\Live.exe','32');
 DeleteFile('C:\Users\1\AppData\Roaming\WindowsUpdate\MSupdate.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Edcqcu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Edcqcu','command');
 DeleteFile('C:\Users\1\AppData\Roaming\WindowsUpdate\VGA.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Manager','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Installer','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Live Installer','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Live','command');
 DeleteFile('C:\Users\1\appdata\roaming\c731200','32');
 DeleteFile('C:\Users\1\appdata\roaming\update\explorer.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • MaximLem
      От MaximLem
      Здравствуйте, хотел бы обратиться за помощью в связи с ситуацией с вирусами на компьютере. Честно говоря, не знаю точно после чего эти вирусы появились., находятся они в разделе "Разрешённые угрозы". Логи и скриншот прикрепил
    • seregalazerniy
      От seregalazerniy
      Есть ряд пользователей которые работают в 1С через RDP, на Win 10. Их периодически "выбивает" из сессии и происходит переподключение к серверу, бывает что на дню по 15 раз, а бывает и ни разу, в чем может быть причина?
      В логах пусто
      На данный момент порыскав по просторам интернета набрел на отключение в сервере автотюнинга
      netsh interface tcp set global autotuninglevel=disabled
      Не помогло
      Все компы подключены по локальной сети, и подключение происходит по ней. Впн не используем.
    • dext
      От dext
      вчера было все нормально, но сегодня вечером заметил что с пк что-то не так и через доктор веб проверил, было 3 вируса log4j, ещё вирус с торрентом и там ещё один вирус, почистил всё, и потом приходит уведомления от майкрософта дефендерс, я пытался удалить но, я тупо не нашел эти файлы, или удалил их, но пишет все равно эту фигню, и пк все равно не очень работает хорошо, 16 гб оперативы у пк, и я ещё заметил только что, что Log4j не удалился, помогите
       



    • KL FC Bot
      От KL FC Bot
      Мы уже писали о том, что делать, когда вам неожиданно приходит сообщение с одноразовым кодом для входа в принадлежащий вам аккаунт, который вы не запрашивали (спойлер: скорее всего, это попытка взлома, и пора задуматься о надежной защите всех своих устройств).
      Но иногда бывает и иначе: вам приходит сообщение с кодом двухфакторной аутентификации от некоего сервиса… вот только аккаунта в этом сервисе у вас нет и никогда не было. В этом посте поговорим о том, из-за чего так может получиться, а также о том, как на подобные сообщения следует реагировать.
      Откуда берутся SMS с кодами для входа в сервисы, в которых вы не регистрировались
      Есть два базовых объяснения того факта, что вам приходят одноразовые коды для входа в аккаунт, который вам совершенно точно не принадлежит.
      Первое, оно же наиболее вероятное объяснение: до того, как вы приобрели данный номер телефона, он уже кому-то принадлежал, но был отключен после прекращения контракта телеком-оператора с данным абонентом. Это называется «переиспользование телефонных номеров» — совершенно нормальная практика у поставщиков сотовой связи.
      Соответственно, предыдущий владелец номера когда-то действительно зарегистрировал на него аккаунт. И теперь либо он сам пытается в него войти, либо какой-то злоумышленник пытается этот аккаунт взломать. Попытки входа приводят к тому, что на номер телефона, который теперь уже принадлежит вам, приходят SMS с одноразовыми кодами.
      Второе объяснение: кто-то непреднамеренно пытается зарегистрировать учетную запись на ваш номер телефона. Возможно, этот кто-то «ошибся номером», то есть вводил другие цифры, но опечатался. А может быть, этот кто-то ввел случайный набор цифр, который, так уж вышло, оказался вашим номером телефона.
       
      View the full article
    • Hard07
      От Hard07
      Не удаляется касперским, удалил уже все приложения которые могли его принести, в том числе торрент, что делать?
×
×
  • Создать...