Здравствуйте.
На компьютере запускаются множественные процессы calc.exe*32, сразу же после открытия закрывается notepad, regedit.
Здравствуйте.
На компьютере запускаются множественные процессы calc.exe*32, сразу же после открытия закрывается notepad, regedit.
Уважаемый(ая) mihas1174, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте !!!
отключите антивирусную программу
Пофиксите в HijackThis: (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
Выполните скрипт в AVZ:Код:O4 - HKUS\S-1-5-21-4031209577-3383813487-309936107-1111\..\Run: [Windows Update Installer] \\srv\Пользователи\Тюков\AppData\Roaming\WindowsUpdate\Updater.exe (User 'Тюков')
После перезагрузки выполните скрипт:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\SysWOW64\calc.exe',''); QuarantineFile('\\srv\Пользователи\Тюков\AppData\Roaming\Microsoft\Windows\themes\Jkzizr.exe',''); QuarantineFile('\\srv\Пользователи\Тюков\AppData\Roaming\Windows Live\shiumtaask.exe',''); QuarantineFile('\\srv\Пользователи\Тюков\AppData\Roaming\WindowsUpdate\Live.exe',''); QuarantineFile('\\srv\Пользователи\Тюков\AppData\Roaming\WindowsUpdate\MSupdate.exe',''); QuarantineFile('\\srv\Пользователи\Тюков\AppData\Roaming\WindowsUpdate\Updater.exe',''); DeleteFile('\\srv\Пользователи\Тюков\AppData\Roaming\WindowsUpdate\Updater.exe','32'); DeleteFile('\\srv\Пользователи\Тюков\AppData\Roaming\WindowsUpdate\MSupdate.exe','32'); DeleteFile('\\srv\Пользователи\Тюков\AppData\Roaming\WindowsUpdate\Live.exe','32'); DeleteFile('\\srv\Пользователи\Тюков\AppData\Roaming\Windows Live\shiumtaask.exe','32'); DeleteFile('\\srv\Пользователи\Тюков\AppData\Roaming\Microsoft\Windows\themes\Jkzizr.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Jkzizr'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Последний раз редактировалось mrak74; 23.09.2015 в 10:21. Причина: uVS - нет. AVZ - да.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Готово.
Последний раз редактировалось mrak74; 23.09.2015 в 13:49. Причина: Карантин в теме.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Готово.
Выполните скрипт в uVS Как выполнить скрипт в uVS
Сделайте новый полный образ автозапуска uVS.Код:;uVS v3.86.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delref \\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\MICROSOFT\WINDOWS\THEMES\JKZIZR.EXE delref \\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\WINDOWSUPDATE\LIVE.EXE delref \\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\WINDOWS LIVE\SHIUMTAASK.EXE delref \\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\WINDOWSUPDATE\UPDATER.EXE delref HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HPPP&TS=1423292859&FROM=AMT&UID=ST500DM002-1BD142_W3T580FXXXXXW3T580FX zoo %SystemRoot%\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\HOMEPAGER\HOMEPAGER.EXE delall %SystemRoot%\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\HOMEPAGER\HOMEPAGER.EXE zoo %SystemRoot%\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\.MINECRAFT\RU-M.ORG.EXE zoo %SystemRoot%\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\ASPACKAGE\ASPACKAGE.EXE zoo %SystemRoot%\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\ASPACKAGE\ASSRV.EXE zoo %SystemRoot%\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\ASPACKAGE\UNINSTALL.EXE delall %SystemRoot%\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\ASPACKAGE\UNINSTALL.EXE delall %SystemRoot%\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\ASPACKAGE\ASSRV.EXE delall %SystemRoot%\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\ASPACKAGE\ASPACKAGE.EXE zoo %SystemRoot%\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\DOWNLOADS\$RECYCLE.BIN\$RVP36UB\MAXDOWNLOADER.EXE delall %SystemRoot%\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\DOWNLOADS\$RECYCLE.BIN\$RVP36UB\MAXDOWNLOADER.EXE deltmp restart czoo
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Окно добавления файла пишет что я исчерпал свой мегабайт.
Как удалить файлы которые я загружал ранее?
- - - - -Добавлено - - - - -
А.Разобрался.
Готово.
Что с проблемами ?
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
В процессах висит непонятный calc.exe*32, который растет, и может быть 150 мбайт.
Сделайте логи RSIT
+
сделайте лог MiniToolBox
calc.exe*32 - калькулятор Windows (сам файл чист / я проверил). Остается вопрос, "кто" плодит его процессы.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
готово.
Увы, не помогло.
Загрузите Process Monitor и запустите программу. Меню Filter -> Filter..., в строке Display entries matching these conditions: Path is впечатываете C:\Windows\SysWOW64\calc.exe then Include, далее Add, Apply и OK.
Когда в окне появятся записи, упоминающие файл c:\temp\cm7.exe, меню File -> Save..., выбираете Comma-Separated Values (CSV) и сохраняете. Полученный лог упакуйте в архив и во вложения.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Скачайте актуальную версию Universal Virus Sniffer и выполните в ней скрипт в uVS:Компьютер перезагрузится.Код:;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c ; C:\WINDOWS\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\ASPACKAGE\UNINSTALL.EXE addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC38506CA82 64 Win32/Adware.ConvertAd.YX.gen [ESET-NOD ; C:\WINDOWS\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\ASPACKAGE\ASPACKAGE.EXE ;------------------------autoscript--------------------------- zoo \\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\WINDOWS LIVE\SHIUMTAASK.EXE chklst delvir delall %SystemRoot%\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\ASPACKAGE\ASSRV.EXE del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.BAT del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\CHROME.BAT ;------------------------------------------------------------- deldir %SystemRoot%\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\ASPACKAGE delall \\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\WINDOWS LIVE\SHIUMTAASK.EXE delall \\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\WINDOWSUPDATE\LIVE.EXE deldir \\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\WINDOWSUPDATE regt 28 regt 29 deltmp czoo restart
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Вариант охоты с помощью Process Monitor давайте пока отложим. По сети червяк у вас гуляет, в таком случае лучше при появлении снова процессов calc.exe сразу же, не выгружая из памяти эти процессы, делайте полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.
WBR,
Vadim
Выполните такую процедуру.
Отключите до перезагрузки антивирус, скопируйте скрипт из окна "код" ниже в буфер обмена:
Запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".Код:;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c delref \\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\MICROSOFT\WINDOWS\THEMES\JKZIZR.EXE delref \\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\WINDOWS LIVE\SHIUMTAASK.EXE delref \\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\WINDOWSUPDATE\UPDATER.EXE delref \\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\WINDOWSUPDATE\LIVE.EXE restart
Компьютер перезагрузится.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Есть возможность сделать проверку на сервере с именем SRV?
WBR,
Vadim
Спасибо.
Удалили профиль, и создали заново локальный.
Проблема с Calc.exe исчезла.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- \\srv\пользователи\тюков\appdata\roaming\microsoft \windows\themes\jkzizr.exe - Worm.Win32.Ngrbot.atbj ( AVAST4: Win32:Malware-gen )
- \\srv\пользователи\тюков\appdata\roaming\windowsup date\live.exe - Trojan.Win32.Bublik.dwgc ( AVAST4: Win32:Malware-gen )
- \\srv\пользователи\тюков\appdata\roaming\windowsup date\msupdate.exe - Backdoor.Win32.Androm.ihrn ( AVAST4: Win32:Evo-gen [Susp] )
- \\srv\пользователи\тюков\appdata\roaming\windowsup date\updater.exe - Worm.Win32.Ngrbot.atbj ( AVAST4: Win32:Malware-gen )
Уважаемый(ая) mihas1174, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.