Показано с 1 по 19 из 19.

Множественные процессы calc.exe*32 [Trojan.Win32.Bublik.dwgc, Backdoor.Win32.Androm.ihrn ] (заявка № 190375)

  1. #1
    Junior Member Репутация
    Регистрация
    23.09.2015
    Сообщений
    8
    Вес репутации
    9

    Множественные процессы calc.exe*32 [Trojan.Win32.Bublik.dwgc, Backdoor.Win32.Androm.ihrn ]

    Здравствуйте.
    На компьютере запускаются множественные процессы calc.exe*32, сразу же после открытия закрывается notepad, regedit.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) mihas1174, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    Здравствуйте !!!

    отключите антивирусную программу

    Пофиксите в HijackThis: (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
    Код:
    O4 - HKUS\S-1-5-21-4031209577-3383813487-309936107-1111\..\Run: [Windows Update Installer] \\srv\Пользователи\Тюков\AppData\Roaming\WindowsUpdate\Updater.exe (User 'Тюков')
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      QuarantineFile('C:\Windows\SysWOW64\calc.exe','');
      QuarantineFile('\\srv\Пользователи\Тюков\AppData\Roaming\Microsoft\Windows\themes\Jkzizr.exe','');
      QuarantineFile('\\srv\Пользователи\Тюков\AppData\Roaming\Windows Live\shiumtaask.exe','');
      QuarantineFile('\\srv\Пользователи\Тюков\AppData\Roaming\WindowsUpdate\Live.exe','');
      QuarantineFile('\\srv\Пользователи\Тюков\AppData\Roaming\WindowsUpdate\MSupdate.exe','');
      QuarantineFile('\\srv\Пользователи\Тюков\AppData\Roaming\WindowsUpdate\Updater.exe','');
      DeleteFile('\\srv\Пользователи\Тюков\AppData\Roaming\WindowsUpdate\Updater.exe','32');
      DeleteFile('\\srv\Пользователи\Тюков\AppData\Roaming\WindowsUpdate\MSupdate.exe','32');
      DeleteFile('\\srv\Пользователи\Тюков\AppData\Roaming\WindowsUpdate\Live.exe','32');
      DeleteFile('\\srv\Пользователи\Тюков\AppData\Roaming\Windows Live\shiumtaask.exe','32');
      DeleteFile('\\srv\Пользователи\Тюков\AppData\Roaming\Microsoft\Windows\themes\Jkzizr.exe','32');
      RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
      RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager');
      RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer');
      RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');
      RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Jkzizr');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки выполните скрипт:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
    Последний раз редактировалось mrak74; 23.09.2015 в 10:21. Причина: uVS - нет. AVZ - да.
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  5. #4
    Junior Member Репутация
    Регистрация
    23.09.2015
    Сообщений
    8
    Вес репутации
    9
    Готово.
    Последний раз редактировалось mrak74; 23.09.2015 в 13:49. Причина: Карантин в теме.

  6. #5
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  7. #6
    Junior Member Репутация
    Регистрация
    23.09.2015
    Сообщений
    8
    Вес репутации
    9
    Готово.

  8. #7
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    Выполните скрипт в uVS Как выполнить скрипт в uVS
    Код:
    ;uVS v3.86.4 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    OFFSGNSAVE
    delref \\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\MICROSOFT\WINDOWS\THEMES\JKZIZR.EXE
    delref \\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\WINDOWSUPDATE\LIVE.EXE
    delref \\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\WINDOWS LIVE\SHIUMTAASK.EXE
    delref \\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\WINDOWSUPDATE\UPDATER.EXE
    delref HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HPPP&TS=1423292859&FROM=AMT&UID=ST500DM002-1BD142_W3T580FXXXXXW3T580FX
    zoo %SystemRoot%\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\HOMEPAGER\HOMEPAGER.EXE
    delall %SystemRoot%\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\HOMEPAGER\HOMEPAGER.EXE
    zoo %SystemRoot%\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\.MINECRAFT\RU-M.ORG.EXE
    zoo %SystemRoot%\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\ASPACKAGE\ASPACKAGE.EXE
    zoo %SystemRoot%\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\ASPACKAGE\ASSRV.EXE
    zoo %SystemRoot%\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\ASPACKAGE\UNINSTALL.EXE
    delall %SystemRoot%\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\ASPACKAGE\UNINSTALL.EXE
    delall %SystemRoot%\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\ASPACKAGE\ASSRV.EXE
    delall %SystemRoot%\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\ASPACKAGE\ASPACKAGE.EXE
    zoo %SystemRoot%\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\DOWNLOADS\$RECYCLE.BIN\$RVP36UB\MAXDOWNLOADER.EXE
    delall %SystemRoot%\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\DOWNLOADS\$RECYCLE.BIN\$RVP36UB\MAXDOWNLOADER.EXE
    deltmp
    restart
    czoo
    Сделайте новый полный образ автозапуска uVS.
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  9. #8
    Junior Member Репутация
    Регистрация
    23.09.2015
    Сообщений
    8
    Вес репутации
    9
    Окно добавления файла пишет что я исчерпал свой мегабайт.
    Как удалить файлы которые я загружал ранее?

    - - - - -Добавлено - - - - -

    А.Разобрался.
    Готово.
    Вложения Вложения

  10. #9
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    Что с проблемами ?
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  11. #10
    Junior Member Репутация
    Регистрация
    23.09.2015
    Сообщений
    8
    Вес репутации
    9
    В процессах висит непонятный calc.exe*32, который растет, и может быть 150 мбайт.

  12. #11
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    Сделайте логи RSIT

    +
    сделайте лог MiniToolBox

    calc.exe*32 - калькулятор Windows (сам файл чист / я проверил). Остается вопрос, "кто" плодит его процессы.
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  13. #12
    Junior Member Репутация
    Регистрация
    23.09.2015
    Сообщений
    8
    Вес репутации
    9
    готово.
    Вложения Вложения
    • Тип файла: 7z MTB.7z (3.8 Кб, 1 просмотров)
    • Тип файла: 7z rsit.7z (14.6 Кб, 2 просмотров)

  14. #13
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    Увы, не помогло.

    Загрузите Process Monitor и запустите программу. Меню Filter -> Filter..., в строке Display entries matching these conditions: Path is впечатываете C:\Windows\SysWOW64\calc.exe then Include, далее Add, Apply и OK.
    Когда в окне появятся записи, упоминающие файл c:\temp\cm7.exe, меню File -> Save..., выбираете Comma-Separated Values (CSV) и сохраняете. Полученный лог упакуйте в архив и во вложения.
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,850
    Вес репутации
    843
    Скачайте актуальную версию Universal Virus Sniffer и выполните в ней скрипт в uVS:
    Код:
    ;uVS v3.86.5 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    ; C:\WINDOWS\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\ASPACKAGE\UNINSTALL.EXE
    addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC38506CA82 64 Win32/Adware.ConvertAd.YX.gen [ESET-NOD
    
    ; C:\WINDOWS\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\ASPACKAGE\ASPACKAGE.EXE
    ;------------------------autoscript---------------------------
    zoo \\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\WINDOWS LIVE\SHIUMTAASK.EXE
    chklst
    delvir
    
    delall %SystemRoot%\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\ASPACKAGE\ASSRV.EXE
    del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.BAT
    del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\CHROME.BAT
    ;-------------------------------------------------------------
    deldir %SystemRoot%\CSC\V2.0.6\NAMESPACE\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\ASPACKAGE
    delall \\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\WINDOWS LIVE\SHIUMTAASK.EXE
    delall \\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\WINDOWSUPDATE\LIVE.EXE
    deldir \\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\WINDOWSUPDATE
    regt 28
    regt 29
    deltmp
    czoo
    restart
    Компьютер перезагрузится.

    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

    Вариант охоты с помощью Process Monitor давайте пока отложим. По сети червяк у вас гуляет, в таком случае лучше при появлении снова процессов calc.exe сразу же, не выгружая из памяти эти процессы, делайте полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.
    WBR,
    Vadim

  16. Это понравилось:


  17. #15
    Junior Member Репутация
    Регистрация
    23.09.2015
    Сообщений
    8
    Вес репутации
    9

  18. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,850
    Вес репутации
    843
    Выполните такую процедуру.

    Отключите до перезагрузки антивирус, скопируйте скрипт из окна "код" ниже в буфер обмена:
    Код:
    ;uVS v3.86.5 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    delref \\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\MICROSOFT\WINDOWS\THEMES\JKZIZR.EXE
    delref \\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\WINDOWS LIVE\SHIUMTAASK.EXE
    delref \\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\WINDOWSUPDATE\UPDATER.EXE
    delref \\SRV\ПОЛЬЗОВАТЕЛИ\ТЮКОВ\APPDATA\ROAMING\WINDOWSUPDATE\LIVE.EXE
    restart
    Запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
    Компьютер перезагрузится.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

    Есть возможность сделать проверку на сервере с именем SRV?
    WBR,
    Vadim

  19. #17
    Junior Member Репутация
    Регистрация
    23.09.2015
    Сообщений
    8
    Вес репутации
    9
    Спасибо.
    Удалили профиль, и создали заново локальный.
    Проблема с Calc.exe исчезла.

  20. #18
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  21. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. \\srv\пользователи\тюков\appdata\roaming\microsoft \windows\themes\jkzizr.exe - Worm.Win32.Ngrbot.atbj ( AVAST4: Win32:Malware-gen )
      2. \\srv\пользователи\тюков\appdata\roaming\windowsup date\live.exe - Trojan.Win32.Bublik.dwgc ( AVAST4: Win32:Malware-gen )
      3. \\srv\пользователи\тюков\appdata\roaming\windowsup date\msupdate.exe - Backdoor.Win32.Androm.ihrn ( AVAST4: Win32:Evo-gen [Susp] )
      4. \\srv\пользователи\тюков\appdata\roaming\windowsup date\updater.exe - Worm.Win32.Ngrbot.atbj ( AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) mihas1174, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Множественные процессы calc.exe *32
      От Anzor333 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 24.03.2015, 22:18
    2. Множественные процессы IEXPLORE.EXE (заявка №31340)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 05.11.2010, 06:00
    3. Множественные процессы IE
      От Зуля в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 06.09.2010, 00:00
    4. Ответов: 12
      Последнее сообщение: 15.10.2009, 22:25
    5. Ответов: 6
      Последнее сообщение: 18.07.2007, 22:20

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01221 seconds with 17 queries