Решена Слишком много процессов calc.exe*32

[chuzik]

Всем привет. У меня возникла проблема: через чур много отрытых процессов Calc.exe*32, что сильно нагружают систему, к тому же, при подключении к ноуту флешку - все данные на ней удаляются автоматически.

 

[Кирилл]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

Компьютер перезагрузится.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[chuzik]

Вот логи

 

[Кирилл]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
(Microsoft Corporation) C:\Windows\SysWOW64\calc.exe
Zip: C:\Users\Valeria\AppData\Roaming\WindowsUpdate
HKU\S-1-5-21-2487896520-2659087769-4053641418-1000\...\Run: [Windows Live Installer] => C:\Users\Valeria\AppData\Roaming\WindowsUpdate\Live.exe [217088 2016-12-07] ()
HKU\S-1-5-21-2487896520-2659087769-4053641418-1000\...\Run: [Windows Live] => C:\Users\Valeria\AppData\Roaming\Windows Live\cvkelcblev.exe [173056 2016-09-15] ()
HKU\S-1-5-21-2487896520-2659087769-4053641418-1000\...\Run: [Windows Update Installer] => C:\Users\Valeria\AppData\Roaming\WindowsUpdate\Updater.exe
HKU\S-1-5-21-2487896520-2659087769-4053641418-1000\...\Run: [Microsoft Sync Center] => C:\Users\Valeria\AppData\Roaming\WindowsUpdate\mobsync.exe [1327616 2016-12-07] ()
HKU\S-1-5-21-2487896520-2659087769-4053641418-1000\...\Run: [Qfkmkc] => C:\Users\Valeria\AppData\Roaming\Microsoft\Windows\Qfkmkc.exe
HKU\S-1-5-21-2487896520-2659087769-4053641418-1000\...\Winlogon: [Shell] explorer.exe,C:\Users\Valeria\AppData\Roaming\WindowsUpdate\mobsync.exe <==== ATTENTION
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


После выполнения скрипта найдите на рабочем столе архивUpload.zip
[*]Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[chuzik]

Вот логи. Архив я отправил по той форме.

 

[Кирилл]

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Сообщите как проблемы.

 

[chuzik]

Вот отчёт после чистки

 

[Кирилл]

Проблема имеется еще?

 

[chuzik]

Проблема имеется еще?

Проблема всё ещё имеется

 

[Кирилл]

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.​
4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".​
5. Подробнее читайте в руководстве Как подготовить лог UVS.

 

[chuzik]

Логи

 

[Кирилл]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v3.87.8 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v388c
   breg
   sreg
   ; D:\ZONA DOWNLOADS\THE SIMS 3\SETUP.EXE
   addsgn A7679B1991AE1F245CE76E3821389B40F962327C7605F7AD193C3A5434498EB3CB1063A8C1BD3BF6D47F6C8EAFE9B6120535178D661AE544E4DBE42FA3F91217 64 Trojan.BtcMine.793 [DrWeb]
   
   zoo D:\ZONA DOWNLOADS\THE SIMS 3\SETUP.EXE
   bl 332F1512504F6D29AE7E1FB78175FDB7 3723932
   ; C:\USERS\VALERIA\APPDATA\ROAMING\WINDOWSUPDATE\MOBSYNC.EXE
   addsgn 1AD1F09A55835A8CF42B627DA804448E61AEE8FD498F37F3C9E7D53714F27D7FF1E032DCE6DED96D23777514B69D8A0D19FBF8F99D5176DB4953B42C16ED65F8 64 HEUR:Trojan.Win32.Generic [Kaspersky]
   
   zoo %SystemDrive%\USERS\VALERIA\APPDATA\ROAMING\WINDOWSUPDATE\MOBSYNC.EXE
   bl 0A8734A1DDE847392C91913E3DF00E66 1327616
   ; C:\USERS\VALERIA\DOWNLOADS\DAEMON TOOLS ULTRA 4.0.1.0425 REPACK BY D!AKOV\DTULTRA-4.0.1.0425.EXE
   addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6B96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF26609FA2E20FD0E279AB04625D4FC108506CA7A 64 Trojan.StartPage1.23046 [DrWeb]
   
   zoo %SystemDrive%\USERS\VALERIA\DOWNLOADS\DAEMON TOOLS ULTRA 4.0.1.0425 REPACK BY D!AKOV\DTULTRA-4.0.1.0425.EXE
   bl 435BB8365869E2875D4650B22D8C8AA6 21080720
   delref %SystemDrive%\USERS\VALERIA\APPDATA\ROAMING\MICROSOFT\WINDOWS\QFKMKC.EXE
   delref %SystemDrive%\USERS\VALERIA\APPDATA\ROAMING\WINDOWSUPDATE\UPDATER.EXE
   czoo
   chklst
   delvir
   deltmp
   areg
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
8. Подробнее читайте в этом руководстве.

Повторите лог UVS

 

[chuzik]

Архив отправил по почте

 

[Кирилл]

А остальное где?

 

[chuzik]

Извиняюсь) Вот логи

 

[Кирилл]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v3.87.8 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v388c
   breg
   sreg
   ; C:\USERS\VALERIA\APPDATA\ROAMING\WINDOWSUPDATE\LIVE.EXE
   zoo %SystemDrive%\USERS\VALERIA\APPDATA\ROAMING\WINDOWSUPDATE\LIVE.EXE
   bl CEB4F730EACE56FEFDEE039E9105FC17 217088
   addsgn 1AD1F09A55835A8CF42B627DA804448E61AEE8FD498F37F3C9E7D53714F27D7FF1E032DCE6DED96D23777514B69D8A0D19FBF8F99D5176DB4953B42C16ED65F8 64 HEUR:Trojan.Win32.Generic [Kaspersky]
   ; C:\USERS\VALERIA\APPDATA\ROAMING\IDENTITIES\EFKMKQ.EXE
   addsgn 1AEC2E9A5583348CF42B254E3143FE86C9A2CF36DA714274D348B0AC075D0C44AB523BDF7BAC150CD108C164CE53B57238226037AB52F5D31472D4788406567D 64 BackDoor.Andromeda.662 [DrWeb]
   zoo %SystemDrive%\USERS\VALERIA\APPDATA\ROAMING\IDENTITIES\EFKMKQ.EXE
   bl A09688A205BB67EFFE3D756BD7072BB9 226304
   ; C:\USERS\VALERIA\APPDATA\ROAMING\WINDOWS LIVE\CVKELCBLEV.EXE
   addsgn 1A89369A55835A8CF42BFB3A884BFE01ACF7007DF4F2943589022CBB36D99E8CC81F4EF31A559D492B10E29039112FF50298F8145AA5F70C4B78DB68F7602D0C 64 Trojan.Inject1.56622 [DrWeb]
   zoo %SystemDrive%\USERS\VALERIA\APPDATA\ROAMING\WINDOWS LIVE\CVKELCBLEV.EXE
   bl 31638881AF1E99C8B3F77C1132A6D63B 173056
   ; C:\USERS\VALERIA\APPDATA\LOCAL\TEMP\ADOBE\READER_SL.EXE
   zoo %SystemDrive%\USERS\VALERIA\APPDATA\LOCAL\TEMP\ADOBE\READER_SL.EXE
   czoo
   chklst
   delvir
   deltmp
   areg
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
8. Подробнее читайте в этом руководстве.

Сделайте свежий лог UVS.

 

[chuzik]

Отправил архив по той форме. Вот логи

 

[Кирилл]

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Файл-Деинсталлировать.
• Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Подробнее читайте в этом разделе форума поддержки утилиты.

Выполните рекомендации после лечения.


Какие проблемы есть еще?

 

[chuzik]

Вот логи.
Из проблем: при подключении флешки, её данные автоматически удаляются, безо всяких подтверждений и т.п. Данная проблема появилась непосредственно вместе с кучкой этих процессов. Кстати, процессы с кальком исчезли

 

[Кирилл]

Подключите флэшки и скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.