Решена Слишком много процессов calc.exe*32

  • Автор темы Автор темы chuzik
  • Дата начала Дата начала
Статус
В этой теме нельзя размещать новые ответы.

chuzik

Новый пользователь
Сообщения
12
Реакции
0
Всем привет. У меня возникла проблема: через чур много отрытых процессов Calc.exe*32, что сильно нагружают систему, к тому же, при подключении к ноуту флешку - все данные на ней удаляются автоматически.
 

Вложения

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

Компьютер перезагрузится.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
(Microsoft Corporation) C:\Windows\SysWOW64\calc.exe
Zip: C:\Users\Valeria\AppData\Roaming\WindowsUpdate
HKU\S-1-5-21-2487896520-2659087769-4053641418-1000\...\Run: [Windows Live Installer] => C:\Users\Valeria\AppData\Roaming\WindowsUpdate\Live.exe [217088 2016-12-07] ()
HKU\S-1-5-21-2487896520-2659087769-4053641418-1000\...\Run: [Windows Live] => C:\Users\Valeria\AppData\Roaming\Windows Live\cvkelcblev.exe [173056 2016-09-15] ()
HKU\S-1-5-21-2487896520-2659087769-4053641418-1000\...\Run: [Windows Update Installer] => C:\Users\Valeria\AppData\Roaming\WindowsUpdate\Updater.exe
HKU\S-1-5-21-2487896520-2659087769-4053641418-1000\...\Run: [Microsoft Sync Center] => C:\Users\Valeria\AppData\Roaming\WindowsUpdate\mobsync.exe [1327616 2016-12-07] ()
HKU\S-1-5-21-2487896520-2659087769-4053641418-1000\...\Run: [Qfkmkc] => C:\Users\Valeria\AppData\Roaming\Microsoft\Windows\Qfkmkc.exe
HKU\S-1-5-21-2487896520-2659087769-4053641418-1000\...\Winlogon: [Shell] explorer.exe,C:\Users\Valeria\AppData\Roaming\WindowsUpdate\mobsync.exe <==== ATTENTION
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


После выполнения скрипта найдите на рабочем столе архивUpload.zip
[*]Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.





  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Вот логи. Архив я отправил по той форме.
 

Вложения

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Сообщите как проблемы.
 
Проблема имеется еще?
 
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.
 
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.87.8 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v388c
    breg
    sreg
    ; D:\ZONA DOWNLOADS\THE SIMS 3\SETUP.EXE
    addsgn A7679B1991AE1F245CE76E3821389B40F962327C7605F7AD193C3A5434498EB3CB1063A8C1BD3BF6D47F6C8EAFE9B6120535178D661AE544E4DBE42FA3F91217 64 Trojan.BtcMine.793 [DrWeb]
    
    zoo D:\ZONA DOWNLOADS\THE SIMS 3\SETUP.EXE
    bl 332F1512504F6D29AE7E1FB78175FDB7 3723932
    ; C:\USERS\VALERIA\APPDATA\ROAMING\WINDOWSUPDATE\MOBSYNC.EXE
    addsgn 1AD1F09A55835A8CF42B627DA804448E61AEE8FD498F37F3C9E7D53714F27D7FF1E032DCE6DED96D23777514B69D8A0D19FBF8F99D5176DB4953B42C16ED65F8 64 HEUR:Trojan.Win32.Generic [Kaspersky]
    
    zoo %SystemDrive%\USERS\VALERIA\APPDATA\ROAMING\WINDOWSUPDATE\MOBSYNC.EXE
    bl 0A8734A1DDE847392C91913E3DF00E66 1327616
    ; C:\USERS\VALERIA\DOWNLOADS\DAEMON TOOLS ULTRA 4.0.1.0425 REPACK BY D!AKOV\DTULTRA-4.0.1.0425.EXE
    addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6B96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF26609FA2E20FD0E279AB04625D4FC108506CA7A 64 Trojan.StartPage1.23046 [DrWeb]
    
    zoo %SystemDrive%\USERS\VALERIA\DOWNLOADS\DAEMON TOOLS ULTRA 4.0.1.0425 REPACK BY D!AKOV\DTULTRA-4.0.1.0425.EXE
    bl 435BB8365869E2875D4650B22D8C8AA6 21080720
    delref %SystemDrive%\USERS\VALERIA\APPDATA\ROAMING\MICROSOFT\WINDOWS\QFKMKC.EXE
    delref %SystemDrive%\USERS\VALERIA\APPDATA\ROAMING\WINDOWSUPDATE\UPDATER.EXE
    czoo
    chklst
    delvir
    deltmp
    areg
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

Повторите лог UVS
 
А остальное где?
 
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.87.8 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v388c
    breg
    sreg
    ; C:\USERS\VALERIA\APPDATA\ROAMING\WINDOWSUPDATE\LIVE.EXE
    zoo %SystemDrive%\USERS\VALERIA\APPDATA\ROAMING\WINDOWSUPDATE\LIVE.EXE
    bl CEB4F730EACE56FEFDEE039E9105FC17 217088
    addsgn 1AD1F09A55835A8CF42B627DA804448E61AEE8FD498F37F3C9E7D53714F27D7FF1E032DCE6DED96D23777514B69D8A0D19FBF8F99D5176DB4953B42C16ED65F8 64 HEUR:Trojan.Win32.Generic [Kaspersky]
    ; C:\USERS\VALERIA\APPDATA\ROAMING\IDENTITIES\EFKMKQ.EXE
    addsgn 1AEC2E9A5583348CF42B254E3143FE86C9A2CF36DA714274D348B0AC075D0C44AB523BDF7BAC150CD108C164CE53B57238226037AB52F5D31472D4788406567D 64 BackDoor.Andromeda.662 [DrWeb]
    zoo %SystemDrive%\USERS\VALERIA\APPDATA\ROAMING\IDENTITIES\EFKMKQ.EXE
    bl A09688A205BB67EFFE3D756BD7072BB9 226304
    ; C:\USERS\VALERIA\APPDATA\ROAMING\WINDOWS LIVE\CVKELCBLEV.EXE
    addsgn 1A89369A55835A8CF42BFB3A884BFE01ACF7007DF4F2943589022CBB36D99E8CC81F4EF31A559D492B10E29039112FF50298F8145AA5F70C4B78DB68F7602D0C 64 Trojan.Inject1.56622 [DrWeb]
    zoo %SystemDrive%\USERS\VALERIA\APPDATA\ROAMING\WINDOWS LIVE\CVKELCBLEV.EXE
    bl 31638881AF1E99C8B3F77C1132A6D63B 173056
    ; C:\USERS\VALERIA\APPDATA\LOCAL\TEMP\ADOBE\READER_SL.EXE
    zoo %SystemDrive%\USERS\VALERIA\APPDATA\LOCAL\TEMP\ADOBE\READER_SL.EXE
    czoo
    chklst
    delvir
    deltmp
    areg
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

Сделайте свежий лог UVS.
 
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Файл-Деинсталлировать.
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.

Выполните рекомендации после лечения.


Какие проблемы есть еще?
 
Вот логи.
Из проблем: при подключении флешки, её данные автоматически удаляются, безо всяких подтверждений и т.п. Данная проблема появилась непосредственно вместе с кучкой этих процессов. Кстати, процессы с кальком исчезли
 

Вложения

Последнее редактирование:
Подключите флэшки и скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу