Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.89/9: Рейтинг темы: голосов - 9, средняя оценка - 4.89
tunec
0 / 0 / 0
Регистрация: 02.03.2016
Сообщений: 14
1

Висят процессы mspaint.exe, notepad.exe, calc.exe

13.06.2017, 07:33. Просмотров 1777. Ответов 17
Метки нет (Все метки)

Добрый день!
При включение компьютера сразу висят процессы mspaint.exe, notepad.exe, calc.exe. Так же закрывается блокнот.
Выкладываю лог.
Заранее благодарю.
0
Вложения
Тип файла: zip CollectionLog-2017.06.13-11.31.zip (72.9 Кб, 2 просмотров)
QA
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
13.06.2017, 07:33
Ответы с готовыми решениями:

Зараженные процессы calc.exe и mspaint.exe
Здравствуйте! В процессах висят: calc.exe и mspaint.exe. Часть вредоносных *.exe-файлов обнаружил...

Появились процессы calc.exe и mspaint.exe
Доброго времени суток)! В процессах висят: calc.exe и mspaint.exe. Кроме того, на флешке...

вирус calc.exe*32 notepad.exe*32 cmd.exe cannhost.exe
Здравствуйте. помогите решить проблему. При включении компьютера висят процессы calc.exe*32 ...

Нужен совет! Большое количество calc.exe*32 и mspaint.exe*32!
Стал замечать подтормаживания,залез в ДЗ и увидел некое количество висящих calc.exe*32 и...

Calc.exe и mspaint.exe в ДЗ
Словил где-то вирус, обнаружил в диспетчере задач 200 процесов calc.exe, которые жрали почти всю...

17
Sandor
Вирусоборец
14530 / 12182 / 2010
Регистрация: 08.10.2012
Сообщений: 49,514
13.06.2017, 10:22 2
Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя tunec. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
  1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\User\Application Data\WindowsUpdate\Live.exe','');
     QuarantineFile('C:\Documents and Settings\User\Application Data\WindowsUpdate\Updater.exe','');
     QuarantineFile('C:\Documents and Settings\User\Application Data\Microsoft\Windows\themes\Eddcdg.exe','');
     QuarantineFile('C:\Documents and Settings\User\Application Data\WindowsUpdate\System.exe','');
     QuarantineFile('C:\Documents and Settings\User\Application Data\WindowsUpdate\mobsync.exe','');
     QuarantineFile('C:\Documents and Settings\User\Application Data\WindowsUpdate\VGA.exe','');
     QuarantineFile('C:\Documents and Settings\User\Application Data\Windows Live\umqwufqmrb.exe','');
     DeleteFile('C:\Documents and Settings\User\Application Data\Windows Live\umqwufqmrb.exe','32');
     DeleteFile('C:\Documents and Settings\User\Application Data\WindowsUpdate\VGA.exe','32');
     DeleteFile('C:\Documents and Settings\User\Application Data\WindowsUpdate\mobsync.exe','32');
     DeleteFile('C:\Documents and Settings\User\Application Data\WindowsUpdate\System.exe','32');
     DeleteFile('C:\Documents and Settings\User\Application Data\Microsoft\Windows\themes\Eddcdg.exe','32');
     DeleteFile('C:\Documents and Settings\User\Application Data\WindowsUpdate\Updater.exe','32');
     DeleteFile('C:\Documents and Settings\User\Application Data\WindowsUpdate\Live.exe','32');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-1085031214-261903793-1177238915-1003\Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-1085031214-261903793-1177238915-1003\Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-1085031214-261903793-1177238915-1003\Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Sync Center');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-1085031214-261903793-1177238915-1003\Software\Microsoft\Windows\CurrentVersion\Run','Windows System Installer');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-1085031214-261903793-1177238915-1003\Software\Microsoft\Windows\CurrentVersion\Run','Eddcdg');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-1085031214-261903793-1177238915-1003\Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-1085031214-261903793-1177238915-1003\Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки, выполните такой скрипт:

    Код
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
  2. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
    К сообщению прикреплять файл quarantine.zip не нужно!


  3. Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
0
tunec
0 / 0 / 0
Регистрация: 02.03.2016
Сообщений: 14
13.06.2017, 11:16  [ТС] 3
Новый лог.
0
Вложения
Тип файла: zip CollectionLog-2017.06.13-15.15.zip (44.1 Кб, 2 просмотров)
Sandor
Вирусоборец
14530 / 12182 / 2010
Регистрация: 08.10.2012
Сообщений: 49,514
13.06.2017, 11:43 4
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.
0
13.06.2017, 11:43
tunec
0 / 0 / 0
Регистрация: 02.03.2016
Сообщений: 14
13.06.2017, 11:53  [ТС] 5
Лог
0
Вложения
Тип файла: rar Рабочий стол.rar (20.4 Кб, 3 просмотров)
Sandor
Вирусоборец
14530 / 12182 / 2010
Регистрация: 08.10.2012
Сообщений: 49,514
13.06.2017, 12:20 6
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-1085031214-261903793-1177238915-1003\...\Winlogon: [Shell] C:\Documents and Settings\User\Application Data\WindowsUpdate\mobsync.exe,C:\Documents and Settings\User\Application Data\WindowsUpdate\VGA.exe,explorer.exe,C:\Documents and Settings\User\Application Data\WindowsUpdate\MSupdate.exe <==== ATTENTION
    2017-06-13 09:56 - 2017-06-13 15:03 - 00000000 ____D C:\Documents and Settings\User\Application Data\WindowsUpdate
    2017-06-13 09:56 - 2017-06-13 11:19 - 00344064 _____ (www.winitor.com) C:\Documents and Settings\User\Application Data\c731200
    2017-06-09 14:54 - 2017-06-09 14:54 - 00000000 ____D C:\Documents and Settings\Admin\Application Data\IObit
    2017-06-09 14:54 - 2017-06-09 14:54 - 00000000 ____D C:\Documents and Settings\Admin\AppData\LocalLow\IObit
    2017-06-09 14:21 - 2017-06-09 14:24 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\ProductData
    2017-06-09 14:21 - 2017-06-09 14:22 - 00000000 ____D C:\Documents and Settings\User\Application Data\IObit
    2017-06-09 14:21 - 2017-06-09 14:21 - 00000000 ____D C:\Program Files\Common Files\IObit
    2017-05-16 13:54 - 2017-06-09 13:55 - 00000402 _____ C:\WINDOWS\Tasks\{3B4AE475-05CD-7AD2-B8B6-AFA3FCF50C44}.job
    Task: C:\WINDOWS\Tasks\{3B4AE475-05CD-7AD2-B8B6-AFA3FCF50C44}.job => 
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.


Сообщите что с проблемой.
1
tunec
0 / 0 / 0
Регистрация: 02.03.2016
Сообщений: 14
13.06.2017, 12:36  [ТС] 7
получилось, благодарю
0
Sandor
Вирусоборец
14530 / 12182 / 2010
Регистрация: 08.10.2012
Сообщений: 49,514
13.06.2017, 12:39 8
Цитата Сообщение от Sandor Посмотреть сообщение
Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Это, пожалуйста.
0
tunec
0 / 0 / 0
Регистрация: 02.03.2016
Сообщений: 14
13.06.2017, 12:41  [ТС] 9
уже убрал его, пардон! ПК находится на торговой точке и систему заморозил....
0
Sandor
Вирусоборец
14530 / 12182 / 2010
Регистрация: 08.10.2012
Сообщений: 49,514
13.06.2017, 12:44 10
Цитата Сообщение от tunec Посмотреть сообщение
систему заморозил
Что это значит?
Еще будут финальные рекомендации.
0
tunec
0 / 0 / 0
Регистрация: 02.03.2016
Сообщений: 14
13.06.2017, 12:45  [ТС] 11
система находится под DeepFreez, систему и заморозил, чтоб кривыми ручонками не лезли продавцы
какие?
0
Sandor
Вирусоборец
14530 / 12182 / 2010
Регистрация: 08.10.2012
Сообщений: 49,514
13.06.2017, 12:46 12
Раз Вы удалили отчет фикса, повторите еще раз логи FRST.txt и Addition.txt
0
tunec
0 / 0 / 0
Регистрация: 02.03.2016
Сообщений: 14
13.06.2017, 13:01  [ТС] 13
Вместе с Shortcut отправляю архив
0
Вложения
Тип файла: rar Рабочий стол.rar (20.1 Кб, 1 просмотров)
Sandor
Вирусоборец
14530 / 12182 / 2010
Регистрация: 08.10.2012
Сообщений: 49,514
13.06.2017, 13:06 14
Порядок. В завершение:

1.
Все утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
0
tunec
0 / 0 / 0
Регистрация: 02.03.2016
Сообщений: 14
13.06.2017, 13:18  [ТС] 15
Вот
0
Вложения
Тип файла: txt SecurityCheck.txt (6.5 Кб, 3 просмотров)
Sandor
Вирусоборец
14530 / 12182 / 2010
Регистрация: 08.10.2012
Сообщений: 49,514
13.06.2017, 13:24 16
--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer 6 v.6.0.10722 Внимание! Скачать обновления
LibreOffice 5.0.3.2 v.5.0.3.2 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java(TM) 6 Update 5 v.1.6.0.50 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u131-windows-i586.exe).
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 21 ActiveX v.21.0.0.182 Внимание! Скачать обновления


Прочтите и выполните Рекомендации после удаления вредоносного ПО
0
tunec
0 / 0 / 0
Регистрация: 02.03.2016
Сообщений: 14
13.06.2017, 13:25  [ТС] 17
Нее, обновлять не нужно, лицензия TeamViewer другая нужна, а остальное-работает с минимальным набором фукций, но благодарю за помощь
0
Sandor
Вирусоборец
14530 / 12182 / 2010
Регистрация: 08.10.2012
Сообщений: 49,514
13.06.2017, 13:43 18
Удачи!

Добавлено через 16 минут
Смените важные пароли, могли быть украдены.
1
13.06.2017, 13:43
Answers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
13.06.2017, 13:43

Не запускаются AVZ. exe, CCleaner. exe, AutoLogger. exe, regedit. exe Дублируются процессы
Добрый день) не запускались экзешники перечисленные в топе, исправила кое как процессы...

Не запускаются AVZ. exe, CCleaner. exe, AutoLogger. exe, regedit. exe. Словил вирус bizigames
Доброго времени суток. Захотел я почистить комп от мусора всякого при помощи CCleaner, как не...

Процессы Calc.exe*32
В диспетчере задач множество процессов Calc.exe*32 и один процесс mspoint.exe*32 . Помогите...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
18
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2020, vBulletin Solutions, Inc.