Вирус создающий множество *.tmp.exe

[alex713]

Скачал какой то файл. Стали появляться множественные вирусы *.tmp.exe. Вирус вписался в файл rundll32.exe. Его удаление черевато обрушением системы. Помогите пожалуйста.

CollectionLog-2017.03.26-20.11.zip

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('C:\Documents and Settings\All Users\Application Data\1372R22T20B9037\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 ExecuteFile('schtasks.exe', '/delete /TN "1372R22T20B9037.job" /F', 0, 15000, true);
 DeleteFileMask('C:\Documents and Settings\All Users\Application Data\1372R22T20B9037\', '*', true);
 DeleteDirectory('C:\Documents and Settings\All Users\Application Data\1372R22T20B9037\');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Профиксите в HijackThis

O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - MSConfig\startupreg: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun (file missing) (HKCU) (2015/11/28)
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - (no file)
O8 - Extra context menu item: Закачать при помощи Download Master - (no file)
O8 - Extra context menu item: Передать на удаленную закачку DM - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) (HKLM)

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[alex713]

Здравствуйте. Все сделал. Пока вирусы не появлялись. Посмотрю, что дальше будет.

Прикрепляю Отчёт о работе утилиты ClearLNK. Повторные логи.

Ответ с newvirus@kaspersky.com:

[KLAN-6032321372]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
1372R22T20B9037.dll - HEUR:Trojan.Win32.Generic

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com"

 

ClearLNK-29.03.2017_16-26.log

CollectionLog-2017.03.29-17.22.zip

[regist]

Яндекс.Бар 6.7 для Internet Explorer [20130104]-->MsiExec.exe /X{11EA1C75-DB0D-410B-B63B-20916EECD568}

Если не используется, то деинсталируйте.

 

Сделайте такой лог.

Изменено 29 марта, 2017 пользователем regist

[alex713]

Иногда используется. А с остальным все нормально?

[regist]

 

 

А с остальным все нормально?

Да, но чтоб убедиться, что ничего не осталось, сделайте лог MBAM. Ссылку как делать дал в предыдущем сообщение.

[alex713]

Сделал

логMalwarebytes v.3.txt

[regist]

1) Поместите в карантин MBAM всё кроме

RiskWare.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\TNod, Проигнорировано пользователем, [371], [352776],1.0.1628
 

 

2) Деинсталируйте MBAM.

 

3) Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.