Перейти к содержанию

Поймал вирус с появлением ****.tmp.exe и появлением рекламы в главном браузере.


Сергей Рудаков

Рекомендуемые сообщения

Вот недавно словил вирус с файлами ****.tmp.exe и рекламой в браузере.
Пробовал много методов но нечего не помогало.
Заранее спасибо за помощь.

Ссылка на комментарий
Поделиться на другие сайты

Вот недавно словил вирус с файлами ****.tmp.exe и рекламой в браузере.
Пробовал много методов но нечего не помогало.
Заранее спасибо за помощь.

(Первую тему можно удалить)
 
Сообщение от модератора Msrk D. Pearlstone
Темы объединены

CollectionLog-2017.05.19-19.13.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

1) В hosts строки сами добавляли?

 

2)

GRIZZLY Антивирус [2017/05/14 18:25:58]-->C:\Program Files (x86)\GRIZZLY Antivirus\uninstall.exe

установлен всего несколько дней назад. Сами его ставили?

 

3)

Driver Booster 4.3 [20170323]-->"C:\Program Files (x86)\IObit\Driver Booster\4.3.0\unins000.exe"
IObit Uninstaller [20170428]-->"C:\Program Files (x86)\IObit\IObit Uninstaller\unins000.exe"

Советую удалить, особенно Driver Booster это Потенциально Нежелательные Программы.

 

4)

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Serge\AppData\Roaming\Sun\Windows Mail\wabmig.exe', '');
 QuarantineFile('C:\Users\Serge\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFile('C:\Users\Serge\AppData\Local\PowerMonitor\PowerMonitor.exe', '');
 QuarantineFile('C:\Users\Serge\Favorites\Links\Интернет.url', '');
 DeleteFile('C:\Users\Serge\Favorites\Links\Интернет.url');
 DeleteFile('C:\Users\Serge\AppData\Roaming\Sun\Windows Mail\wabmig.exe');
 DeleteFile('C:\Users\Serge\AppData\Roaming\Microsoft\msi.exe');
 DeleteFile('C:\Users\Serge\AppData\Local\PowerMonitor\PowerMonitor.exe');
 DeleteFile('C:\Users\Serge\AppData\Roaming\Microsoft\msi.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "One Drive Update" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hlelwtebah');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

5)  - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

6) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

7)  Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Ссылка на комментарий
Поделиться на другие сайты

Ссылка на комментарий
Поделиться на другие сайты

По 1-му пункту, всё-таки ещё раз переспрошу. Эти строки значит вам не знакомы и сбросить его?

127.0.0.1 csgoback.net
127.0.0.1       98.129.229.186
127.0.0.1       www.iana.org
127.0.0.1       iana.org
127.0.0.1       98.129.229.186
127.0.0.1       www.iana.org
127.0.0.1       iana.org
127.0.0.1       98.129.229.186
127.0.0.1       www.iana.org
127.0.0.1       iana.org
127.0.0.1       98.129.229.186
127.0.0.1       www.iana.org
127.0.0.1       iana.org
127.0.0.1            176.31.241.10
127.0.0.1            54.148.249.18
127.0.0.1            54.68.188.84
127.0.0.1            54.221.244.28
127.0.0.1            40.77.226.250
127.0.0.1            54.187.37.182
127.0.0.1            serwer2.paka-service.com
127.0.0.1            thislineskipsanyemptylines
127.0.0.1            mirillis.com
127.0.0.1            ns386119.ovh.net
127.0.0.1            mirillis.pl
127.0.0.1            mirillis.eu
127.0.0.1            www.mirillis.com
127.0.0.1            updates.mirillis.com  

не похожи они на вирусные.


1) ProxyServer = 104.198.97.73:80 - сами прописывали?

 

2)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

 

3) "Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [GameCenterMailRu] C:\Users\Serge\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe -autostart (file missing)
O22 - Task (Ready): ASC10_SkipUac_Serge - C:\Advanced SystemCare\ASC.exe /SkipUac (file missing)
O22 - Task (Ready): Driver Booster SkipUAC (Serge) - C:\Program Files (x86)\IObit\Driver Booster\4.3.0\DriverBooster.exe /skipuac (file missing)
O22 - Task (Ready): MSI - C:\Users\Serge\AppData\Roaming\Microsoft\msi.exe cnt=1 fts="Microsoft\msi.exe" (file missing)
O22 - Task (Ready): Microsoft Windows Mail - C:\Users\Serge\AppData\Roaming\Sun\Windows Mail\wabmig.exe 5mcpG3HW1dY43ExLWcx9GZjbS72H7eqkMzedxEf8yTd9PUT2xGKceHrFhjPPa6RPtsQdc7mD8UdZVAjLFusbyzjqdVhWY44 (file missing)
O22 - Task (Ready): PowerMonitor - C:\Users\Serge\AppData\Local\PowerMonitor\PowerMonitor.exe --stid="10899" (file missing)
O22 - Task (Ready): RunAsStdUser_GameCenterMailRu - C:\Users\Serge\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe -updated -lowermode "mailrugames://uninstall/0.1177" /unique=1374640 (file missing)

 

Если записи в hosts не нужны, то также пофиксить строку

O1 - Hosts: Reset contents to default

3) Программы/расширения от Mail.ru используете?
 

4) Проблема ещё осталась?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Albert2025
      Автор Albert2025
      Добрый день.
      Подозреваю, что сегодня с флэшки случайно запустил вирус.
      Проверки файлов на флэшке через opentip.kaspersky.com выдает результаты HEUR:Trojan.Win64.Convagent.gen и Trojan.VBS.Starter.pl
      На компьютере при этом в Диспетчере задач есть какие-то неизвестные запущенные процессы.
      Но при этом проверка KVRT и DrWeb CureIt результатов не приносит, ничего не обнаруживается.
      Боюсь, что сидит какой-нибудь шифровальщик или троян, собирающий данные (пароли и т.д.).
        Прошу помочь разобраться, что делает этот вирус и как избавиться от него, во вложении архив с флэшки, пароль virus.
      Также в директории был еще файл *.dat, но он слишком большого размера, при помещении его в архив он превышает допустимый размер.
      P.S. Также приложил логи.
      rootdir1.rar
      CollectionLog-2025.05.20-11.45.zip
    • Константин174
      Автор Константин174
      Всем Привет проблема поймали вирус [nullhexxx@gmail.com].EAE6F491 есть варианты как избавиться ??????
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • ruina
      Автор ruina
      Добрый день. Прошу помощи, перCollectionLog-2025.05.22-12.57.zipеименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp
    • macklooney1315
      Автор macklooney1315
      Здравствуйте! Пару дней назад купил флешку и решил ей воспользоваться. Через какое то время виндовс написала что доступны  новые обновления, они начали скачиваться и после этого комп перезагрузился. После перезапуска на секунду появилась командная строка и пропала, раньше такого не было. В диспетчере задач стало больше процессов чем было, а когда заходит в монитор ресурсов часто были приостановленные процессы SearchApp.exe, Realteck, LockApp.exe. Я нашел процесс realteck в диспетчере задач и после нажатия кнопки открыть расположение файла мне вышло что отказано в доступе. Скачал касперского и dr.web - тоже ничего не видят, пытался полазить по системных папкам, но много где пишет '' отказано в доступе, обратитесь к администратору сети (что то такое, точно не помню). Винда кстати начала на следующий день снова пытаться скачать какое то обновления для Windows Defender, но я отложил скачивание обновлений на месяц. До этого вообще обновления не приходили, несколько лет было все нормально, а тут сразу много. Комп стал медленнее загружаться, и после загрузки рабочего стола курсор начинает крутить значок загрузки, раньше такого тоже не наблюдалось.
      Файлы прикрепил
       
      FRST.txt Addition.txt CollectionLog-2025.04.14-16.22.zip
    • WhyI
      Автор WhyI
      Что случилось?микрофризы на 1-2 секунды каждые 20-30
      при проверке с помощью Dr Web выдает угрозу:
      HOSTS:SUSPICIOUS.URL и не может ее вылечить(3 попытки)
      проверил через process hacker 2: при открытии диспетчера задач самозавершаются  3 процесса level и 2 других (не уследил) 
      CollectionLog-2025.03.05-15.08.zip
      Дополню по поводу других процессов: addlnprocess и conhost
×
×
  • Создать...