Странные процессы .tmp в диспетчере задач

[Славик123]

Доброго времени суток, столкнулся с такой проблемой:

Заметил, что когда я долго не совершаю действий с компьютером, а он включен (смотрю видео на YouTube, например), он начинает шуметь чуть сильнее, т.е. сис-ма охлаждения начинает работать активнее, значит на ПК действует какая-то нагрузка. Я зашёл в диспетчер задач, и обнаружил там процесс g1033.tmp, который нагружал процессор на 70%, но почти сразу после открытия диспетчера, он мгновенно перестал нагружать ПК, но после закрытия диспетчера, он заново начинает свою деятельность и нагружает ПК. Windows 8.1. Надеюсь на вашу помощь.

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[Славик123]

Как прикрепить файл с логами на этом форуме? Прошу прощения за лишний вопрос.

Изменено 8 декабря, 2017 пользователем Славик123

[Sandor]

Кнопка Расширенная форма - Выбрать файл - Загрузить.

[Славик123]

Логи:

CollectionLog-2017.12.08-14.15.zip

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

DriverPack Notifier

Unity Web Player

Чистилка

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('CansuckSU');
 StopService('ColdmaySU');
 QuarantineFile('C:\Program Files (x86)\Wufospromigh Core\local64spl.dll', '');
 QuarantineFile('C:\Users\2C82~1\AppData\Local\Temp\1\ttff.exe', '');
 QuarantineFile('C:\Users\Вячеслав\AppData\Local\SNARE\Snare.dll', '');
 QuarantineFile('C:\Windows\svchost.exe', '');
 QuarantineFile('C:\Windows\System32\ihctrl32.dll', '');
 QuarantineFile('C:\Windows\TEMP\nsiA054.tmp\ttff.exe', '');
 QuarantineFileF('c:\users\вячеслав\appdata\local\snare', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Program Files (x86)\Wufospromigh Core\local64spl.dll', '32');
 DeleteFile('C:\Users\2C82~1\AppData\Local\Temp\1\ttff.exe', '32');
 DeleteFile('C:\Users\Вячеслав\AppData\Local\SNARE\Snare.dll', '32');
 DeleteFile('C:\Windows\svchost.exe', '32');
 DeleteFile('C:\Windows\System32\ihctrl32.dll', '32');
 DeleteFile('C:\Windows\TEMP\nsiA054.tmp\ttff.exe', '32');
 DeleteService('CansuckSU');
 DeleteService('ColdmaySU');
 DeleteFileMask('c:\users\вячеслав\appdata\local\snare', '*', true);
 DeleteDirectory('c:\users\вячеслав\appdata\local\snare');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Policies\System', 'Shell');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', 'EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[Славик123]

После выполнения скрипта у меня не появился файл quarantine.zip в директории AVZ

[Sandor]

Выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

[Славик123]

KLAN-7300373345

[Sandor]

Делайте повторный CollectionLog.

 

KLAN-7300373345

Описание тоже процитируйте, пожалуйста.

[Славик123]

 

 

В антивирусных базах информация по присланным вами файлам отсутствует:

quarantine.zip

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

[Славик123]

CollectionLog

CollectionLog-2017.12.10-11.12.zip

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('CansuckSU');
 StopService('ColdmaySU');
 StopService('ed2kidle');
 StopService('gupdatem');
 StopService('iSafeKrnlMon');
 QuarantineFile('C:\Program Files (x86)\Wufospromigh Core\local64spl.dll', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\2C82~1\AppData\Local\Temp\1\ttff.exe', '');
 QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Вячеслав\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Вячеслав\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Вячеслав\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\c1d1c5711b1e8409\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Вячеслав\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\fa5993066b43d4e4\Google Chrome.lnk', '');
 QuarantineFile('C:\Windows\svchost.exe', '');
 QuarantineFile('C:\Windows\System32\ihctrl32.dll', '');
 QuarantineFile('C:\Windows\TEMP\nsiA054.tmp\ttff.exe', '');
 DeleteFile('C:\Program Files (x86)\Wufospromigh Core\local64spl.dll', '32');
 DeleteFile('C:\Users\2C82~1\AppData\Local\Temp\1\ttff.exe', '32');
 DeleteFile('C:\Windows\svchost.exe', '32');
 DeleteFile('C:\Windows\System32\ihctrl32.dll', '32');
 DeleteFile('C:\Windows\TEMP\nsiA054.tmp\ttff.exe', '32');
 DeleteService('CansuckSU');
 DeleteService('ColdmaySU');
 DeleteService('ed2kidle');
 DeleteService('gupdatem');
 DeleteService('iSafeKrnlMon');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Policies\System', 'Shell');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'background_fault');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Codec Pack Update Checker');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'World of Tanks');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Codec Settings UAC Manager');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', 'EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll');
 ExecuteRepair(3);
 ExecuteRepair(4);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - HKCU\..\Run: [World of Tanks] D:\Parasha\WargamingGameUpdater.exe  (file missing)
O4 - HKCU\..\Run: [background_fault] C:\Users\Вячеслав\AppData\Local\background_fault\aswRD.exe "C:\Users\Вячеслав\AppData\Local\background_fault\bf.dll",background_fault_collector (file missing)
O4 - HKCU\..\StartupApproved\Run: [Browser Manager] (2017/05/05) C:\Users\Вячеслав\AppData\Local\Yandex\BrowserManager\MBLauncher.exe  (file missing)
O4 - HKCU\..\StartupApproved\Run: [Codec Pack Update Checker] (2017/03/11) C:\Windows\system32\Codecs\UpdateChecker.exe  (file missing)
O4 - HKLM\..\StartupApproved\Run32: [Codec Settings UAC Manager] (2017/03/26) C:\Windows\system32\Codecs\CodecUACManager.exe  (file missing)
O8 - HKCU\..\Extra context menu item: &Отправить в OneNote - G:\Microsoft Office 2013\Office15\ONBttnIE.dll (file missing)
O21 - ShellExecuteHooks: (no name) - {7AE915BA-F77B-11E6-9977-64006A5CFC23} - C:\Program Files (x86)\Chalering\Atoosekheght.dll (file missing) (disabled)
O22 - Task: DriverPack Notifier - C:\Program Files (x86)\DriverPack Notifier\DriverPackNotifier.exe (file missing)
O22 - Task: GoogleUpdateTaskMachineCore - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c (file missing)
O22 - Task: GoogleUpdateTaskMachineUA - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (file missing)
O22 - Task: \Microsoft\Windows\Media Center\VCore - C:\ProgramData\vCore\VCore.exe /check (file missing)

- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

+ смените браузер по умолчанию.

Изменено 10 декабря, 2017 пользователем regist