Перейти к содержанию
Правила раздела

Вирус TMP меняет названия и не закрывается.

KiRniK

От KiRniK
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

KiRniK Новичок

KiRniK

Опубликовано
Опубликовано

Здравтсвуйте!

Столкнулся с TMP.

Закрываю файл evbU3d7.tmp, он меняет название и опять открывается!


Вот я забыл прикрепить логги!

CollectionLog-2018.01.09-11.40.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте еще раз! :)

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

MediaGet

Ultimate-Discounter Browser

Unity Web Player (x64) (All users)

Unity Web Player

Кнопка "Яндекс" на панели задач

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Users\User\AppData\Local\Temp\evbE7D0.tmp');
 TerminateProcessByName('C:\Users\User\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\ErrorCheck.exe');
 TerminateProcessByName('C:\Users\User\AppData\Roaming\Microsoft\Windows\Helper.exe');
 TerminateProcessByName('C:\Users\User\AppData\Roaming\Windows\system idle.exe');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\Users\User\AppData\Local\rkax.exe', '');
 QuarantineFile('C:\Users\User\AppData\Local\Temp\evbE7D0.tmp', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\ErrorCheck.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\igrasags\uiueuicg.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Helper.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\Windows\system idle.exe', '');
 QuarantineFile('C:\Windows\System32\ihctrl32.dll', '');
 QuarantineFile('C:\Windows\system32\tasks\andyounnewsorgthrones', '');
 QuarantineFile('C:\Windows\System32\wsaudio.dll', '');
 QuarantineFile('C:\Windows\TEMP\clearcache.dll', '');
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 ExecuteFile('schtasks.exe', '/delete /TN "andyounnewsorgthrones" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ErrorCheck" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "System Idle" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SystemCheck" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\Users\User\AppData\Local\rkax.exe', '32');
 DeleteFile('C:\Users\User\AppData\Local\Temp\evbE7D0.tmp', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\ErrorCheck.exe', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\igrasags\uiueuicg.exe', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Helper.exe', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\Windows\system idle.exe', '32');
 DeleteFile('C:\Windows\System32\ihctrl32.dll', '32');
 DeleteFile('C:\Windows\System32\wsaudio.dll', '32');
 DeleteFile('C:\Windows\TEMP\clearcache.dll', '32');
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteDirectory('c:\program files (x86)\zaxar');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'cdrhvqs');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Policies');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wsaudio\Parameters', 'ServiceDll');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • ilyaperminov2010
      Вирус подменяет номер кошелька в буфере и закрывает всё подряд!
      От ilyaperminov2010
      Помогите, подцепил вирус, клипер какой то наверно. Началось всё с того что стал подменять номер кошелька в буфере. Когда начал разбираться то вирус стал закрывать диспетчер задач, папку ProgamData(открыл через другую прогу а в ней есть папка Avira которая не открывается и не удаляется), вкладки в браузере, браузер при поиске слова вирус и т.д.,
      Помогите что делать, какие логи откуда прислать?
    • apachexd
      Запускается regedit затем сразу закрывается, не устанавливается Riot Vanguard
      От apachexd
      нужна помощь в удалении вируса, пробовал разные способы запуска редактора реестра, сразу закрывается после запуска
      CollectionLog-2024.11.16-15.53.zip
    • Ig0r
      Бонусная программа «Накапливай баллы — меняй на лицензии и сувениры!»: правила и обсуждение
      От Ig0r
      Накапливай баллы — меняй на лицензии и сувениры!
      В клубе «Лаборатории Касперского» действует бонусная программа «Накапливай баллы — меняй на лицензии и сувениры!». Получайте баллы (BAL) за свою активность в клубе, накапливайте и меняйте их в магазине на лицензии для продуктов «Лаборатории Касперского» и эксклюзивные сувениры с символикой компании с бесплатной доставкой!
      Кто может участвовать в бонусной программе?
       
      За что и сколько баллов можно получить?


      В какие сроки начисляются баллы?

      За что баллы могут снять?

      Где можно посмотреть количество накопленных баллов и есть ли у них срок действия?

      Предусмотрены ли в магазине скидки и как их получить?

      Что делать, если очень хочется получить лицензию или сувенир, а баллов не хватает?

      Где узнать подробности о характеристиках сувениров?

      Как сделать заказ и узнать, правильно ли он оформлен?

      Где я могу проверить статус заказа?

      Сколько стоит доставка и в какие регионы и страны она возможна? Есть ли территориальные ограничения на доставку сувениров?

      Есть ли минимальный заказ?

      В каких случаях сувенир может быть заменён или не отправлен вовсе?

      Какими способами можно получить заказ?

      Какие сроки доставки заказа?

      Как правильно принять посылку и что делать, если они повреждены?

      Где ещё можно потратить баллы, кроме магазина?

      Можно ли расплатиться за заказ клабами, накопленными в рамках участия в рейтинговой системе мотивации участников клуба?

      Заключительные положения
       
    • Frert
      Появилась папка на рабочем столе, без названия и не удаляется.
      От Frert
      Здравствуйте. Мне нужна помощь с тем,что после удаления офиса и скачивании пиратского с сайта из-за очень сильной необходимости  у меня появился вирус trojan win32 и hacktool win32 и на рабочем столе появилась папка без названия, которая не удаляется. Я приложил все логи после проверки. Прошу помочь мне с решение этой проблемы. Спасибо за понимание.
      CollectionLog-2024.09.06-14.40.zip
    • civiero
      Вирус или нет?
      От civiero
      При просмотре видео на ютуб останавливается видео и появляется звуки костей, или слово amazing. Нужно ли волноваться по этому поводу? Антивирус ничего не выдает.
×
×
  • Создать...