Перейти к содержанию
Правила раздела

Вирус TMP меняет названия и не закрывается.

KiRniK

От KiRniK
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

KiRniK Новичок

KiRniK

Опубликовано
Опубликовано

Здравтсвуйте!

Столкнулся с TMP.

Закрываю файл evbU3d7.tmp, он меняет название и опять открывается!


Вот я забыл прикрепить логги!

CollectionLog-2018.01.09-11.40.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте еще раз! :)

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

MediaGet

Ultimate-Discounter Browser

Unity Web Player (x64) (All users)

Unity Web Player

Кнопка "Яндекс" на панели задач

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Users\User\AppData\Local\Temp\evbE7D0.tmp');
 TerminateProcessByName('C:\Users\User\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\ErrorCheck.exe');
 TerminateProcessByName('C:\Users\User\AppData\Roaming\Microsoft\Windows\Helper.exe');
 TerminateProcessByName('C:\Users\User\AppData\Roaming\Windows\system idle.exe');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\Users\User\AppData\Local\rkax.exe', '');
 QuarantineFile('C:\Users\User\AppData\Local\Temp\evbE7D0.tmp', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\ErrorCheck.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\igrasags\uiueuicg.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Helper.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\Windows\system idle.exe', '');
 QuarantineFile('C:\Windows\System32\ihctrl32.dll', '');
 QuarantineFile('C:\Windows\system32\tasks\andyounnewsorgthrones', '');
 QuarantineFile('C:\Windows\System32\wsaudio.dll', '');
 QuarantineFile('C:\Windows\TEMP\clearcache.dll', '');
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 ExecuteFile('schtasks.exe', '/delete /TN "andyounnewsorgthrones" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ErrorCheck" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "System Idle" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SystemCheck" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\Users\User\AppData\Local\rkax.exe', '32');
 DeleteFile('C:\Users\User\AppData\Local\Temp\evbE7D0.tmp', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\ErrorCheck.exe', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\igrasags\uiueuicg.exe', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Helper.exe', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\Windows\system idle.exe', '32');
 DeleteFile('C:\Windows\System32\ihctrl32.dll', '32');
 DeleteFile('C:\Windows\System32\wsaudio.dll', '32');
 DeleteFile('C:\Windows\TEMP\clearcache.dll', '32');
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteDirectory('c:\program files (x86)\zaxar');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'cdrhvqs');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Policies');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wsaudio\Parameters', 'ServiceDll');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • sneg_LA
      [РЕШЕНО] Проверила мой комп на вирусы и обнаружила вот такой вирус с названием NET.MALWARE.URL. удалить не получается.
      От sneg_LA
      Добрый день. Скачивала торрент файл и поймала какую - то ерунду которая значительно снизила работоспособность ноутбука. Появилась эта проблема  дня 2 назад. Буду признательна, если вы сможете помочь избавиться от этого.
      Логи прекрипила
      Desktop.zip
      HiJackThis.log
    • Nikita1815
      После удаления майнера осталась служба с названием BITS_bkp.
      От Nikita1815
      Здравствуйте! Подсадил майнер на компьютер. Выполнил проверку через Kaspersky Virus Removal Tool, удалил/вылечил все угрозы.  Компьютер стал работать исправно, но центр обновления не работает. Службу центр обновления переименовать и удалить переименованную удалось, но BITS переименовалась и в редакторе реестра создалось два варината bits и bits_bkp. Логи прикладываю. Заранее спасибо за помощь!
        CollectionLog-2025.02.09-19.37.zip
    • Cococanuth
      [РЕШЕНО] Вирус не даёт переустановить виндовс, закрывает все сайты с решениями проблемы, не даёт запуститься антивирусам, закрывает диспетчер задач
      От Cococanuth
      Обнаружилось вчера вечером. Вирус закрывает диспетчер задач (иногда все таки пропускает и он открывается). При поиске в браузерах сайтов с решением проблемы автоматически закрывает их. Закрывает exe-установщики, анитивирусники, автологгеры и подобные программы. Подозреваю о наличии скрытыго пользователя - администратора (некоторые папки с закрытым доступом, некоторые функции недоступны к выполнению). Решение похожей проблемы здесь от 8 мая 2022 не помогло, так как не удаётся установить ни одно приложение (при изменении имени файлов, они не запускаются) 
    • StarlightKnight
      При запуске Редактор реестра моментально закрывается.
      От StarlightKnight
      У меня windows 10  когда я хочу открыть  Редактор реестра он открывается и моментально закрывается.
      Я недавно переустановил windows.
      Сделал все доступные способы из интернета от проверки на вирусы и до проверки другими программами.
      Подскажите, что это может быть и есть ли смысл снова переустановить windows?
    • Klaurs
      Многие службы поменяли своё название с обычной службы, на службу_bkp
      От Klaurs
      К примеру:

      wuauserv_bkp
      WaaSMedicSvc_bkp
      UsoSvc_bkp
      dosvc_bkp
      BITS_bkp

      Остальных не нашёл. Я смотрел у других, с похожей проблемой, сказали скачать Farbar Recovery Scan Tool, и следовать инструкции. (Thyrex рассчитываю на вас)

      FRST.txt и Addition.txt прикреплю снизу.

      Ожидаю дальнейшей помощи и указаний.
      Addition.txt FRST.txt
      Там надо было заархивировать, вот с вин рара:FRST папка.rar
×
×
  • Создать...