Перейти к содержанию

Вирус TMP меняет названия и не закрывается.


Рекомендуемые сообщения

Здравтсвуйте!

Столкнулся с TMP.

Закрываю файл evbU3d7.tmp, он меняет название и опять открывается!


Вот я забыл прикрепить логги!

CollectionLog-2018.01.09-11.40.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте еще раз! :)

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

MediaGet

Ultimate-Discounter Browser

Unity Web Player (x64) (All users)

Unity Web Player

Кнопка "Яндекс" на панели задач

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Users\User\AppData\Local\Temp\evbE7D0.tmp');
 TerminateProcessByName('C:\Users\User\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\ErrorCheck.exe');
 TerminateProcessByName('C:\Users\User\AppData\Roaming\Microsoft\Windows\Helper.exe');
 TerminateProcessByName('C:\Users\User\AppData\Roaming\Windows\system idle.exe');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\Users\User\AppData\Local\rkax.exe', '');
 QuarantineFile('C:\Users\User\AppData\Local\Temp\evbE7D0.tmp', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\ErrorCheck.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\igrasags\uiueuicg.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Helper.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\Windows\system idle.exe', '');
 QuarantineFile('C:\Windows\System32\ihctrl32.dll', '');
 QuarantineFile('C:\Windows\system32\tasks\andyounnewsorgthrones', '');
 QuarantineFile('C:\Windows\System32\wsaudio.dll', '');
 QuarantineFile('C:\Windows\TEMP\clearcache.dll', '');
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 ExecuteFile('schtasks.exe', '/delete /TN "andyounnewsorgthrones" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ErrorCheck" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "System Idle" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SystemCheck" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\Users\User\AppData\Local\rkax.exe', '32');
 DeleteFile('C:\Users\User\AppData\Local\Temp\evbE7D0.tmp', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\ErrorCheck.exe', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\igrasags\uiueuicg.exe', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Helper.exe', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\Windows\system idle.exe', '32');
 DeleteFile('C:\Windows\System32\ihctrl32.dll', '32');
 DeleteFile('C:\Windows\System32\wsaudio.dll', '32');
 DeleteFile('C:\Windows\TEMP\clearcache.dll', '32');
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteDirectory('c:\program files (x86)\zaxar');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'cdrhvqs');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Policies');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wsaudio\Parameters', 'ServiceDll');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...