KiRniK 0 Опубликовано 9 января, 2018 Share Опубликовано 9 января, 2018 Здравтсвуйте! Столкнулся с TMP. Закрываю файл evbU3d7.tmp, он меняет название и опять открывается! Вот я забыл прикрепить логги! CollectionLog-2018.01.09-11.40.rar Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 9 января, 2018 Share Опубликовано 9 января, 2018 Здравствуйте еще раз! Через Панель управления - Удаление программ - удалите нежелательное ПО: MediaGet Ultimate-Discounter Browser Unity Web Player (x64) (All users) Unity Web Player Кнопка "Яндекс" на панели задач Служба автоматического обновления программ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('C:\Users\User\AppData\Local\Temp\evbE7D0.tmp'); TerminateProcessByName('C:\Users\User\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\ErrorCheck.exe'); TerminateProcessByName('C:\Users\User\AppData\Roaming\Microsoft\Windows\Helper.exe'); TerminateProcessByName('C:\Users\User\AppData\Roaming\Windows\system idle.exe'); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', ''); QuarantineFile('C:\Users\User\AppData\Local\rkax.exe', ''); QuarantineFile('C:\Users\User\AppData\Local\Temp\evbE7D0.tmp', ''); QuarantineFile('C:\Users\User\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\ErrorCheck.exe', ''); QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\igrasags\uiueuicg.exe', ''); QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Helper.exe', ''); QuarantineFile('C:\Users\User\AppData\Roaming\Windows\system idle.exe', ''); QuarantineFile('C:\Windows\System32\ihctrl32.dll', ''); QuarantineFile('C:\Windows\system32\tasks\andyounnewsorgthrones', ''); QuarantineFile('C:\Windows\System32\wsaudio.dll', ''); QuarantineFile('C:\Windows\TEMP\clearcache.dll', ''); QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0); ExecuteFile('schtasks.exe', '/delete /TN "andyounnewsorgthrones" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ErrorCheck" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "System Idle" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "SystemCheck" /F', 0, 15000, true); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32'); DeleteFile('C:\Users\User\AppData\Local\rkax.exe', '32'); DeleteFile('C:\Users\User\AppData\Local\Temp\evbE7D0.tmp', '32'); DeleteFile('C:\Users\User\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\ErrorCheck.exe', '32'); DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\igrasags\uiueuicg.exe', '32'); DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Helper.exe', '32'); DeleteFile('C:\Users\User\AppData\Roaming\Windows\system idle.exe', '32'); DeleteFile('C:\Windows\System32\ihctrl32.dll', '32'); DeleteFile('C:\Windows\System32\wsaudio.dll', '32'); DeleteFile('C:\Windows\TEMP\clearcache.dll', '32'); DeleteFileMask('c:\program files (x86)\zaxar', '*', true); DeleteDirectory('c:\program files (x86)\zaxar'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'cdrhvqs'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Policies'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Zaxar'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wsaudio\Parameters', 'ServiceDll'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.