Перейти к содержанию
Правила раздела
Конкурс по разработке Telegram-бота Kaspersky Club

Вирус TMP меняет названия и не закрывается.

KiRniK

Автор KiRniK
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

KiRniK Новичок

KiRniK

Опубликовано
Опубликовано

Здравтсвуйте!

Столкнулся с TMP.

Закрываю файл evbU3d7.tmp, он меняет название и опять открывается!


Вот я забыл прикрепить логги!

CollectionLog-2018.01.09-11.40.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте еще раз! :)

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

MediaGet

Ultimate-Discounter Browser

Unity Web Player (x64) (All users)

Unity Web Player

Кнопка "Яндекс" на панели задач

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Users\User\AppData\Local\Temp\evbE7D0.tmp');
 TerminateProcessByName('C:\Users\User\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\ErrorCheck.exe');
 TerminateProcessByName('C:\Users\User\AppData\Roaming\Microsoft\Windows\Helper.exe');
 TerminateProcessByName('C:\Users\User\AppData\Roaming\Windows\system idle.exe');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\Users\User\AppData\Local\rkax.exe', '');
 QuarantineFile('C:\Users\User\AppData\Local\Temp\evbE7D0.tmp', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\ErrorCheck.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\igrasags\uiueuicg.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Helper.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\Windows\system idle.exe', '');
 QuarantineFile('C:\Windows\System32\ihctrl32.dll', '');
 QuarantineFile('C:\Windows\system32\tasks\andyounnewsorgthrones', '');
 QuarantineFile('C:\Windows\System32\wsaudio.dll', '');
 QuarantineFile('C:\Windows\TEMP\clearcache.dll', '');
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 ExecuteFile('schtasks.exe', '/delete /TN "andyounnewsorgthrones" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ErrorCheck" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "System Idle" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SystemCheck" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\Users\User\AppData\Local\rkax.exe', '32');
 DeleteFile('C:\Users\User\AppData\Local\Temp\evbE7D0.tmp', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\ErrorCheck.exe', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\igrasags\uiueuicg.exe', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Helper.exe', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\Windows\system idle.exe', '32');
 DeleteFile('C:\Windows\System32\ihctrl32.dll', '32');
 DeleteFile('C:\Windows\System32\wsaudio.dll', '32');
 DeleteFile('C:\Windows\TEMP\clearcache.dll', '32');
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteDirectory('c:\program files (x86)\zaxar');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'cdrhvqs');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Policies');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wsaudio\Parameters', 'ServiceDll');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • moretti
      вирус не даёт снести Винду и закрывает вкладки с антивирусом в браузере
      Автор moretti
      начал замечать что ФПС в играх упал и просто комп стал работать не так как раньше очень насторожило решил проверить антивирусом но скачать не смог так как просто напросто выбрасывало с браузера, далее хотел по простому снести Винду но и тут ничего не вышло. помогитеее
    • Земеля
      Вирус Майнер закрывает вкладки окна и все прочее. Не даёт установить rogue killer
      Автор Земеля
      Столкнулся впервые с майнером, который блокирует любые мои действия. Смог запустить Dr web cureit но не помогло, после удаления все равно все закрывается, если после перезагрузки снова запускать Dr web, то снова выскакивает троян с майнером. Помогите, пожалуйста 
    • Winbeecatcat
      При запуске запускается PowerShell и закрывается
      Автор Winbeecatcat
      каждый раз когда я включаю ноутбук при запуске запускается повершел а потом закрывается, раньше когда у меня был виндовс дефендер он просто писал про троян malgent а сейчас с касперским пишет то что повершел пытался открыть сайт с гифкой с соником и надписью no way (скриншот)
      Сегодня, 16.03.2025 20:37:01;Остановлен переход на сайт;Yandex with voice assistant 
       

    • Антон321
      Приветствую, словил майнер по названием: tool.btcmine.2782
      Автор Антон321
      Приветствую, словил майнер по названием: tool.btcmine.2782, уже всем подрят пытался удалить и никак не выходит, касперский вообще не запускаеться, WEb находит говорит что удалил но через 2 минуты снова вылазит!! Помогите
      CollectionLog-2025.03.24-17.26.zip
    • Licueur
      [РЕШЕНО] Приветствую, словил майнер по названием: tool.btcmine.2782 .
      Автор Licueur
      Всех приветствую, на днях словил майнер tool.btcmine.2782, пытался удалить через dr.web, не получается, майнер все равно появляется. Просьба помочь удалить майнер, буду рад вашей помощи.
      CollectionLog-2025.03.20-22.01.zip
×
×
  • Создать...