вирус создает tmp процесс

[Goldi]

Приветствую, есть вирус, антивирусом не устраняется, при запуске винды не активен, до тех пор пока нет соединения с интернетом, при открытии диспетчера процесс останавливается. Обнаружил его с помощью мсй афтербанера, там в окне мониторинга процессор загружен по 3м ядрам на 100%, общая загруженность процессора 50% (в постое). запрашиваю помощь. Свежие логи вышлю как буду у компьютера. 

[regist]

 

 

запрашиваю помощь. Свежие логи вышлю как буду у компьютера.

без логов не гадаем. Ждём логи.

[Goldi]

@regist,  логи

Addition.txt

FRST.txt

Изменено 26 февраля, 2019 пользователем Goldi

[Sandor]

Начните со стандартных логов:

Порядок оформления запроса о помощи

[Goldi]

логи автолога

CollectionLog-2019.02.26-18.06.zip

[regist]

Здравствуйте!

1)

WindowsRar 1.0.0.47 [20190101]-->"C:\Program Files (x86)\WindowsRar\unins000.exe"

Это что за чудо установлено? Деинсталируйте его.
Да и настоящий WinRar

WinRAR 5.61 (64-разрядная) [2019/01/16 19:25:18]-->C:\Program Files\WinRAR\uninstall.exe

 
уже устарел. Его тоже деинсталируйте и скачайте последнюю финальную версию и поставьте.

2) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

3) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\thunde~1\appdata\local\temp\evbf9e1.tmp');
 QuarantineFile('c:\users\thunde~1\appdata\local\temp\evbf9e1.tmp', '');
 QuarantineFile('C:\Users\Thunderobot\AppData\Roaming\WinRAR_Tools\winrar_tool.exe', '');
 QuarantineFile('C:\Users\Thunderobot\AppData\Roaming\WinRAR_Tools\winrar_tool_update.exe', '');
 QuarantineFileF('C:\Users\Thunderobot\AppData\Roaming\WinRAR_Tools\winrar_tool.exe', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('c:\users\thunde~1\appdata\local\temp\evbf9e1.tmp', '');
 DeleteFile('c:\users\thunde~1\appdata\local\temp\evbf9e1.tmp', '64');
 DeleteFileMask('C:\Users\Thunderobot\AppData\Roaming\WinRAR_Tools\winrar_tool.exe', '*', true);
 DeleteDirectory('C:\Users\Thunderobot\AppData\Roaming\WinRAR_Tools\winrar_tool.exe');
 DeleteSchedulerTask('WinRARHelper');
 DeleteSchedulerTask('WinRARHelperUpdate');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[Goldi]

процедуру 2 выполнил

MD5 карантина: D64F43301D81A1DEEA9CFC677A1C8C4D
 

не могу выполнить скрипт в авз

Ошибка скрипта: Undeclared identifier: 'DeleteSchedulerTask', позиция [13:21]

[Sandor]

AVZ следует запускать из папки Автологера. В вашем случае это:

C:\Users\Thunderobot\Desktop\AutoLogger\AVZ\avz.exe

[Goldi]

 

 

begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\users\thunde~1\appdata\local\temp\evbf9e1.tmp'); QuarantineFile('c:\users\thunde~1\appdata\local\temp\evbf9e1.tmp', ''); QuarantineFile('C:\Users\Thunderobot\AppData\Roaming\WinRAR_Tools\winrar_tool.exe', ''); QuarantineFile('C:\Users\Thunderobot\AppData\Roaming\WinRAR_Tools\winrar_tool_update.exe', ''); QuarantineFileF('C:\Users\Thunderobot\AppData\Roaming\WinRAR_Tools\winrar_tool.exe', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('c:\users\thunde~1\appdata\local\temp\evbf9e1.tmp', ''); DeleteFile('c:\users\thunde~1\appdata\local\temp\evbf9e1.tmp', '64'); DeleteFileMask('C:\Users\Thunderobot\AppData\Roaming\WinRAR_Tools\winrar_tool.exe', '*', true); DeleteDirectory('C:\Users\Thunderobot\AppData\Roaming\WinRAR_Tools\winrar_tool.exe'); DeleteSchedulerTask('WinRARHelper'); DeleteSchedulerTask('WinRARHelperUpdate'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.

именно от туда и запускаю 

[Sandor]

Скриншот меню Справка - О программе покажите.

[regist]

именно от туда и запускаю

и по вашему скрину я уже вижу, что вы запускаете старый AVZ. То есть либо вы его запускаете не оттуда откуда надо (пути не виднго), либо скопировали "свой" AVZ туда и запускаете его. Разумеется у вас скрипт не отработает.

Изменено 27 февраля, 2019 пользователем regist

[Goldi]

ругается на позицию, которую я выделил 

[Sandor]

C:\Users\Thunderobot\Desktop\AutoLogger\AVZ\avz.exe

и

C:\Users\Thunderobot\Desktop\AutoLogger\avz.exe

Разницу видите?

[Goldi]

прошу прощения, за свою невнимательность

1. архив отправил KLAN-9682509720

2 автологи повторно выполнил 

 

после перезагрузки процесс не активировался, вроде бы все впорядке

 

 

CollectionLog-2019.02.27-11.50.zip

[regist]

Проверьте эти файлы на virustotal

C:\WINDOWS\UpdReg.EXE

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
 

 

 

1. архив отправил KLAN-9682509720

+ ответ из письма тоже напишите.