Перейти к содержанию
Правила раздела
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

evb****.tmp загружает проц под 100%

Spranky

Автор Spranky
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Spranky

Spranky

Опубликовано
Опубликовано

Добрый день!

Не так давно появился вирус,который запускается вместе с компьютером,,через минуту после загрузки винды.Заметил в простое высокую температуру (под 60 градусов).Сначала не понимал в чем дело - менял термопасту,охлад корпуса на максимум,доп вентиляторы - не помогало.Позже заметил,что при открытии диспетчера задач температура резко падает.Стал искать в процессах что именно нагружает.Нашел...

Оказалось это процесс tmp.При открытии диспетчера задач исчезает через пару секунд! Причем каждый раз разное имя файла.Может быть "evb8F44.tmp",а может "evb1923.tmp". При открытии диспетчера задач у меня есть буквально пару секунд,чтобы завершить древо процессов этого файла.На сегодняшний день только такой метод использую,чтобы компьютер не грелся.

Работаю/играю/сижу за компьютером со свернутым диспетчером.Это мне уже начинает надоедать,решил написать сюда.

Сканирование DR.Web и Kaspersky конечно делал,что-то находил,поудалял,но проблема не исчезла.Прошу помощи!

Провел сканирование прогой,которую нашел на этом форуме FIRST64- прилагаю результаты.Addition.txtFRST.txt

 

regist

regist

Опубликовано
Опубликовано (изменено)

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Users\Spranky\AppData\Local\Temp\evb6844.tmp');
 QuarantineFile('C:\Users\Spranky\AppData\Local\Temp\evb6844.tmp', '');
 QuarantineFile('C:\Users\Spranky\AppData\Roaming\WinRAR_Tools\winrar_tool.exe', '');
 QuarantineFile('C:\Users\Spranky\AppData\Roaming\WinRAR_Tools\winrar_tool_update.exe', '');
 QuarantineFileF('c:\users\spranky\appdata\roaming\winrar_tools', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Users\Spranky\AppData\Local\Temp\evb6844.tmp', '');
 DeleteFile('C:\Users\Spranky\AppData\Local\Temp\evb6844.tmp', '64');
 DeleteFile('C:\Users\Spranky\AppData\Roaming\WinRAR_Tools\winrar_tool.exe', '64');
 DeleteFile('C:\Users\Spranky\AppData\Roaming\WinRAR_Tools\winrar_tool_update.exe', '64');
 DeleteFileMask('"c:\users\spranky\appdata\roaming\winrar_tools', '*', true);
 DeleteFileMask('c:\users\spranky\appdata\roaming\winrar_tools', '*', true);
 DeleteDirectory('c:\users\spranky\appdata\roaming\winrar_tools');
 DeleteSchedulerTask('WinRARHelper');
 DeleteSchedulerTask('WinRARHelperUpdate');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Изменено пользователем regist
Spranky

Spranky

Опубликовано
  • Автор
Опубликовано

Добрый день! Скрипт выполнил,отправил на адрес newvirus@kaspersky.com. 

 

Однако замечу,что по-непонятным причинам файл evb****tmp более не появляется в процессах и не нагружает систему!

Выходит,скрипт делал без участия данного вируса.Покажет ли он что-нибудь!? А самое главное - вернется ли проблема или с ней покончено? Если да,то как...?

thyrex

thyrex

Опубликовано
Опубликовано

Выполните рекомендацию до конца

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

regist

regist

Опубликовано
Опубликовано

+ к посту @thyrex, также жду

 

 


Полученный ответ сообщите здесь (с указанием номера KLAN)
regist

regist

Опубликовано
Опубликовано

 

 


Добрый день! [KLAN-10045844125]
ключевое слово я там специально выделил жирным, а вы опять проигнорировали. Вы написали только номер KLAN, а ответ, как детектируются (и детектируются ли файлы) не написали. А это было написано в ответом вам письме.

+

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

Spranky

Spranky

Опубликовано
  • Автор
Опубликовано

 

Добрый день! [KLAN-10045844125]

ключевое слово я там специально выделил жирным, а вы опять проигнорировали. Вы написали только номер KLAN, а ответ, как детектируются (и детектируются ли файлы) не написали. А это было написано в ответом вам письме.

+

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

 

Добрый день! Сделал все как сказали

Ответ детектируются ли файлы к [KLAN-10045844125]:

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В ходе проверки в автоматическом режиме не удалось распаковать архив. Пожалуйста, пришлите нам пароль, которым защищен ваш архив или создайте новый архив с паролем "infected" (без кавычек).

Quarantine.rar

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ

 

Так же провел процедуру:

Ссылка на результаты анализа: https://virusinfo.info/virusdetector/report.php?md5=893BEB9D84963467E11F13CC2DCCFF78

 

MD5 карантина: 893BEB9D84963467E11F13CC2DCCFF78

regist

regist

Опубликовано
Опубликовано

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Spranky

Spranky

Опубликовано
  • Автор
Опубликовано

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

 

Выполните рекомендации после лечения.

 

 

Выполнил скрипт,получил ссылки на обновления системы.После перезагрузки компьютер не запустился,пришлось восстанавливать систему... Данная рекомендация разочаровала,не хотелось бы более рисковать

Sandor

Sandor

Опубликовано
Опубликовано

получил ссылки на обновления системы

То есть по этим ссылкам вы что-то обновили и возникла проблема, так?

Что именно обновляли не помните?

Spranky

Spranky

Опубликовано
  • Автор
Опубликовано

 

получил ссылки на обновления системы

То есть по этим ссылкам вы что-то обновили и возникла проблема, так?

Что именно обновляли не помните?

 

Да,всё верно.Обновил системы безопасности windows по этой ссылке https://www.microsoft.com/ru-ru/download/confirmation.aspx?id=50276

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sxhwre
      Очень сильно просел интернет, маленькая скорость загрузки, предполагаю что у меня вирус
      Автор sxhwre
      CollectionLog-2026.06.06-23.09.zip
      забыл более подробно написать о проблеме, как бы стыдно щас не было но это началось после того как я скачал игру с интернета
    • Zhenya__
      Ноутбук на 10-15 секунд, раз в 3-4 минуты глючит. На постоянной основе немного глючит
      Автор Zhenya__
      WinDef пожаловался на это Trojan:Win32/Malgent!MSR. Я решил обратиться за помощью сюда и узнать как его удалить, нашёл инструкцию по тому как обращаться, скачал программу и проверил ноутбук. Трояна он не нашёл, но нашёл что то другое, и когда я нажал на удалить всё зависло минут на 5 и ноут выключился. После всего этого ноут тупит, прогу не могу найти, а инструкция пропала. Про троян - WinDef его удалял, но он снова появлялся. Каюсь, хотел скачать чит на роблокс, это и есть Xeno(качал с официального сайта)

    • Altair Studio
      Компьютер жестко виснет и пропадает инет, как будто агент ИИ работает
      Автор Altair Studio
      Добрый день.
      Месяца 2 борюсь с явным умышленным проникновением ко мпен в локальную сеть и ПК. То интернет пропадет то какие то непонятные траблы с учетными записями да много всего не упомнишь, операционку менял раза 4 как будто в сам биос перепрошили программу или я не знаю как. 
      CollectionLog-2026.06.03-06.46.zip
    • Golem555
      Компьютер начал сильно загружаться
      Автор Golem555
      Компьютер опять начал сильно загружаться, просматривал на что уходит мощность и афигел
      CollectionLog-2026.06.01-20.25.zip
    • Инс
      Вирус перемещает случайные файлы в TMP, а потом удаляет
      Автор Инс
      Суть:
      - вирусняк переносит случайные файлы, надёрганные отовсюду кластерами, в папку Тmp(папка временных файлов винды из настроек переменных сред), а оттуда уже удаляет через какое-то время(~минута), прям в реалтайме
      - в автозагрузке пусто
      - планировщик заданий чистый(единственно задачи винды не песочил)
      - в системных службах тоже ничего подозрительного
      - диспетчер задач ничего опасного не показывает
      - двеб и касперский ничего не находят, касперский вообще никак не реагирует на то что прям при нём файлы куда-то перемещаются и удаляются
      - вирус запускается сам по себе непонятно от чего, но 100% запуск если включить поиск по диску, например "дата создания ‎25.‎05.‎2026"
      - при этом в первую очередь удаляет игры, папки мод и сохранки (бедный Зомбоид, который я последний раз запускал лет 5 назад, раздербанил почти в 0)
      Что это вообще такое?
       
      Вин7, установлена лет 10 как, всякое было, но чтоб вот так - первый раз. Я подобное видел только на ХП, думал что на Вин7 нельзя просто вот взять и поудалять чё хошь, без желания пользователя.
      Пока что заблокировал удаление тем что убрал запись в папке Tmp, вирус стучится туда(видно про монитору ресурсов диспетчера), но не может удалить файлы.
      Прежде чем заметил не знаю сколько всего удалило вирусом, но точно на моих глазах он удалил на 3гб, прежде чем я окончательно сообразил что происходит, заметил вообще потому что он удалил несколько ярлыков с рабочего стола и я пошёл искать что это такое.
      CollectionLog-2026.05.25-14.44.zip
×
×
  • Создать...