Перейти к содержанию
Правила раздела

evb****.tmp загружает проц под 100%

Spranky

От Spranky
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Spranky Новичок

Spranky

Опубликовано
Опубликовано

Добрый день!

Не так давно появился вирус,который запускается вместе с компьютером,,через минуту после загрузки винды.Заметил в простое высокую температуру (под 60 градусов).Сначала не понимал в чем дело - менял термопасту,охлад корпуса на максимум,доп вентиляторы - не помогало.Позже заметил,что при открытии диспетчера задач температура резко падает.Стал искать в процессах что именно нагружает.Нашел...

Оказалось это процесс tmp.При открытии диспетчера задач исчезает через пару секунд! Причем каждый раз разное имя файла.Может быть "evb8F44.tmp",а может "evb1923.tmp". При открытии диспетчера задач у меня есть буквально пару секунд,чтобы завершить древо процессов этого файла.На сегодняшний день только такой метод использую,чтобы компьютер не грелся.

Работаю/играю/сижу за компьютером со свернутым диспетчером.Это мне уже начинает надоедать,решил написать сюда.

Сканирование DR.Web и Kaspersky конечно делал,что-то находил,поудалял,но проблема не исчезла.Прошу помощи!

Провел сканирование прогой,которую нашел на этом форуме FIRST64- прилагаю результаты.Addition.txtFRST.txt

 

Ссылка на комментарий
Поделиться на другие сайты
Spranky Новичок

Spranky

Опубликовано
  • Автор
Опубликовано

И вам Добрый день, а еще внимательно прочитать и аккуратно выполнить указания в теме «Порядок оформления запроса о помощи».

Если вы про файл логов - прилагаю.CollectionLog-2019.05.07-22.15.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано (изменено)

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Users\Spranky\AppData\Local\Temp\evb6844.tmp');
 QuarantineFile('C:\Users\Spranky\AppData\Local\Temp\evb6844.tmp', '');
 QuarantineFile('C:\Users\Spranky\AppData\Roaming\WinRAR_Tools\winrar_tool.exe', '');
 QuarantineFile('C:\Users\Spranky\AppData\Roaming\WinRAR_Tools\winrar_tool_update.exe', '');
 QuarantineFileF('c:\users\spranky\appdata\roaming\winrar_tools', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Users\Spranky\AppData\Local\Temp\evb6844.tmp', '');
 DeleteFile('C:\Users\Spranky\AppData\Local\Temp\evb6844.tmp', '64');
 DeleteFile('C:\Users\Spranky\AppData\Roaming\WinRAR_Tools\winrar_tool.exe', '64');
 DeleteFile('C:\Users\Spranky\AppData\Roaming\WinRAR_Tools\winrar_tool_update.exe', '64');
 DeleteFileMask('"c:\users\spranky\appdata\roaming\winrar_tools', '*', true);
 DeleteFileMask('c:\users\spranky\appdata\roaming\winrar_tools', '*', true);
 DeleteDirectory('c:\users\spranky\appdata\roaming\winrar_tools');
 DeleteSchedulerTask('WinRARHelper');
 DeleteSchedulerTask('WinRARHelperUpdate');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты
Spranky Новичок

Spranky

Опубликовано
  • Автор
Опубликовано

Добрый день! Скрипт выполнил,отправил на адрес newvirus@kaspersky.com. 

 

Однако замечу,что по-непонятным причинам файл evb****tmp более не появляется в процессах и не нагружает систему!

Выходит,скрипт делал без участия данного вируса.Покажет ли он что-нибудь!? А самое главное - вернется ли проблема или с ней покончено? Если да,то как...?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните рекомендацию до конца

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Ссылка на комментарий
Поделиться на другие сайты
Spranky Новичок

Spranky

Опубликовано
  • Автор
Опубликовано

 

+ к посту @thyrex, также жду

 

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Добрый день! [KLAN-10045844125]

Логи прилагаю

CollectionLog-2019.05.10-00.32.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


Добрый день! [KLAN-10045844125]
ключевое слово я там специально выделил жирным, а вы опять проигнорировали. Вы написали только номер KLAN, а ответ, как детектируются (и детектируются ли файлы) не написали. А это было написано в ответом вам письме.

+

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

Ссылка на комментарий
Поделиться на другие сайты
Spranky Новичок

Spranky

Опубликовано
  • Автор
Опубликовано

 

Добрый день! [KLAN-10045844125]

ключевое слово я там специально выделил жирным, а вы опять проигнорировали. Вы написали только номер KLAN, а ответ, как детектируются (и детектируются ли файлы) не написали. А это было написано в ответом вам письме.

+

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

 

Добрый день! Сделал все как сказали

Ответ детектируются ли файлы к [KLAN-10045844125]:

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В ходе проверки в автоматическом режиме не удалось распаковать архив. Пожалуйста, пришлите нам пароль, которым защищен ваш архив или создайте новый архив с паролем "infected" (без кавычек).

Quarantine.rar

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ

 

Так же провел процедуру:

Ссылка на результаты анализа: https://virusinfo.info/virusdetector/report.php?md5=893BEB9D84963467E11F13CC2DCCFF78

 

MD5 карантина: 893BEB9D84963467E11F13CC2DCCFF78

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на комментарий
Поделиться на другие сайты
Spranky Новичок

Spranky

Опубликовано
  • Автор
Опубликовано

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

 

Выполните рекомендации после лечения.

 

 

Выполнил скрипт,получил ссылки на обновления системы.После перезагрузки компьютер не запустился,пришлось восстанавливать систему... Данная рекомендация разочаровала,не хотелось бы более рисковать

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

получил ссылки на обновления системы

То есть по этим ссылкам вы что-то обновили и возникла проблема, так?

Что именно обновляли не помните?

Ссылка на комментарий
Поделиться на другие сайты
Spranky Новичок

Spranky

Опубликовано
  • Автор
Опубликовано

 

получил ссылки на обновления системы

То есть по этим ссылкам вы что-то обновили и возникла проблема, так?

Что именно обновляли не помните?

 

Да,всё верно.Обновил системы безопасности windows по этой ссылке https://www.microsoft.com/ru-ru/download/confirmation.aspx?id=50276

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • atlantaaa4
      вирус UtorrentProPro грузит проц до 100%
      От atlantaaa4
      после скачивания очередной игры заметил что процессор в простое стал грузиться.
      если попытаться удалить папку с торрентом он скачивается заново после перезапуска винды
      CollectionLog-2024.09.02-17.31.zip
    • Elly
      Викторина по списку ТОП-100 от Евгения Касперского. Правила
      От Elly
      Друзья!
       
      Все мы знаем, что Евгений Касперский очень любит путешествовать. Его форумные рассказы о тех или иных местах зачастую читаются на одном дыхании.
      Вот что пишет сам Евгений Касперский об этом:
       
      Мы подготовили для вас викторину из 15 вопросов по ТОП-100 мест от Евгения Касперского, опубликованных на сайте https://eugene.kaspersky.ru с хештегом #Top100.
       
      ПРАВИЛА
      – викторина состоит из 15 вопросов, опубликованных ЗДЕСЬ;
      – каждый вопрос относится к информации, опубликованной на сайте https://eugene.kaspersky.ru с хештегом #Top100;
      – заполнить и отправить форму можно несколько раз, но засчитан будет только первый отправленный ответ.
       
      НАГРАЖДЕНИЕ
      Без ошибок — 1000 баллов Одна ошибка — 800 баллов Две ошибки — 500 баллов Баллами можно оплатить лицензии и сувениры в магазине Клуба. 
       
      ПРАВИЛА ПРОВЕДЕНИЯ
      Викторина проводится до 20:00 26 ноября 2024 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю @oit (пользователя @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений.

      Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов или существенных подозрений со стороны Администрации клуба его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов, принимаются в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами.
      Для перехода к вопросам викторины нажмите ЗДЕСЬ.
       
      Удачи!
    • Magerattor J.
      [РЕШЕНО] Стала сильно загружаться система, возможно подхватил майнер
      От Magerattor J.
      Сегодня после загрузки программы сама открывалась командная строка и пк стал сильно зависать. В диспетчере задач, при открытии, на секунду видна загрузка процессора под 80% и выше, после чего она спадает, но если долго бездействовать, то нагрузка вновь возрастет до 50+ процентов. С помощью доктора веба проверял, ничего не нашел, однако в самом диспетчере подозрительно много одних и тех же служб svhost waxp и др. Уже пытался откатить до последнего сохраненного образа, что не дало результата, ибо майнер снова открыл командную строку. Пытался переустановить виндовс, с последующими мучениями на драйвера с интернетом(судя по тому, что загрузка цп все еще идет при открытии диспетчера под 80%, то это не помогло). в безопасном режиме при открытии диспетчера никакой нагрузки в 80% не наблюдается.  

      CollectionLog-2024.09.29-21.18.zip
    • Crazardguy
      Майнер загружает ЦП и видеокарту
      От Crazardguy
      Добрый день!
      Два дня назад при скачивании файла с Интернета обнаружил, что при запуске игры, которая прежде работала без проблем, появились подвисания длительностью в полсекунды с периодичностью раз в 1-2 секунды. В диспетчере задач при этом увидел большую загрузку ЦП и видеокарты, а в столбце "Ядро GPU" - название процессора с подписью " - copy".
      При проверке антивирусами только Dr.Web смог найти вредоносный файл, и после лечения несколько часов проблемы не возникало, но сейчас она вернулась. Повторная проверка антивирусом каждый раз сбивается и выдаёт ошибку

      Прошу помочь с данной проблемой
    • Revisited_User
      Жёсткий диск уходит в 100%
      От Revisited_User
      Доброго времени суток! Устал бороться с непонятной для меня проблемой, на то и создал эту тему. Проблема в том, что иногда диск может резко уйти в 100%, при это cреднее время ответа 0 мс, скорость записи 0 кб/с, скорость чтения 0 кб/с, а активное чтение 100%. Вдобавок, когда начинается эта фигня, замтено и то, что подсветка винтов начинает мерцать и впадает в какой-то "лаганный" цикл. Из-за этого страдает система, но больше всего диск, да будь то запуск самой ОС, либо взаимодействие с различными программами. Два дня я не мог полноценно пользоваться компьютером, т.к. мало того, что мне надо было дождаться пока пройдет логотип мат.платы, который высвечивается при включении, так еще иногда вылазила проверка диска с временем, котороую можно было "скипнуть" при нажатии любой кнопки. За это время мой жесткий диск испробовал на себе много чего, начиная с файлого типа RAW, заканчивая отсутсивием файловой системы (Стоит подметить, что я не мог с ним взаимодействовать, даже в CMD). Затем я задумался обновить биос. После того, как обновил его, система спокойно запустилась, данные на диске были не тронуты и отображались, но спустя час жесткий диск дал напомнить о себе (Подсветка клуеров также стала "дерганной").
      Если вы, уважаемые пользователи данног форума, подумали на жесткий диск, то поспешу вас уведомить о том, что эта дребедень случалась и со старым моим диском, а этот диск я приобрел не так уж и давно, месяца два-три назад. Обычно хватало пол дня для фикса (оно само фиксилось), а сейчас же уходит более двух дней. Грешу на мать, но и БП не исключаю из списка.
      Блок питания be quiet! SYSTEM POWER 9 600W
      (BULK) Плата Asrock AM4 B450 B450M STEEL LEGEND
      Процессор AMD Ryzen 5 3500X OEM
      Видеокарта MSI GeForce RTX 4060 Ti GAMING X SLIM WHITE
      Память DIMM DDR4 8192MB PC28800 3600MHz Goodram IRDM Pro White (2x8)
       
×
×
  • Создать...