evb****.tmp загружает проц под 100%

[Spranky]

Добрый день!

Не так давно появился вирус,который запускается вместе с компьютером,,через минуту после загрузки винды.Заметил в простое высокую температуру (под 60 градусов).Сначала не понимал в чем дело - менял термопасту,охлад корпуса на максимум,доп вентиляторы - не помогало.Позже заметил,что при открытии диспетчера задач температура резко падает.Стал искать в процессах что именно нагружает.Нашел...

Оказалось это процесс tmp.При открытии диспетчера задач исчезает через пару секунд! Причем каждый раз разное имя файла.Может быть "evb8F44.tmp",а может "evb1923.tmp". При открытии диспетчера задач у меня есть буквально пару секунд,чтобы завершить древо процессов этого файла.На сегодняшний день только такой метод использую,чтобы компьютер не грелся.

Работаю/играю/сижу за компьютером со свернутым диспетчером.Это мне уже начинает надоедать,решил написать сюда.

Сканирование DR.Web и Kaspersky конечно делал,что-то находил,поудалял,но проблема не исчезла.Прошу помощи!

Провел сканирование прогой,которую нашел на этом форуме FIRST64- прилагаю результаты.Addition.txtFRST.txt

 

[kmscom]

И вам Добрый день, а еще внимательно прочитать и аккуратно выполнить указания в теме «Порядок оформления запроса о помощи».

[Spranky]

И вам Добрый день, а еще внимательно прочитать и аккуратно выполнить указания в теме «Порядок оформления запроса о помощи».

Если вы про файл логов - прилагаю.CollectionLog-2019.05.07-22.15.zip

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Users\Spranky\AppData\Local\Temp\evb6844.tmp');
 QuarantineFile('C:\Users\Spranky\AppData\Local\Temp\evb6844.tmp', '');
 QuarantineFile('C:\Users\Spranky\AppData\Roaming\WinRAR_Tools\winrar_tool.exe', '');
 QuarantineFile('C:\Users\Spranky\AppData\Roaming\WinRAR_Tools\winrar_tool_update.exe', '');
 QuarantineFileF('c:\users\spranky\appdata\roaming\winrar_tools', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Users\Spranky\AppData\Local\Temp\evb6844.tmp', '');
 DeleteFile('C:\Users\Spranky\AppData\Local\Temp\evb6844.tmp', '64');
 DeleteFile('C:\Users\Spranky\AppData\Roaming\WinRAR_Tools\winrar_tool.exe', '64');
 DeleteFile('C:\Users\Spranky\AppData\Roaming\WinRAR_Tools\winrar_tool_update.exe', '64');
 DeleteFileMask('"c:\users\spranky\appdata\roaming\winrar_tools', '*', true);
 DeleteFileMask('c:\users\spranky\appdata\roaming\winrar_tools', '*', true);
 DeleteDirectory('c:\users\spranky\appdata\roaming\winrar_tools');
 DeleteSchedulerTask('WinRARHelper');
 DeleteSchedulerTask('WinRARHelperUpdate');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Изменено 7 мая, 2019 пользователем regist

[Spranky]

Добрый день! Скрипт выполнил,отправил на адрес newvirus@kaspersky.com. 

 

Однако замечу,что по-непонятным причинам файл evb****tmp более не появляется в процессах и не нагружает систему!

Выходит,скрипт делал без участия данного вируса.Покажет ли он что-нибудь!? А самое главное - вернется ли проблема или с ней покончено? Если да,то как...?

[thyrex]

Выполните рекомендацию до конца

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[regist]

+ к посту @thyrex, также жду

 

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

[Spranky]

 

+ к посту @thyrex, также жду

 

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Добрый день! [KLAN-10045844125]

Логи прилагаю

CollectionLog-2019.05.10-00.32.zip

[regist]

 

 

Добрый день! [KLAN-10045844125]

ключевое слово я там специально выделил жирным, а вы опять проигнорировали. Вы написали только номер KLAN, а ответ, как детектируются (и детектируются ли файлы) не написали. А это было написано в ответом вам письме.

+

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

[Spranky]

 

Добрый день! [KLAN-10045844125]

ключевое слово я там специально выделил жирным, а вы опять проигнорировали. Вы написали только номер KLAN, а ответ, как детектируются (и детектируются ли файлы) не написали. А это было написано в ответом вам письме.

+

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

 

Добрый день! Сделал все как сказали

Ответ детектируются ли файлы к [KLAN-10045844125]:

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В ходе проверки в автоматическом режиме не удалось распаковать архив. Пожалуйста, пришлите нам пароль, которым защищен ваш архив или создайте новый архив с паролем "infected" (без кавычек).

Quarantine.rar

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ

 

Так же провел процедуру:

Ссылка на результаты анализа: https://virusinfo.info/virusdetector/report.php?md5=893BEB9D84963467E11F13CC2DCCFF78

 

MD5 карантина: 893BEB9D84963467E11F13CC2DCCFF78

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[Spranky]

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

 

Выполните рекомендации после лечения.

 

 

Выполнил скрипт,получил ссылки на обновления системы.После перезагрузки компьютер не запустился,пришлось восстанавливать систему... Данная рекомендация разочаровала,не хотелось бы более рисковать

[Sandor]

получил ссылки на обновления системы

То есть по этим ссылкам вы что-то обновили и возникла проблема, так?

Что именно обновляли не помните?

[Spranky]

 

получил ссылки на обновления системы

То есть по этим ссылкам вы что-то обновили и возникла проблема, так?

Что именно обновляли не помните?

 

Да,всё верно.Обновил системы безопасности windows по этой ссылке https://www.microsoft.com/ru-ru/download/confirmation.aspx?id=50276

[Sandor]

Почему не ставится обновление - можете проконсультироваться в соседнем разделе.