Перейти к содержанию
Правила раздела

evb****.tmp загружает проц под 100%

Spranky

Автор Spranky
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Spranky

Spranky

Опубликовано
Опубликовано

Добрый день!

Не так давно появился вирус,который запускается вместе с компьютером,,через минуту после загрузки винды.Заметил в простое высокую температуру (под 60 градусов).Сначала не понимал в чем дело - менял термопасту,охлад корпуса на максимум,доп вентиляторы - не помогало.Позже заметил,что при открытии диспетчера задач температура резко падает.Стал искать в процессах что именно нагружает.Нашел...

Оказалось это процесс tmp.При открытии диспетчера задач исчезает через пару секунд! Причем каждый раз разное имя файла.Может быть "evb8F44.tmp",а может "evb1923.tmp". При открытии диспетчера задач у меня есть буквально пару секунд,чтобы завершить древо процессов этого файла.На сегодняшний день только такой метод использую,чтобы компьютер не грелся.

Работаю/играю/сижу за компьютером со свернутым диспетчером.Это мне уже начинает надоедать,решил написать сюда.

Сканирование DR.Web и Kaspersky конечно делал,что-то находил,поудалял,но проблема не исчезла.Прошу помощи!

Провел сканирование прогой,которую нашел на этом форуме FIRST64- прилагаю результаты.Addition.txtFRST.txt

 

regist

regist

Опубликовано
Опубликовано (изменено)

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Users\Spranky\AppData\Local\Temp\evb6844.tmp');
 QuarantineFile('C:\Users\Spranky\AppData\Local\Temp\evb6844.tmp', '');
 QuarantineFile('C:\Users\Spranky\AppData\Roaming\WinRAR_Tools\winrar_tool.exe', '');
 QuarantineFile('C:\Users\Spranky\AppData\Roaming\WinRAR_Tools\winrar_tool_update.exe', '');
 QuarantineFileF('c:\users\spranky\appdata\roaming\winrar_tools', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Users\Spranky\AppData\Local\Temp\evb6844.tmp', '');
 DeleteFile('C:\Users\Spranky\AppData\Local\Temp\evb6844.tmp', '64');
 DeleteFile('C:\Users\Spranky\AppData\Roaming\WinRAR_Tools\winrar_tool.exe', '64');
 DeleteFile('C:\Users\Spranky\AppData\Roaming\WinRAR_Tools\winrar_tool_update.exe', '64');
 DeleteFileMask('"c:\users\spranky\appdata\roaming\winrar_tools', '*', true);
 DeleteFileMask('c:\users\spranky\appdata\roaming\winrar_tools', '*', true);
 DeleteDirectory('c:\users\spranky\appdata\roaming\winrar_tools');
 DeleteSchedulerTask('WinRARHelper');
 DeleteSchedulerTask('WinRARHelperUpdate');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Изменено пользователем regist
Spranky

Spranky

Опубликовано
  • Автор
Опубликовано

Добрый день! Скрипт выполнил,отправил на адрес newvirus@kaspersky.com. 

 

Однако замечу,что по-непонятным причинам файл evb****tmp более не появляется в процессах и не нагружает систему!

Выходит,скрипт делал без участия данного вируса.Покажет ли он что-нибудь!? А самое главное - вернется ли проблема или с ней покончено? Если да,то как...?

thyrex

thyrex

Опубликовано
Опубликовано

Выполните рекомендацию до конца

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

regist

regist

Опубликовано
Опубликовано

+ к посту @thyrex, также жду

 

 


Полученный ответ сообщите здесь (с указанием номера KLAN)
regist

regist

Опубликовано
Опубликовано

 

 


Добрый день! [KLAN-10045844125]
ключевое слово я там специально выделил жирным, а вы опять проигнорировали. Вы написали только номер KLAN, а ответ, как детектируются (и детектируются ли файлы) не написали. А это было написано в ответом вам письме.

+

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

Spranky

Spranky

Опубликовано
  • Автор
Опубликовано

 

Добрый день! [KLAN-10045844125]

ключевое слово я там специально выделил жирным, а вы опять проигнорировали. Вы написали только номер KLAN, а ответ, как детектируются (и детектируются ли файлы) не написали. А это было написано в ответом вам письме.

+

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

 

Добрый день! Сделал все как сказали

Ответ детектируются ли файлы к [KLAN-10045844125]:

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В ходе проверки в автоматическом режиме не удалось распаковать архив. Пожалуйста, пришлите нам пароль, которым защищен ваш архив или создайте новый архив с паролем "infected" (без кавычек).

Quarantine.rar

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ

 

Так же провел процедуру:

Ссылка на результаты анализа: https://virusinfo.info/virusdetector/report.php?md5=893BEB9D84963467E11F13CC2DCCFF78

 

MD5 карантина: 893BEB9D84963467E11F13CC2DCCFF78

regist

regist

Опубликовано
Опубликовано

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Spranky

Spranky

Опубликовано
  • Автор
Опубликовано

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

 

Выполните рекомендации после лечения.

 

 

Выполнил скрипт,получил ссылки на обновления системы.После перезагрузки компьютер не запустился,пришлось восстанавливать систему... Данная рекомендация разочаровала,не хотелось бы более рисковать

Sandor

Sandor

Опубликовано
Опубликовано

получил ссылки на обновления системы

То есть по этим ссылкам вы что-то обновили и возникла проблема, так?

Что именно обновляли не помните?

Spranky

Spranky

Опубликовано
  • Автор
Опубликовано

 

получил ссылки на обновления системы

То есть по этим ссылкам вы что-то обновили и возникла проблема, так?

Что именно обновляли не помните?

 

Да,всё верно.Обновил системы безопасности windows по этой ссылке https://www.microsoft.com/ru-ru/download/confirmation.aspx?id=50276

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • wxnqsl
      Вопрос о удалённом доступе
      Автор wxnqsl
      Здравствуйте, нужна срочная помощь. У меня на протяжении недели взламывают аккаунты, я уже чистил винду антивирусом, переустановил винду, и всё напрасно
      Я так понимаю, мошенник создал удалённым доступ с пк, как его выгнать с моего устройства? Взламывал тг, я захожу и моя сессия сразу завершается, сегодня произошло с вк тоже самое, помогите пожалуйста!!!
    • Mihail121
      системный администратор ограничил доступ к некоторым областям этого приложения
      Автор Mihail121
      не могу зайти в защита от вирусов и угроз
    • userHeLmW
      Майнер грузит видеокарту
      Автор userHeLmW
      Решил установить и активировать MS Office и после этого (спустя несколько дней) видеокарта стала грузиться на 100%
      CollectionLog-2026.03.10-16.24.zip
    • welsyyy
      Удаление вируса
      Автор welsyyy
      Антивирус постоянно удаляет один и тот же файл в ProgramData, вирус сразу же восстанавливается, не знаю что с этим делать, буду рад если поможете

    • LevaAttacker
      [РЕШЕНО] Вирусы
      Автор LevaAttacker
      Здравствуйте! Недавно ставил чистую винду с форматированием дисков, и каким-то образом появились майнеры, и удалить их никак не могу, Также, когда пытаюсь открыть regedit, он сразу же закрывается.

×
×
  • Создать...