Вирус g****.tmp.exe в папке Temp

[Yaroslav123]

После скачивания приложения в папке Temp появились файлы типа:g6E7B.tmp.exe,g898a.tmp.exe и т.д;Заметил их с помощью AnVir Task Manager, ведь когда я открывал диспетчер он сразу же прячется.CollectionLog-2021.09.20-20.27.zip

[thyrex]

В архиве не хватает нужных логов. Переделывайте.

[Yaroslav123]

Вот свежие логи:

CollectionLog-2021.09.22-17.52.zip

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
  TerminateProcessByName('C:\Windows\Temp\sppsvc.exe');
 QuarantineFile('C:\Windows\Temp\sppsvc.exe','');
QuarantineFile('C:\Users\VERA\AppData\Roaming\sysinfotool\sitool.exe','');
 QuarantineFile('C:\Program Files (x86)\GipBsAWvZXsh\GipBsAWvZXsh.dll','');
 DeleteFile('C:\Users\VERA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wNrnYvjAkQ.url','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^VERA^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^wNrnYvjAkQ.url','x64');
 DeleteFile('C:\Program Files (x86)\GipBsAWvZXsh\GipBsAWvZXsh.dll','64');
 DeleteSchedulerTask('GipBsAWvZXsh');
 DeleteSchedulerTask('Microsoft\Windows\Windows Error Reporting\SystemInfoTool');
 DeleteFile('C:\Users\VERA\AppData\Roaming\sysinfotool\sitool.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите с помощью формы отправки карантина.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Yaroslav123]

Логи прикрепить перед выполнением скрипта и перезагрузки компьютера, или уже после?

[thyrex]

Рекомендации выполняют в том порядке, в котором они написаны.

[Yaroslav123]

Вот свежие логи после выполнения скрипта:
CollectionLog-2021.09.23-19.39.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.