Живучий вирус #.tmp.exe меняющий свой номер

@zxasq · Регистрация: 13.09.2015

Студворк — интернет-сервис помощи студентам

Здравствуйте! сестра скачала какой-то образец заявки в виде приложения и запустила вирусняк. увидел, что у меня стоит прога с номером #.tmp.exe лежащая в папке по адресу C/Temp/ и она постоянно пытается выйти в интернет и при запуске компа уже стоит разрешенной в автоматическом запуске программой в работе компьютера. При попытки ее удалить в ручную она удаляется и ровно через несколько секунд снова появляется на том же месте но уже с другим номером например 1C.tmp.exe
Сегодня она уже с названием 1.tmp.exe
Проверял Eset NOD32 - он не распознает, что это вирус.
Помогите мне его удалить.

@zxasq · 20.01.2017, 10:40 **[ТС]**

файл логов прилагаю

@zxasq · 20.01.2017, 10:47 **[ТС]**

выполненный от имени администратора

@Sandor · 20.01.2017, 10:58

Здравствуйте!

На этот раз не бросите тему на пол пути?

Внимание! Рекомендации написаны специально для пользователя zxasq. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced SystemCare 10
Driver Booster 4.1
IObit Uninstaller
Unity Web Player

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\ips\appdata\local\temp\55af.tmp.exe');
 QuarantineFileF('c:\users\ips\appdata\local\fupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\ips\appdata\local\sysnet', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\users\ips\appdata\local\temp\55af.tmp.exe', '');
 QuarantineFile('C:\Users\IPS\AppData\Local\fupdate\fupdate.exe', '');
 QuarantineFile('C:\Users\IPS\AppData\Local\sysnet\sysnet.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "sysnet" /F', 0, 15000, true);
 DeleteFile('c:\users\ips\appdata\local\temp\55af.tmp.exe', '32');
 DeleteFile('C:\Users\IPS\AppData\Local\fupdate\fupdate.exe', '32');
 DeleteFile('C:\Users\IPS\AppData\Local\sysnet\sysnet.exe', '32');
 DeleteFileMask('c:\users\ips\appdata\local\fupdate', '*', true);
 DeleteFileMask('c:\users\ips\appdata\local\sysnet', '*', true);
 DeleteDirectory('c:\users\ips\appdata\local\fupdate');
 DeleteDirectory('c:\users\ips\appdata\local\sysnet');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fojjzvhsfv','command');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте и прикрепите лог сканирования AdwCleaner.

@zxasq · 20.01.2017, 11:25 **[ТС]**

Advanced SystemCare 10
Driver Booster 4.1
IObit Uninstaller
Unity Web Player
программы удалены

Файл quarantine.zip отправлен с помощью Вашей формы

Отчет о работе утилиты ClearLNK прикрепляю

Лог сканирования AdwCleaner прикрепляю

@Sandor · 20.01.2017, 11:31

1.

Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@zxasq · 20.01.2017, 11:54 **[ТС]**

есть контакт

@Sandor · 20.01.2017, 12:04

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.

Windows Batch file
start
CreateRestorePoint:
FF Homepage: Mozilla\Firefox\Profiles\7z81kr9v.default-1484007818875 -> hxxps://go.mail.ru/?fr=ffhp1.0.4&gp=818404
FF Keyword.URL: Mozilla\Firefox\Profiles\7z81kr9v.default-1484007818875 -> hxxp://go.mail.ru/distib/ep/?product_id=%7B435BC95D-73F2-40B4-891A-AD1D8934648F%7D&gp=811010
FF Extension: (No Name) - C:\Users\IPS\AppData\Roaming\Mozilla\Firefox\Profiles\7z81kr9v.default-1484007818875\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
2017-01-20 11:44 - 2014-08-14 21:50 - 00000000 ____D C:\Program Files (x86)\IObit
2017-01-20 11:16 - 2014-08-14 21:50 - 00000000 ____D C:\Users\Все пользователи\ProductData
2017-01-20 11:16 - 2014-08-14 21:50 - 00000000 ____D C:\ProgramData\ProductData
Task: {8CCE7876-2246-4AE3-B7DA-BA04662E4509} - System32\Tasks\Uninstaller_SkipUac_Administrator => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
Task: {945D89EE-615B-4BF8-A07F-4AF37638A005} - System32\Tasks\Driver Booster SkipUAC (Администратор) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
HKU\S-1-5-21-704664532-3564980557-4209013302-1000\Software\Classes\.scr: scrfile =>  <===== ATTENTION
MSCONFIG\startupreg: fojjzvhsfv => explorer "http://imatiro.ru/?utm_source=uoua03&utm_content=2ab9a970874b6c3a100ddbe365669ec3&utm_term=C6EF612C018BCCAFD1ACC36769409888&utm_d=20170120"
MSCONFIG\startupreg: IObit Malware Fighter => "C:\Program Files (x86)\IObit\IObit Malware Fighter\IMF.exe" /autostart
FirewallRules: [{1634B253-815F-4BB6-9842-610175724B3E}] => C:\Program Files (x86)\IObit\Advanced SystemCare\Surfing Protection\FFNativeMessage.exe
FirewallRules: [{FC970882-AA9F-41F4-ACCE-51CBD0DF2911}] => C:\Program Files (x86)\IObit\Advanced SystemCare\Surfing Protection\FFNativeMessage.exe
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

@zxasq · 20.01.2017, 12:16 **[ТС]**

выполнено

@Sandor · 20.01.2017, 13:04

Что сейчас с проблемой?

@zxasq · 20.01.2017, 13:08 **[ТС]**

исчезли все сохраненные закладки в google chrome, но не столь велика потеря. вирусных файлов больше не видно, всё чисто. спасибо огромное! котейка тоже Вам благодарна (:

@Sandor · 20.01.2017, 13:10

В завершение:
1.

Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@zxasq · 20.01.2017, 13:15 **[ТС]**

выполнено

@Sandor · 20.01.2017, 13:34

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17914 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2014-12-12 04:15:32
--------------------------- [ OtherUtilities ] ----------------------------
Oracle VM VirtualBox 5.0.20 v.5.0.20 Внимание! Скачать обновления
Microsoft Silverlight v.4.0.60310.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.17 v.7.17.105 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.3.40298 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 102 (64-bit) v.8.0.1020.14 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u121-windows-x64.exe)^
Java 2 Runtime Environment Standard Edition v1.2.2 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u121-windows-i586.exe).
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.23.0.0.257 Внимание! Скачать обновления
Adobe Reader 9.1 - Russian v.9.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.54.0.2840.99 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
QIP Internet Guardian Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Hamster PDF Reader 2.0.0.27 v.2.0.0.27 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Прочтите и выполните Рекомендации после удаления вредоносного ПО

@zxasq · 20.01.2017, 14:24 **[ТС]**

понял, благодарю! (:

Новые блоги и статьи Все статьи Все блоги /
Валидация и контроль данных табличной части документа перед записью Maks 22.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в КА2. Задача: контроль и валидация данных табличной части документа перед записью с учетом регламента компании. . .	Отчёт о затраченных материалах за определенный период с макетом печатной формы Maks 21.04.2026 Отчёт из решения ниже размещён в конфигурации КА2. Задача: разработка отчёта по затраченным материалам за определённый период, с возможностью вывода печатной формы отчёта с шапкой и подвалом. В. . .	Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .	Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .
Запрет удаления строк ТЧ документа при определённом условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .	Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .

@zxasq 0 / 0 / 0 Регистрация: 13.09.2015 Сообщений: 18

	Живучий вирус #.tmp.exe меняющий свой номер 20.01.2017, 10:15. Показов 40274. Ответов 14 Метки нет (Все метки) Здравствуйте! сестра скачала какой-то образец заявки в виде приложения и запустила вирусняк. увидел, что у меня стоит прога с номером #.tmp.exe лежащая в папке по адресу C/Temp/ и она постоянно пытается выйти в интернет и при запуске компа уже стоит разрешенной в автоматическом запуске программой в работе компьютера. При попытки ее удалить в ручную она удаляется и ровно через несколько секунд снова появляется на том же месте но уже с другим номером например 1C.tmp.exe Сегодня она уже с названием 1.tmp.exe Проверял Eset NOD32 - он не распознает, что это вирус. Помогите мне его удалить. 0

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,983
	20.01.2017, 11:31
	1. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,983
	20.01.2017, 13:04
	Что сейчас с проблемой? 0

@zxasq 0 / 0 / 0 Регистрация: 13.09.2015 Сообщений: 18
	20.01.2017, 13:08 [ТС]
	исчезли все сохраненные закладки в google chrome, но не столь велика потеря. вирусных файлов больше не видно, всё чисто. спасибо огромное! котейка тоже Вам благодарна (: Миниатюры 0

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,983
	20.01.2017, 13:10
	В завершение: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,983
	20.01.2017, 13:34
	------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.9600.17914 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено Дата установки обновлений: 2014-12-12 04:15:32 --------------------------- [ OtherUtilities ] ---------------------------- Oracle VM VirtualBox 5.0.20 v.5.0.20 Внимание! Скачать обновления Microsoft Silverlight v.4.0.60310.0 Внимание! Скачать обновления --------------------------------- [ IM ] ---------------------------------- Skype™ 7.17 v.7.17.105 Внимание! Скачать обновления *^Необязательное обновление.^* --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.3.40298 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 102 (64-bit) v.8.0.1020.14 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u121-windows-x64.exe)^ Java 2 Runtime Environment Standard Edition v1.2.2 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u121-windows-i586.exe). --------------------------- [ AdobeProduction ] --------------------------- Adobe AIR v.23.0.0.257 Внимание! Скачать обновления Adobe Reader 9.1 - Russian v.9.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC. ------------------------------- [ Browser ] ------------------------------- Google Chrome v.54.0.2840.99 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Google Chrome!^ ---------------------------- [ UnwantedApps ] ----------------------------- QIP Internet Guardian Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Hamster PDF Reader 2.0.0.27 v.2.0.0.27 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Прочтите и выполните Рекомендации после удаления вредоносного ПО 0

@zxasq 0 / 0 / 0 Регистрация: 13.09.2015 Сообщений: 18
	20.01.2017, 14:24 [ТС]
	понял, благодарю! (: 0