Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.64/25: Рейтинг темы: голосов - 25, средняя оценка - 4.64
zxasq
0 / 0 / 0
Регистрация: 13.09.2015
Сообщений: 18
1

Живучий вирус #.tmp.exe меняющий свой номер

20.01.2017, 10:15. Просмотров 5088. Ответов 14
Метки нет (Все метки)

Здравствуйте! сестра скачала какой-то образец заявки в виде приложения и запустила вирусняк. увидел, что у меня стоит прога с номером #.tmp.exe лежащая в папке по адресу C/Temp/ и она постоянно пытается выйти в интернет и при запуске компа уже стоит разрешенной в автоматическом запуске программой в работе компьютера. При попытки ее удалить в ручную она удаляется и ровно через несколько секунд снова появляется на том же месте но уже с другим номером например 1C.tmp.exe
Сегодня она уже с названием 1.tmp.exe
Проверял Eset NOD32 - он не распознает, что это вирус.
Помогите мне его удалить.
0
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
20.01.2017, 10:15
Ответы с готовыми решениями:

Живучий вирус #.tmp.exe который все время меняется
Здравствуйте! Где-то подцепил вирус и теперь в дистпечере задач все время висит...

Вирус .tmp.exe в папке Temp
Здравствуйте! При каждом запуске компьютера в C:\Windows\Temp появляется файл с...

Вирус #.tmp.exe с меняющимся номером
Здравствуйте. В C:\Windows\temp находятся файлы #tmp, #tmp.exe, adobegc.log и...

Вирус .tmp.exe - Удаление вирусов
Доброго времени суток. Прочитал тему...

Как удалить вирус tmp.exe
Как удалить его, после снятие задачи в диспетчере он опять появляется, что...

14
zxasq
0 / 0 / 0
Регистрация: 13.09.2015
Сообщений: 18
20.01.2017, 10:40  [ТС] 2
файл логов прилагаю
0
Вложения
Тип файла: zip CollectionLog-2017.01.20-10.37.zip (91.1 Кб, 5 просмотров)
zxasq
0 / 0 / 0
Регистрация: 13.09.2015
Сообщений: 18
20.01.2017, 10:47  [ТС] 3
выполненный от имени администратора
0
Вложения
Тип файла: zip CollectionLog-2017.01.20-10.45.zip (91.6 Кб, 4 просмотров)
Sandor
Вирусоборец
13182 / 11378 / 1782
Регистрация: 08.10.2012
Сообщений: 46,209
20.01.2017, 10:58 4
Здравствуйте!

На этот раз не бросите тему на пол пути?

Внимание! Рекомендации написаны специально для пользователя zxasq. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:
Advanced SystemCare 10
Driver Booster 4.1
IObit Uninstaller
Unity Web Player

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
  1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     TerminateProcessByName('c:\users\ips\appdata\local\temp\55af.tmp.exe');
     QuarantineFileF('c:\users\ips\appdata\local\fupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('c:\users\ips\appdata\local\sysnet', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFile('c:\users\ips\appdata\local\temp\55af.tmp.exe', '');
     QuarantineFile('C:\Users\IPS\AppData\Local\fupdate\fupdate.exe', '');
     QuarantineFile('C:\Users\IPS\AppData\Local\sysnet\sysnet.exe', '');
     ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "sysnet" /F', 0, 15000, true);
     DeleteFile('c:\users\ips\appdata\local\temp\55af.tmp.exe', '32');
     DeleteFile('C:\Users\IPS\AppData\Local\fupdate\fupdate.exe', '32');
     DeleteFile('C:\Users\IPS\AppData\Local\sysnet\sysnet.exe', '32');
     DeleteFileMask('c:\users\ips\appdata\local\fupdate', '*', true);
     DeleteFileMask('c:\users\ips\appdata\local\sysnet', '*', true);
     DeleteDirectory('c:\users\ips\appdata\local\fupdate');
     DeleteDirectory('c:\users\ips\appdata\local\sysnet');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fojjzvhsfv','command');
    ExecuteSysClean;
     ExecuteRepair(1);
     ExecuteRepair(9);
     ExecuteWizard('SCU', 2, 3, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.


  2. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
    К сообщению прикреплять файл quarantine.zip не нужно!

  3. Файл CheckBrowserLnk.log
    из папки
    ...\AutoLogger\CheckBrowserLnk
    перетащите на утилиту ClearLNK.



    Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

  4. Подготовьте и прикрепите лог сканирования AdwCleaner.
0
zxasq
0 / 0 / 0
Регистрация: 13.09.2015
Сообщений: 18
20.01.2017, 11:25  [ТС] 5
Advanced SystemCare 10
Driver Booster 4.1
IObit Uninstaller
Unity Web Player
программы удалены

Файл quarantine.zip отправлен с помощью Вашей формы

Отчет о работе утилиты ClearLNK прикрепляю

Лог сканирования AdwCleaner прикрепляю
0
Вложения
Тип файла: log ClearLNK-20.01.2017_11-19.log (2.7 Кб, 2 просмотров)
Тип файла: txt AdwCleaner[S0].txt (9.3 Кб, 2 просмотров)
Sandor
Вирусоборец
13182 / 11378 / 1782
Регистрация: 08.10.2012
Сообщений: 46,209
20.01.2017, 11:31 6
1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome
      и нажмите Ok.
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.


2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.
0
zxasq
0 / 0 / 0
Регистрация: 13.09.2015
Сообщений: 18
20.01.2017, 11:54  [ТС] 7
есть контакт
0
Вложения
Тип файла: txt AdwCleaner[C0].txt (9.4 Кб, 2 просмотров)
Тип файла: zip FRST.zip (53.6 Кб, 4 просмотров)
Sandor
Вирусоборец
13182 / 11378 / 1782
Регистрация: 08.10.2012
Сообщений: 46,209
20.01.2017, 12:04 8
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.
Windows Batch file
start
CreateRestorePoint:
FF Homepage: Mozilla\Firefox\Profiles\7z81kr9v.default-1484007818875 -> hxxps://go.mail.ru/?fr=ffhp1.0.4&gp=818404
FF Keyword.URL: Mozilla\Firefox\Profiles\7z81kr9v.default-1484007818875 -> hxxp://go.mail.ru/distib/ep/?product_id=%7B435BC95D-73F2-40B4-891A-AD1D8934648F%7D&gp=811010
FF Extension: (No Name) - C:\Users\IPS\AppData\Roaming\Mozilla\Firefox\Profiles\7z81kr9v.default-1484007818875\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
2017-01-20 11:44 - 2014-08-14 21:50 - 00000000 ____D C:\Program Files (x86)\IObit
2017-01-20 11:16 - 2014-08-14 21:50 - 00000000 ____D C:\Users\Все пользователи\ProductData
2017-01-20 11:16 - 2014-08-14 21:50 - 00000000 ____D C:\ProgramData\ProductData
Task: {8CCE7876-2246-4AE3-B7DA-BA04662E4509} - System32\Tasks\Uninstaller_SkipUac_Administrator => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
Task: {945D89EE-615B-4BF8-A07F-4AF37638A005} - System32\Tasks\Driver Booster SkipUAC (Администратор) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
HKU\S-1-5-21-704664532-3564980557-4209013302-1000\Software\Classes\.scr: scrfile =>  <===== ATTENTION
MSCONFIG\startupreg: fojjzvhsfv => explorer "http://imatiro.ru/?utm_source=uoua03&utm_content=2ab9a970874b6c3a100ddbe365669ec3&utm_term=C6EF612C018BCCAFD1ACC36769409888&utm_d=20170120"
MSCONFIG\startupreg: IObit Malware Fighter => "C:\Program Files (x86)\IObit\IObit Malware Fighter\IMF.exe" /autostart
FirewallRules: [{1634B253-815F-4BB6-9842-610175724B3E}] => C:\Program Files (x86)\IObit\Advanced SystemCare\Surfing Protection\FFNativeMessage.exe
FirewallRules: [{FC970882-AA9F-41F4-ACCE-51CBD0DF2911}] => C:\Program Files (x86)\IObit\Advanced SystemCare\Surfing Protection\FFNativeMessage.exe
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
0
zxasq
0 / 0 / 0
Регистрация: 13.09.2015
Сообщений: 18
20.01.2017, 12:16  [ТС] 9
выполнено
0
Вложения
Тип файла: txt Fixlog.txt (5.0 Кб, 2 просмотров)
Sandor
Вирусоборец
13182 / 11378 / 1782
Регистрация: 08.10.2012
Сообщений: 46,209
20.01.2017, 13:04 10
Что сейчас с проблемой?
0
zxasq
0 / 0 / 0
Регистрация: 13.09.2015
Сообщений: 18
20.01.2017, 13:08  [ТС] 11
исчезли все сохраненные закладки в google chrome, но не столь велика потеря. вирусных файлов больше не видно, всё чисто. спасибо огромное! котейка тоже Вам благодарна (:
0
Миниатюры
Живучий вирус #.tmp.exe меняющий свой номер  
Sandor
Вирусоборец
13182 / 11378 / 1782
Регистрация: 08.10.2012
Сообщений: 46,209
20.01.2017, 13:10 12
В завершение:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
0
zxasq
0 / 0 / 0
Регистрация: 13.09.2015
Сообщений: 18
20.01.2017, 13:15  [ТС] 13
выполнено
0
Вложения
Тип файла: txt SecurityCheck.txt (12.3 Кб, 3 просмотров)
Sandor
Вирусоборец
13182 / 11378 / 1782
Регистрация: 08.10.2012
Сообщений: 46,209
20.01.2017, 13:34 14
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17914 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2014-12-12 04:15:32
--------------------------- [ OtherUtilities ] ----------------------------
Oracle VM VirtualBox 5.0.20 v.5.0.20 Внимание! Скачать обновления
Microsoft Silverlight v.4.0.60310.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.17 v.7.17.105 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.3.40298 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 102 (64-bit) v.8.0.1020.14 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u121-windows-x64.exe)^
Java 2 Runtime Environment Standard Edition v1.2.2 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u121-windows-i586.exe).
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.23.0.0.257 Внимание! Скачать обновления
Adobe Reader 9.1 - Russian v.9.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.54.0.2840.99 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
QIP Internet Guardian Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Hamster PDF Reader 2.0.0.27 v.2.0.0.27 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Прочтите и выполните Рекомендации после удаления вредоносного ПО
0
zxasq
0 / 0 / 0
Регистрация: 13.09.2015
Сообщений: 18
20.01.2017, 14:24  [ТС] 15
понял, благодарю! (:
0
20.01.2017, 14:24
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
20.01.2017, 14:24

Вирус создает в папке Temp tmp.exe
Здравствуйте, поймал вирус на рекламу, рекламные вирусы очистил, а вирус...

Вирус создаёт файлы tmp.tmp везде.
Вирус прописываеться в системном процессе lsass. Невозможно удалить....

Живучий вирус!
Доброе время суток! Заметил что ноутбук стал &quot;тормозить&quot;, браузер работает...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
15
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru