Вирус создает в папке Temp tmp.exe

@TheXiMaS · Регистрация: 27.08.2017

Author24 — интернет-сервис помощи студентам

Здравствуйте, поймал вирус на рекламу, рекламные вирусы очистил, а вирус создающий файлы tmp.exe остался, и он постоянно при запуске сис-мы висит в диспетчере задач, я его могу отключить и удалить, но при повторном запуске он снова создается. Все бы ничего, только сис-ма то тормозит. Я проверял ПК Cureit'ом, он не нашел вирус.

@severnyj · 27.08.2017, 13:56

Выполните скрипт в AVZ

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\programdata\prefssecure\nettrans.exe');
 TerminateProcessByName('c:\programdata\subair\subair.exe');
 QuarantineFile('C:\Program Files (x86)\YeuAskIE\k7fOaukA4.dll', '');
 QuarantineFile('C:\Program Files (x86)\YpuAskUn\PtsAtWXfTh.exe', '');
 QuarantineFile('C:\ProgramData\Subair\Trissoft.reg', '');
 QuarantineFile('C:\Windows\AAct.exe', '');
 QuarantineFile('C:\ProgramData\Subair\Trust-La.dll', '');
 QuarantineFile('c:\program files (x86)\mouse server\mouseservice.exe', '');
 QuarantineFile('c:\programdata\prefssecure\nettrans.exe', '');
 QuarantineFile('c:\programdata\subair\subair.exe', '');
 QuarantineFile('C:\Windows\Temp\g186C.tmp.exe', '');
 QuarantineFile('C:\Windows\Temp\gF95A.tmp.exe', '');
 DeleteFile('C:\Windows\Temp\gF95A.tmp.exe', '32');
 DeleteFile('C:\Windows\Temp\g186C.tmp.exe', '32');
 DeleteFile('C:\ProgramData\Subair\Subair.exe', '32');
 DeleteFile('C:\ProgramData\PrefsSecure\Nettrans.exe', '32');
 DeleteFile('C:\ProgramData\Subair\Trust-La.dll', '32');
 DeleteFile('C:\ProgramData\Subair\Trissoft.reg', '32');
 DeleteFile('C:\Windows\system32\Tasks\psv_Runex', '64');
 DeleteFile('C:\Program Files (x86)\YpuAskUn\PtsAtWXfTh.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\{B54C01ED-264D-41C0-8C80-5ED4165D3838}', '64');
 DeleteFile('C:\Program Files (x86)\YeuAskIE\k7fOaukA4.dll', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "{B54C01ED-264D-41C0-8C80-5ED4165D3838}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "psv_Runex" /F', 0, 15000, true);
 DeleteFileMask('C:\Windows\Temp\', '*.tmp.exe', false);
 DeleteService('Subair');
 DeleteService('Nettrans');
 DelBHO('{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}');
 DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','WIN-J0JGO2PJ26J');
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA', 'RestrictAnonymous', 2);
 ClearHostsFile;
BC_ImportAll;
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

@TheXiMaS · 27.08.2017, 15:33 **[ТС]**

Готово

@TheXiMaS · 27.08.2017, 16:47 **[ТС]**

Подскажите, как отправить на почтовый ящик quarantine.zip

@severnyj · 27.08.2017, 17:38

Можете послать через форму вверху страницы:

Отправить файлы карантина
Разрешенные имена файлов: quarantine.zip, virusinfo_autoquarantine.zip
Максимальное количество файлов: 2
Максимальный размер одного файла: 16.00 Мб

Обновления для Windows все установлены?

@TheXiMaS · 27.08.2017, 17:53 **[ТС]**

Я ни разу не устанавливал, мне просто говорили знакомые что не нужно

@severnyj · 27.08.2017, 18:00

Включите автоматическое обновление и установите все обновления с пометкой Критическое (возможно Важное).

Затем пролечитесь так: https://support.kaspersky.ru/viruses/rescuedisk

Затем подготовьте новые логи Автологгера.

Вот примерная инфа по вашему заражению: http://www.securitylab.ru/news/487995.php

Без обновления системы, к сожалению никак.

@TheXiMaS · 30.08.2017, 08:56 **[ТС]**

Возникла проблема, я не могу загрузиться через него, у меня идут комманды и я снова возвращаюсь в Биос, сколько бы я раз не делал

@severnyj · 31.08.2017, 09:12

Обновления поставили? Если да тогда дальше:

1)

Скачайте программу ESET Online Scanner
Запустите файл esetsmartinstaller_enu.exe
Поставьте галочку YES, I accept the Terms of Use и выберите Start:

Сканер начнет загружать необходимые компоненты:

Убедитесь, что следующие пункты отмечены:

Scan Archives

Нажмите на Advanced Settings и выбрать следующих вариантов:

Scan for potentially unwanted applications
Scan for potentially unsafe applications
Enable Anti-Stealth Technology

Выберите Start

Сканер начнет загружать последние базы
По окончанию сканирования нажмите кнопку Finish.
Перейдите в папку: C:\Program Files\ESET\ESET Online Scanner
Запакуйте файл log.txt и и прикрепите его к следующему посту.

2)

Скачайте Emsisoft Emergency Kit с этой страницы и сохраните архив на Вашем Рабочем столе
Распакуйте SFX-архив в отдельную папку
Перейдите в папку с распакованной утилитой и запустите файл start emergency kit scanner.exe
В появившемся окне с предложением обновления программы выберите Да
Дождитесь окончания процедуры обновления.
Нажмите кнопку Сканирование
В нижней части окна нажмите кнопку После проверки и выберите в появившемся окне настроек Переместить в карантин и нажмите кнопку Ок
Нажмите кнопку Проверка на угрозы
Дождитесь окончания проверки
После окончания проверки нажмите кнопку Отчеты, выберите последний по времени (самый верхний) отчет и нажмите кнопку Подробно
Откроется Блокнот с выбранным отчетом. Сохраните файл отчета с произвольным именем на Рабочий стол.
Полученный отчет прикрепите к следующему сообщению в теме, где Вам оказывается помощь.

@TheXiMaS · 31.08.2017, 19:04 **[ТС]**

Готово, правда были проблемы с блокировкой Emsisoft Emergency Kit, но я с этим разобрался.

@severnyj · 31.08.2017, 19:42

Ок, восстановите кряк винды из карантинов:

C:\WINDOWS\AAct.exe Trojan.GenericKD.4073056 (B)

Подготовьте новые логи Autologger

@TheXiMaS · 31.08.2017, 19:57 **[ТС]**

Готово

@severnyj · 01.09.2017, 09:07

Подготовьте логи FRST: FAQ по работе с утилитой Farbar Recovery Scan Tool

@TheXiMaS · 01.09.2017, 13:12 **[ТС]**

Как было сказано по инструкции, так же добавил Addition, вдруг понадобится.

@severnyj · 01.09.2017, 15:31

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.

Windows Batch file

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
AppInit_DLLs: C:\ProgramData\Subair\Ozer-Tam.dll => No File
C:\ProgramData\Subair\
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicyScripts: Restriction <==== ATTENTION
HKU\S-1-5-21-2118487342-915170262-173200590-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYsYwGCgfbLBmeOYJz_FdY4wfVMRWJuAzK1cYlO9ujGyxqV5XkHLRhg1U4SloYJbnnG4kN-SOEaUVxrl7q6eol-kkJLRjM0b3Rwg4perT4Tm9dhuEqiRBaeKChoyScD9DlA__8ocPzmJn4nAZwBpxD3N7jdmsZsSZrW8szgx6M,&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = 
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYsYwGCgfbLBmeOYJz_FdY4wfVMRWJuAzK1cYlO9ujGyxqV5XkHLRhg1U4SloYJbnnG4kN-SOEaUVxrl7q6eol-kkJLRjM0b3Rwg4perT4Tm9dhuEqiRBaeKChoyScD9DlA__8ocPzmJn4nAZwBpxD3N7jdmsZsSZrW8szgx6M,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2118487342-915170262-173200590-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYsYwGCgfbLBmeOYJz_FdY4wfVMRWJuAzK1cYlO9ujGyxqV5XkHLRhg1U4SloYJbnnG4kN-SOEaUVxrl7q6eol-kkJLRjM0b3Rwg4perT4Tm9dhuEqiRBaeKChoyScD9DlA__8ocPzmJn4nAZwBpxD3N7jdmsZsSZrW8szgx6M,&q={searchTerms}
CHR HomePage: Default -> hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYsYwGCgfbLBmeOYJz_FdY4wfVMRWJuAzK1cYlO9ujGyxqV5XkHLRhg1U4SloYJbnnG4kN-SOEaUVxrl6GZah-P1Gsew93DlbA-VHpU2fWs9pZ7qGzOsTjY1RtmmPQq8HKdTyqUIjwihWEzR0Bc2BxCIrUAS2-AyXJYRD_np0g,
CHR DefaultSearchURL: Default -> hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYsYwGCgfbLBmeOYJz_FdY4wfVMRWJuAzK1cYlO9ujGyxqV5XkHLRhg1U4SloYJbnnG4kN-SOEaUVxrl639ypl94KpKC9_HEYVWnuU08c3RcMg-qh0MBAPJnTyQDuo_ZRL8BibcWJtKnSvhgI9MCY0gKTLpWOgA-T7Bd2GSJ_w,&q={searchTerms}
CHR DefaultSearchKeyword: Default -> feed.sonic-search.com
OPR Extension: (No Name) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\clliemkgoekbejfjjaodogdfimdgapdf [2017-07-31]
2017-08-31 13:16 - 2017-08-31 13:16 - 000000258 __RSH C:\Users\User\ntuser.pol
2017-08-31 21:39 - 2017-07-31 12:03 - 000000000 ____D C:\Program Files (x86)\YueAckU
2017-08-31 21:39 - 2017-07-31 12:03 - 000000000 ____D C:\Program Files (x86)\YtuAskU2
2017-08-31 21:39 - 2017-07-31 12:03 - 000000000 ____D C:\Program Files (x86)\YeuAskIE
2017-08-31 21:39 - 2017-07-29 23:55 - 000000000 ____D C:\Users\Все пользователи\Subair
2017-08-31 21:39 - 2017-07-29 23:55 - 000000000 ____D C:\ProgramData\Subair
2017-08-31 14:43 - 2017-07-29 23:55 - 000003090 __RSH C:\Users\Все пользователи\ntuser.pol
2017-08-31 14:43 - 2017-07-29 23:55 - 000003090 __RSH C:\ProgramData\ntuser.pol
Hosts:
HKU\S-1-5-21-2118487342-915170262-173200590-1000\...\StartupApproved\Run: => "H2XORqUsJk.exe"
HKU\S-1-5-21-2118487342-915170262-173200590-1000\...\StartupApproved\Run: => "lW9fUUHi0zH9f.exe"
HKU\S-1-5-21-2118487342-915170262-173200590-1000\...\StartupApproved\Run: => "NnE0DML3.exe"
HKU\S-1-5-21-2118487342-915170262-173200590-1000\...\StartupApproved\Run: => "setupsk_upd"
HKU\S-1-5-21-2118487342-915170262-173200590-1000\...\StartupApproved\Run: => "setupsk"
HKU\S-1-5-21-2118487342-915170262-173200590-1000\...\StartupApproved\Run: => "qJNeGIzH3QLr0.exe"
HKU\S-1-5-21-2118487342-915170262-173200590-1000\...\StartupApproved\Run: => "R6qOlv8sV8DS.exe"
CMD: ipconfig /flushdns
CMD: IPCONFIG /release
CMD: IPCONFIG /renew
CMD: gpupdate /force
CMD: bitsadmin /reset /allusers
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически

@TheXiMaS · 02.09.2017, 09:51 **[ТС]**

Готово

@TheXiMaS · 02.09.2017, 10:16 **[ТС]**

Готово

@severnyj · 02.09.2017, 12:30

Получите права на эту ветку реестра:

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender

И сделайте ее экспорт, результат прикрепите

@TheXiMaS · 02.09.2017, 17:32 **[ТС]**

Готово

@severnyj · 03.09.2017, 00:07

Попробуйте удалить эту ветку

@TheXiMaS 0 / 0 / 0 Регистрация: 27.08.2017 Сообщений: 16
	27.08.2017, 16:47 [ТС]	4
	Подскажите, как отправить на почтовый ящик quarantine.zip 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	27.08.2017, 17:38	5
	Можете послать через форму вверху страницы: Отправить файлы карантина Разрешенные имена файлов: quarantine.zip, virusinfo_autoquarantine.zip Максимальное количество файлов: 2 Максимальный размер одного файла: 16.00 Мб Обновления для Windows все установлены? 0

@TheXiMaS 0 / 0 / 0 Регистрация: 27.08.2017 Сообщений: 16
	27.08.2017, 17:53 [ТС]	6
	Я ни разу не устанавливал, мне просто говорили знакомые что не нужно 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	27.08.2017, 18:00	7
	Включите автоматическое обновление и установите все обновления с пометкой Критическое (возможно Важное). Затем пролечитесь так: https://support.kaspersky.ru/viruses/rescuedisk Затем подготовьте новые логи Автологгера. Вот примерная инфа по вашему заражению: http://www.securitylab.ru/news/487995.php Без обновления системы, к сожалению никак. 0

@TheXiMaS 0 / 0 / 0 Регистрация: 27.08.2017 Сообщений: 16
	30.08.2017, 08:56 [ТС]	8
	Возникла проблема, я не могу загрузиться через него, у меня идут комманды и я снова возвращаюсь в Биос, сколько бы я раз не делал 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	31.08.2017, 09:12	9
	Обновления поставили? Если да тогда дальше: 1) Скачайте программу ESET Online Scanner Запустите файл esetsmartinstaller_enu.exe Поставьте галочку YES, I accept the Terms of Use и выберите Start: Сканер начнет загружать необходимые компоненты: Убедитесь, что следующие пункты отмечены: Scan Archives Нажмите на Advanced Settings и выбрать следующих вариантов: Scan for potentially unwanted applications Scan for potentially unsafe applications Enable Anti-Stealth Technology Выберите Start Сканер начнет загружать последние базы По окончанию сканирования нажмите кнопку Finish. Перейдите в папку: C:\Program Files\ESET\ESET Online Scanner Запакуйте файл log.txt и и прикрепите его к следующему посту. 2) Скачайте Emsisoft Emergency Kit с этой страницы и сохраните архив на Вашем Рабочем столе Распакуйте SFX-архив в отдельную папку Перейдите в папку с распакованной утилитой и запустите файл start emergency kit scanner.exe В появившемся окне с предложением обновления программы выберите Да Дождитесь окончания процедуры обновления. Нажмите кнопку Сканирование В нижней части окна нажмите кнопку После проверки и выберите в появившемся окне настроек Переместить в карантин и нажмите кнопку Ок Нажмите кнопку Проверка на угрозы Дождитесь окончания проверки После окончания проверки нажмите кнопку Отчеты, выберите последний по времени (самый верхний) отчет и нажмите кнопку Подробно Откроется Блокнот с выбранным отчетом. Сохраните файл отчета с произвольным именем на Рабочий стол. Полученный отчет прикрепите к следующему сообщению в теме, где Вам оказывается помощь. 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	31.08.2017, 19:42	11
	Ок, восстановите кряк винды из карантинов: C:\WINDOWS\AAct.exe Trojan.GenericKD.4073056 (B) Подготовьте новые логи Autologger 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	01.09.2017, 09:07	13
	Подготовьте логи FRST: FAQ по работе с утилитой Farbar Recovery Scan Tool 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	02.09.2017, 12:30	18
	Получите права на эту ветку реестра: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender И сделайте ее экспорт, результат прикрепите 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	03.09.2017, 00:07	20
	Попробуйте удалить эту ветку 0