0 / 0 / 0
Регистрация: 15.04.2016
Сообщений: 20
|
|
1 | |
Вирус ****.tmp.exe, в C:/Windows/Temp24.06.2019, 15:50. Показов 47136. Ответов 35
Метки нет (Все метки)
Добрый день! При каждом запуске компьютера в C:\Windows\Temp появляется файл с названием типа ****.tmp.exe, вместо звездочек имя разное. Пробовал Avira, MBAM, Windows Defender. Антивирусами обнаруживается, удаляется, но через некоторое время появляется опять. Кэши браузеров чистил, переустановливал Chrome полностью, но результата нет.
0
|
24.06.2019, 15:50 | |
Ответы с готовыми решениями:
35
Вирус .tmp.exe в папке Temp Вирус .tmp.exe в папке Temp Вирус создает в папке Temp tmp.exe Неизвестные %name%.tmp.exe файлы в папке C:\Windows\Temp |
0 / 0 / 0
Регистрация: 15.04.2016
Сообщений: 20
|
|
24.06.2019, 15:51 [ТС] | 2 |
Логи прилагаю
0
|
21595 / 15541 / 2995
Регистрация: 08.10.2012
Сообщений: 63,228
|
|
24.06.2019, 16:28 | 3 |
Здравствуйте!
1. Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
2.
0
|
0 / 0 / 0
Регистрация: 15.04.2016
Сообщений: 20
|
|
25.06.2019, 08:26 [ТС] | 4 |
1. Файл успешно загружен и поставлен в очередь на обработку, спасибо!
2.Лог SecurityCheck ниже
0
|
21595 / 15541 / 2995
Регистрация: 08.10.2012
Сообщений: 63,228
|
|
25.06.2019, 08:28 | 5 |
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Скачайте AutorunsVTchecker, извлеките из архива и запустите. Не закрывайте окно до окончания работы программы. Подготовьте лог uVS.
0
|
0 / 0 / 0
Регистрация: 15.04.2016
Сообщений: 20
|
|
25.06.2019, 10:52 [ТС] | 6 |
Включил уровень по умолчанию.
AutorunsVTchecker запустил, дождался сообщения что все элементы автозапуска проверены на virustotal. Что с этим делать дальше ? uVS запустил, виснет примерно на 30% анализа автозапуска, соответственно лога нет. Кстати сегодня включил компьютер - не работает MBAM, иконки в трее нет. Пробовал установить Avira и Avast (поочереди) - не устанавливаются, виснет процесс инсталляции. Защитник виндовс остановлен, пытаюсь включить из системных настроек, движок включения неактивен и надпись "Параметрами защиты управляет ваша организация". Попытался включить через редактор политик. Параметр "Выключить антивирусную программу Защитник Windows" поставил в положение "Выкл", но после перезагрузки он опять в "Вкл"
0
|
21595 / 15541 / 2995
Регистрация: 08.10.2012
Сообщений: 63,228
|
|
25.06.2019, 11:05 | 7 |
Пробуйте собрать в безопасном режиме.
0
|
0 / 0 / 0
Регистрация: 15.04.2016
Сообщений: 20
|
|
25.06.2019, 11:12 [ТС] | 8 |
Убил процесс G18AD.tmp.exe и uVS сделал лог нормально.
0
|
21595 / 15541 / 2995
Регистрация: 08.10.2012
Сообщений: 63,228
|
|
25.06.2019, 11:25 | 9 |
Выполните скрипт в UVS.
Код
;uVS v4.1.6 [[url]http://dsrt.dyndns.org:8888][/url] ;Target OS: NTv10.0 v400c BREG zoo %SystemDrive%\PROGRAM FILES (X86)\KFOOBCYVCWBP\KFOOBCYVCWBP.DLL ;---------command-block--------- delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL apply zoo %SystemRoot%\TEMP\G18AD.TMP.EXE bl 2DC163A08F6CF344E5136C4A293D2AA6 1100800 addsgn BA6F9BB2BD7544720B9C2D754C2168FBDA75303AC173435C8D948D3FBCF6CBEC2C17C31FB3586B662E807B8A3E004AFA3552E5AB65D9B0D338DCB22CC74EA9AB 8 HEUR:RiskTool.Win32.Generic [Kaspersky] 7 chklst delvir deltmp regt 27 czoo restart Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Соберите свежий лог uVS.
0
|
0 / 0 / 0
Регистрация: 15.04.2016
Сообщений: 20
|
|
25.06.2019, 12:49 [ТС] | 10 |
Выполнил скрипт, архив отослал.
Свежий лог прикреплен.
0
|
0 / 0 / 0
Регистрация: 15.04.2016
Сообщений: 20
|
|
25.06.2019, 13:04 [ТС] | 11 |
После перезагрузки в C:\Windows\Temp опять появились файлы ****.tmp.exe и в запущенных процессах висит
0
|
21595 / 15541 / 2995
Регистрация: 08.10.2012
Сообщений: 63,228
|
|
25.06.2019, 13:07 | 12 |
На диск D: и на папку C:\Users у вас открыт общий доступ.
Закройте, выполните ещё раз тот же скрипт (карантин отправлять не нужно) и после перезагрузки ещё раз соберите лог uVS.
0
|
0 / 0 / 0
Регистрация: 15.04.2016
Сообщений: 20
|
|
25.06.2019, 13:26 [ТС] | 13 |
Доступ закрыл, скрипт выполнил, перезагрузился, лог прикреплен. В процессах и в папке temp опять эти же файлы
0
|
21595 / 15541 / 2995
Регистрация: 08.10.2012
Сообщений: 63,228
|
|
25.06.2019, 13:42 | 14 |
Отключите от локальной сети компьютер.
Выполните скрипт в UVS. Код
;uVS v4.1.6 [[url]http://dsrt.dyndns.org:8888][/url] ;Target OS: NTv10.0 v400c BREG ;---------command-block--------- bl 1FEE74DA3A15619B599D6D53CC5E17CE 3698688 zoo %SystemDrive%\PROGRAM FILES (X86)\KFOOBCYVCWBP\KFOOBCYVCWBP.DLL delall %SystemDrive%\PROGRAM FILES (X86)\KFOOBCYVCWBP\KFOOBCYVCWBP.DLL apply zoo %SystemRoot%\TEMP\GD0ED.TMP.EXE bl 2DC163A08F6CF344E5136C4A293D2AA6 1100800 addsgn BA6F9BB2BD7544720B9C2D754C2168FBDA75303AC173435C8D948D3FBCF6CBEC2C17C31FB3586B662E807B8A3E004AFA3552E5AB65D9B0D338DCB22CC74EA9AB 8 HEUR:RiskTool.Win32.Generic [Kaspersky] 7 chklst delvir czoo restart Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. Соберите новый лог uVS, в сеть пока не включайте.
0
|
0 / 0 / 0
Регистрация: 15.04.2016
Сообщений: 20
|
|
25.06.2019, 14:04 [ТС] | 15 |
Выполнено.
0
|
21595 / 15541 / 2995
Регистрация: 08.10.2012
Сообщений: 63,228
|
|
25.06.2019, 14:19 | 16 |
Выполните скрипт в UVS.
Код
;uVS v4.1.6 [[url]http://dsrt.dyndns.org:8888][/url] ;Target OS: NTv10.0 v400c BREG ;---------command-block--------- deltsk %SystemDrive%\PROGRAM FILES (X86)\KFOOBCYVCWBP\KFOOBCYVCWBP.DLL delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID] delref {45AC2688-0253-4ED8-97DE-B5370FA7D48A}\[CLSID] delref {5E2121EE-0300-11D4-8D3B-444553540000}\[CLSID] delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID] delref {503739D0-4C5E-4CFD-B3BA-D881334F0DF2}\[CLSID] delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID] delref {6B9228DA-9C15-419E-856C-19E768A13BDC}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {7CCA6768-8373-4D28-8876-83E8B4E3A969}\[CLSID] delref {45F26E9E-6199-477F-85DA-AF1EDFE067B1}\[CLSID] delref {FF87090D-4A9A-4F47-879B-29A80C355D61}\[CLSID] delref {E51DFD48-AA36-4B45-BB52-E831F02E8316}\[CLSID] delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID] delref {EA9155A3-8A39-40B4-8963-D3C761B18371}\[CLSID] delref {06DA0625-9701-43DA-BFD7-FBEEA2180A1E}\[CLSID] delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] apply restart Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После перезагрузки подключите сеть и понаблюдайте. Результат сообщите.
0
|
0 / 0 / 0
Регистрация: 15.04.2016
Сообщений: 20
|
|
25.06.2019, 14:41 [ТС] | 17 |
Выполнено. Перезагрузился, файлов и процессов ****.tmp.exe нет. Буду наблюдать.
0
|
21595 / 15541 / 2995
Регистрация: 08.10.2012
Сообщений: 63,228
|
|
25.06.2019, 14:47 | 18 |
Хорошо, сообщите результат.
0
|
0 / 0 / 0
Регистрация: 15.04.2016
Сообщений: 20
|
|
27.06.2019, 11:21 [ТС] | 19 |
Все нормально, спасибо за помощь
0
|
21595 / 15541 / 2995
Регистрация: 08.10.2012
Сообщений: 63,228
|
|
27.06.2019, 11:25 | 20 |
В завершение:
0
|
27.06.2019, 11:25 | |
27.06.2019, 11:25 | |
Помогаю со студенческими работами здесь
20
Tmp.exe в Temp и процессах работают после завершения и удаления Вирус #.tmp.exe с меняющимся номером Как удалить вирус tmp.exe Вирус .tmp.exe - Удаление вирусов Живучий вирус #.tmp.exe меняющий свой номер Живучий вирус #.tmp.exe который все время меняется Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |