Tmp.exe в Temp и процессах работают после завершения и удаления

@Robell · Регистрация: 01.06.2017

Студворк — интернет-сервис помощи студентам

Всем привет. Столкнулся с такой же похожей проблемой ( Неизвестные %name%.tmp.exe файлы в папке C:\Windows\Temp ). После того, как завершаю процессы, и удаляю их из Temp, после перезагрузки ПК они заново работают и нагружают цп. Помогите решить проблему, неделю мучаюсь. Возможно скрипт для AVZ нужен какой? Прилагаю логи и скрин из папки Temp:

@Sandor · 01.06.2017, 16:36

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Robell. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\Windows\Temp\g1B6.tmp.exe');
 TerminateProcessByName('C:\Windows\Temp\g4E60.tmp.exe');
 TerminateProcessByName('C:\Windows\Temp\gE001.tmp.exe');
 QuarantineFile('C:\Windows\Temp\g1B6.tmp.exe', '');
 QuarantineFile('C:\Windows\Temp\g4E60.tmp.exe', '');
 QuarantineFile('C:\Windows\Temp\gE001.tmp.exe', '');
 QuarantineFile('C:\Windows\csrss.exe','');
 DeleteFile('C:\Windows\csrss.exe','32');
 DeleteFile('C:\Windows\Temp\g1B6.tmp.exe', '32');
 DeleteFile('C:\Windows\Temp\g4E60.tmp.exe', '32');
 DeleteFile('C:\Windows\Temp\gE001.tmp.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','КОРОЛЕВСКИЙ-ПК');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Подготовьте новый CollectionLog.

@Robell · 01.06.2017, 23:29 **[ТС]**

1 и 2 пункт: готово. Заметил, что файлы каждый раз переименовываются, возможно из-за этого пока всё по-старому?
Новые логги:

@Robell · 01.06.2017, 23:47 **[ТС]**

Дескрипторы из монитора ресурсов:

@Sandor · 02.06.2017, 10:00

Подготовьте лог uVS.

@Robell · 02.06.2017, 12:38 **[ТС]**

***

@Sandor · 02.06.2017, 13:06

Выполните скрипт в UVS.

Code
;uVS v4.0.5 [[url]http://dsrt.dyndns.org][/url]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
zoo %SystemRoot%\TEMP\SKYBD3A.TMP
delall %SystemRoot%\TEMP\SKYBD3A.TMP
apply
 
zoo %SystemDrive%\PROGRAM FILES\DBCONVERT MONSTER\DBCONVERT MONSTER.DLL
bl 83FB66C57C92CC5EB4FBF674E9E5DCEF 2489344
addsgn BA6F9BD21DE149271BF6AE329EC9D505258AFCF6FDF057FB418B2C1DAE298EDC6F9E877306DCC96D1FC80DD3623EA1472F20179ABD224FD361FCE00BFF8D7657 64 UDS:Object.Multi.Generic [Kaspersky] 7
 
zoo %SystemRoot%\TEMP\GCCD2.TMP.EXE
bl E276A7C7C935B8A9A4CAEC98602E364E 9435136
addsgn BA6F9BB2BDDDA0720B9C2D754C211005258A303AC173435C958B4CC874CE2604A0FBF3BF46049D4924377426441649FA959C04725562FD762D77ECA2FA65EF85 8 Win64:Malware-gen [Avast] 7
 
zoo %SystemRoot%\TEMP\GB7FA.TMP.EXE
bl F3DF2FB3EA6A5184F41BDCD5621500DA 481280
addsgn BA6F9BB2BD754B720B9C2D754C2190FBDA75303AC171DB340C8BE5F0D9966904AA47D3046802DC1F630368A70F9DB8B3F607A4F9A71CF0E42D3F2FD58E098D8B 8 Trojan.Win64.Eroyee.alv [Kaspersky] 7
 
zoo %SystemRoot%\TEMP\GB7F8.TMP.EXE
bl 8F5D668C5A0624EA5992C0943EEEEE0B 307200
addsgn BA6F9BB2BDCD4A720B9C2D754C2190FBDA75303AC9A957FB69E38D3789E5B8B336F091553E1D1682D49562CD4416B6EFAD8DEA721D5178962473A4EF8F85E653 8 Multi.Generic [Kaspersky] 7
 
chklst
delvir
 
czoo
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите лог uVS.

@Robell · 02.06.2017, 13:43 **[ТС]**

Проблема вроде решена, премного благодарен

@Sandor · 02.06.2017, 13:52

В логах тоже порядок.

Завершаем:
1. Все утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Robell · 02.06.2017, 15:49 **[ТС]**

***

@Sandor · 02.06.2017, 20:39

------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2017-02-14 19:34:21
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.33 v.7.33.104 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.0.43580 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Прочтите и выполните Рекомендации после удаления вредоносного ПО

Новые блоги и статьи Все статьи Все блоги /
Доступность команды формы по условию Maks 07.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: сделать доступной кнопку (команда формы "ЗавершитьСписание") при. . .	Уведомление о неверно выбранном значении справочника Maks 06.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "НарядПутевка", разработанного в конфигурации КА2. Задача: уведомлять пользователя, если в документе выбран неверный склад. . .	Установка Qt Creator для C и C++: ставим среду, CMake и MinGW без фреймворка Qt 8Observer8 05.04.2026 Среду разработки Qt Creator можно установить без фреймворка Qt. Есть отдельный репозиторий для этой среды: https:/ / github. com/ qt-creator/ qt-creator, где можно скачать установщик, на вкладке Releases:. . .	AkelPad-скрипты, структуры, и немного лирики.. testuser2 05.04.2026 Такая программа, как AkelPad существует уже давно, и также давно существуют скрипты под нее. Тем не менее, прога живет, периодически что-то не спеша дополняется, улучшается. Что меня в первую очередь. . .
Отображение реквизитов в документе по условию и контроль их заполнения Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеСпецтехники", разработанного в конфигурации КА2. Данный документ берёт данные из другого нетипового документа. . .	Фото всей Земли с борта корабля Orion миссии Artemis II kumehtar 04.04.2026 Это первое подобное фото сделанное человеком за 50 лет. Снимок называют новым вариантом легендарной фотографии «The Blue Marble» 1972 года, сделанной с борта корабля «Аполлон-17». Новое фото. . .	Вывод диалогового окна перед закрытием, если документ не проведён Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: реализовать программный контроль на предмет проведения документа. . .	Программный контроль заполнения реквизитов табличной части документа Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: 1. Реализовать контроль заполнения реквизита. . .

@Sandor 22496 / 15941 / 3089 Регистрация: 08.10.2012 Сообщений: 64,954
	01.06.2017, 16:36
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя Robell. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ________________________________________ ______________ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Code begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('C:\Windows\Temp\g1B6.tmp.exe'); TerminateProcessByName('C:\Windows\Temp\g4E60.tmp.exe'); TerminateProcessByName('C:\Windows\Temp\gE001.tmp.exe'); QuarantineFile('C:\Windows\Temp\g1B6.tmp.exe', ''); QuarantineFile('C:\Windows\Temp\g4E60.tmp.exe', ''); QuarantineFile('C:\Windows\Temp\gE001.tmp.exe', ''); QuarantineFile('C:\Windows\csrss.exe',''); DeleteFile('C:\Windows\csrss.exe','32'); DeleteFile('C:\Windows\Temp\g1B6.tmp.exe', '32'); DeleteFile('C:\Windows\Temp\g4E60.tmp.exe', '32'); DeleteFile('C:\Windows\Temp\gE001.tmp.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','КОРОЛЕВСКИЙ-ПК'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы. К сообщению прикреплять файл quarantine.zip не нужно! Подготовьте новый CollectionLog. 0

@Robell 0 / 0 / 0 Регистрация: 01.06.2017 Сообщений: 6
	01.06.2017, 23:47 [ТС]
	Дескрипторы из монитора ресурсов: Миниатюры 0

@Sandor 22496 / 15941 / 3089 Регистрация: 08.10.2012 Сообщений: 64,954
	02.06.2017, 10:00
	Подготовьте лог uVS. 0

@Sandor 22496 / 15941 / 3089 Регистрация: 08.10.2012 Сообщений: 64,954
	02.06.2017, 13:06
	Выполните скрипт в UVS. Code ;uVS v4.0.5 [[url]http://dsrt.dyndns.org][/url] ;Target OS: NTv6.1 v400c BREG ;---------command-block--------- zoo %SystemRoot%\TEMP\SKYBD3A.TMP delall %SystemRoot%\TEMP\SKYBD3A.TMP apply zoo %SystemDrive%\PROGRAM FILES\DBCONVERT MONSTER\DBCONVERT MONSTER.DLL bl 83FB66C57C92CC5EB4FBF674E9E5DCEF 2489344 addsgn BA6F9BD21DE149271BF6AE329EC9D505258AFCF6FDF057FB418B2C1DAE298EDC6F9E877306DCC96D1FC80DD3623EA1472F20179ABD224FD361FCE00BFF8D7657 64 UDS:Object.Multi.Generic [Kaspersky] 7 zoo %SystemRoot%\TEMP\GCCD2.TMP.EXE bl E276A7C7C935B8A9A4CAEC98602E364E 9435136 addsgn BA6F9BB2BDDDA0720B9C2D754C211005258A303AC173435C958B4CC874CE2604A0FBF3BF46049D4924377426441649FA959C04725562FD762D77ECA2FA65EF85 8 Win64:Malware-gen [Avast] 7 zoo %SystemRoot%\TEMP\GB7FA.TMP.EXE bl F3DF2FB3EA6A5184F41BDCD5621500DA 481280 addsgn BA6F9BB2BD754B720B9C2D754C2190FBDA75303AC171DB340C8BE5F0D9966904AA47D3046802DC1F630368A70F9DB8B3F607A4F9A71CF0E42D3F2FD58E098D8B 8 Trojan.Win64.Eroyee.alv [Kaspersky] 7 zoo %SystemRoot%\TEMP\GB7F8.TMP.EXE bl 8F5D668C5A0624EA5992C0943EEEEE0B 307200 addsgn BA6F9BB2BDCD4A720B9C2D754C2190FBDA75303AC9A957FB69E38D3789E5B8B336F091553E1D1682D49562CD4416B6EFAD8DEA721D5178962473A4EF8F85E653 8 Multi.Generic [Kaspersky] 7 chklst delvir czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Повторите лог uVS. 1

@Sandor 22496 / 15941 / 3089 Регистрация: 08.10.2012 Сообщений: 64,954
	02.06.2017, 13:52
	В логах тоже порядок. Завершаем: 1. Все утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 22496 / 15941 / 3089 Регистрация: 08.10.2012 Сообщений: 64,954
	02.06.2017, 20:39
	------------------------------- [ Windows ] ------------------------------- Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено Дата установки обновлений: 2017-02-14 19:34:21 --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления --------------------------------- [ IM ] ---------------------------------- Skype™ 7.33 v.7.33.104 Внимание! Скачать обновления *^Необязательное обновление.^* --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.0.43580 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. ---------------------------- [ UnwantedApps ] ----------------------------- Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Прочтите и выполните Рекомендации после удаления вредоносного ПО 0