вирус создает файлы TRZ***.tmp помогите пожалуйста

[vx_klim]

вирус создает файлы TRZ***.tmp
шерстил авастом, потом drweb - life - безрезультатно
помогите пожалуйста, заранее спасибо
с ув. Александр

простите не нашел как прикрепить файлы
hijackthis.log
virusinfo_syscheck.zip
virusinfo_syscure.zip

mike 1 спасибо, еще раз извините (просто дети отвлекают не видел этой инструкции)

[Info_bot]

Уважаемый(ая) vx_klim, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Правила

Как оформить заявку в разделе "Помогите!"

[vx_klim]

никто ничего не скажет?((

[mike 1]

никто ничего не скажет?((

Внимание !!! База поcледний раз обновлялась 12.07.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Обновите базы и переделайте логи.

[vx_klim]

hijackthis.log
virusinfo_syscheck.zip
virusinfo_syscure.zip

перезалил извините.

[mike 1]

Закройте все программы

Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

1. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

Код:

begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('E:\IKuXWg.exE','');
 QuarantineFile('E:\IKuxwg.Exe','');
 QuarantineFile('E:\autorun.inf','');
 QuarantineFile('D:\vykpuw.exe','');
 QuarantineFile('D:\autorun.inf','');
 DeleteFile('D:\autorun.inf','32');
 DeleteFile('D:\vykpuw.exe','32');
 DeleteFile('E:\autorun.inf','32');
 DeleteFile('E:\IKuxwg.Exe','32');
 DeleteFile('E:\IKuXWg.exE','32'); 
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun','221');        
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
 ExecuteRepair(10);    
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

2. Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

3. Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код:

O2 - BHO: BoroOwse2Saaveo - {1BAAAE09-B5C0-702D-E467-CAB390EB8DA6} - (no file)
O2 - BHO: Funmoods Helper Object - {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} - (no file)
O18 - Protocol: base64 - (no CLSID) - (no file)
O18 - Protocol: chrome - (no CLSID) - (no file)
O18 - Protocol: prox - (no CLSID) - (no file)

4. Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

5. Важно! Сканирование проводить при подключенных носителях E и D.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[vx_klim]

вот логи
virusinfo_syscheck.zip
hijackthis.log
MBAM залить не смог может из за размера
разместил здесь
http://zalil.ru/34793054

[mike 1]

1. Откройте AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Исправьте:

Код:

 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей

2. Удалите в MBAM все кроме:

Код:

C:\Users\vlad\Desktop\книга андроид\android.app.book.maker.all.ver.-patch.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
C:\Users\vlad\Downloads\книга андроид.zip (PUP.Hacktool.Patcher) -> Действие не было предпринято.
C:\Program Files\Android Book App Maker\android.app.book.maker.all.ver.-patch.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
C:\Program Files\TotalCommander\_Setup32.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Program Files\TotalCommander\_Setup64.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Program Files\TotalCommander\Utilites\RegWorkshop\Keygen.exe (Riskware.Tool.CK) -> Действие не было предпринято.
C:\Program Files\TotalCommander\Utilites\RegWorkshop\Patch.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
D:\программы\загр.флэшка\флэха\прог\windows7manager.rar (Trojan.Agent.CK) -> Действие не было предпринято.
D:\программы\загр.флэшка\чистая)))\$WIN_NT$.~LS\I386\CTFMON.EX_ (Trojan.FakeMS) -> Действие не было предпринято.
D:\программы\загр.флэшка\чистая)))\флеха\прог\windows7manager.rar (Trojan.Agent.CK) -> Действие не было предпринято.
D:\прои на телефон\телефон бэкап фжеш\Android\data\ru.mail.mailapp\cache\attachments\[email protected]\[email protected]\13795875830000000848\книга андроид.zip (PUP.Hacktool.Patcher) -> Действие не было предпринято.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

[vx_klim]

MBAM-log-2013-11-04 (03-33-47).txt
вот

- - - Добавлено - - -

все равно восстанавливаются делал еще раз скан много нашел удалил потом опять
MBAM-log-2013-11-04 (15-20-38).txt

[mike 1]

Удалите в MBAM все кроме:

Код:

Обнаруженные файлы:
C:\Users\vlad\Desktop\книга андроид\android.app.book.maker.all.ver.-patch.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
C:\Program Files\Android Book App Maker\android.app.book.maker.all.ver.-patch.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
C:\Program Files\TotalCommander\_Setup32.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Program Files\TotalCommander\_Setup64.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Program Files\TotalCommander\Utilites\RegWorkshop\Keygen.exe (Riskware.Tool.CK) -> Действие не было предпринято.
C:\Program Files\TotalCommander\Utilites\RegWorkshop\Patch.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
D:\прои на телефон\телефон бэкап фжеш\Android\data\ru.mail.mailapp\cache\attachments\[email protected]\[email protected]\13795875830000000848\книга андроид.zip (PUP.Hacktool.Patcher) -> Действие не было предпринято.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

2. Это обязательно сделать если не сделали! Откройте AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Исправьте:

Код:

>>  Разрешен автозапуск с HDD
>>  Разрешен автозапуск с сетевых дисков
>>  Разрешен автозапуск со сменных носителей

3.

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.

[vx_klim]

MBAM-log-2013-11-04 (23-33-14).txt
потом опять все удалилmbam-log-2013-11-04 (22-09-32).txt
проверил SecurityCheck.txt

[mike 1]

Устанавливайте в срочном порядке обновления. Контроль учетных записей включите. Исправьте:

Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Автоматическое обновление отключено
Adobe Reader XI (11.0.02) v.11.0.02 Внимание! Скачать обновления
Opera 12.13 v.12.13.1734 Внимание! Скачать обновления
^Будет скачена последняя версия 12.16 (Для скачивания Opera на движке Chromium перейдите на www.opera.com)^

После установки обновлений сделайте новые логи AVZ, HiJackThis и новый лог MBAM.

[vx_klim]

что я запутался а при чем же тут обновления? уж извините просто интересно

с сайта виндоус ничего не могу скачать

- - - Добавлено - - -

скачал 10 версию эксплорера пойдет?

[mike 1]

Похоже вирус распространяется через уязвимости вашей системы. Поэтому их нужно закрыть сперва, а потом уже только удалять его.

[vx_klim]

adobe написал ошибка стоит более функциональная программа

- - - Добавлено - - -

ясно спасибо за терпение

[mike 1]

Сперва установите обновления на саму Windows 7, а потом уже ставьте обновления к стороннему софту.

[vx_klim]

Windows у меня не лицензия

может проще будет все переустановить

[mike 1]

Включите тогда хотя бы контроль учетных записей Windows.

Сделайте новые логи AVZ и MBAM

• Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала
• Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала

Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[vx_klim]

хотя нет при перезагрузке обновился

- - - Добавлено - - -

контроль учетных записей на малый самый поставил
завтра сделаю все остальное просто утром на работу у нас уже первый час
спасибо до завтра я надеюсь)