Левые процессы с расширением .tmp [not-a-virus:AdWare.Win32.Agent.hpxh ]

**regist** · 06.09.2015, 20:48

- выполните такой скрипт в AVZ

Код:

begin
 ClearQuarantineEx(true); 
 QuarantineFileF('C:\ProgramData\tWdsManProt\', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0);
 QuarantineFileF('C:\Program Files (x86)\SFK\', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0);
 QuarantineFileF('C:\Program Files (x86)\SFK', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0);
 QuarantineFileF('C:\Users\Неудержимый\AppData\Roaming\AnyProtectEx', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0);
 QuarantineFileF('C:\Program Files (x86)\AnyProtectEx', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0);
 QuarantineFileF('C:\Users\Неудержимый\AppData\Local\QQSM', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы.

- - - - -Добавлено - - - - -

Сообщение от Вячеслав Рудковский

Лог полного сканирования MBAM ?

да.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Вячеслав Рудковский** · 06.09.2015, 21:53

не помогло то что я всё удалил в тот раз... в логе снова то же самое

карантин прислал

**regist** · 06.09.2015, 22:16

Удалите всё найденное в MBAM, затем

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код:

start
CreateRestorePoint:
Task: {38044F68-2034-4406-B6BF-945FEBF3E861} - \Driver Booster SkipUAC (Неудержимый) -> No File <==== ATTENTION
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\008i.com -> 008i.com
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\008k.com -> 008k.com
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\00hq.com -> 00hq.com
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\0190-dialers.com -> 0190-dialers.com
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\01i.info -> 01i.info
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\02pmnzy5eo29bfk4.com -> 02pmnzy5eo29bfk4.com
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\05p.com -> 05p.com
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\07ic5do2myz3vzpk.com -> 07ic5do2myz3vzpk.com
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\08nigbmwk43i01y6.com -> 08nigbmwk43i01y6.com
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\093qpeuqpmz6ebfa.com -> 093qpeuqpmz6ebfa.com
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\0calories.net -> 0calories.net
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\0cj.net -> 0cj.net
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\0scan.com -> 0scan.com
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\1-britney-spears-nude.com -> 1-britney-spears-nude.com
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\1-domains-registrations.com -> 1-domains-registrations.com
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\1-se.com -> 1-se.com
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\1001movie.com -> 1001movie.com
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\1001night.biz -> 1001night.biz
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\100gal.net -> 100gal.net
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\100sexlinks.com -> 100sexlinks.com
(DTools LIMITED) C:\ProgramData\tWdsManProt\WdsManPro.exe
(TODO: <???>) C:\Program Files (x86)\SFK\SSFK.exe
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/7993/","hxxp://www.delta-search.com/?affID=119776&tt=060213_9103&babsrc=HP_ss&mntrId=1491cd6b0000000000000018f393fe78","hxxp://www2.delta-search.com/?affID=119776&tt=gc_&babsrc=HP_ss&mntrId=9CB1D43D7E4B2F9F","hxxp://websearch.searchesplace.info/?pid=499&r=2013/08/10&hid=4115115118&lg=EN&cc=UA&unqvl=30","","hxxp://www.sweet-page.com/?type=hp&ts=1407945026&from=cor&uid=HitachiXHDS721010CLA330_JP2940N10J2WMV0J2WMVX","hxxp://www.yandex.ru/?win=138&clid=1985535","hxxp://www.mystartsearch.com/?type=hp&ts=1441530150&z=33dac92ffd7c01e57407e12gcz7zfg3wec7e9e5e6t&from=cmi&uid=HitachiXHDS721010CLA330_JP2940N10J2WMV0J2WMVX","hxxp://www.mystartsearch.com/?type=hp&ts=1441534319&z=88539c70aa4c0a7de6741a3g1z9z7g6w3c3z1gcm7t&from=cmi&uid=HitachiXHDS721010CLA330_JP2940N10J2WMV0J2WMVX","hxxp://www.mystartsearch.com/?type=hp&ts=1441556202&z=edb5dda7ace91b3c4c89731g5z4z1g6wfwfq1e7q9g&from=cmi&uid=HitachiXHDS721010CLA330_JP2940N10J2WMV0J2WMVX"
CHR DefaultSuggestURL: Default -> {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client={google:suggestClient}&gs_ri={google:suggestRid}&xssi=t&q={searchTerms}&{google:inputType}{google:cursorPosition}{google:currentPageUrl}{google:pageClassification}{google:searchVersion}{google:sessionToken}{google:prefetchQuery}sugkey={google:suggestAPIKeyParameter}
2015-09-06 19:17 - 2015-09-06 19:18 - 00000000 ____D C:\Program Files (x86)\SFK
2015-09-06 19:17 - 2015-09-06 19:17 - 00613255 _____ (CMI Limited) C:\Users\Неудержимый\AppData\Local\nsmE10A.tmp
2015-09-06 19:17 - 2015-09-06 19:17 - 00000000 __SHD C:\Users\Неудержимый\AppData\Roaming\AnyProtectEx
2015-09-06 19:17 - 2015-09-06 19:17 - 00000000 ____D C:\Program Files (x86)\AnyProtectEx
2015-09-06 19:16 - 2015-09-06 19:17 - 00000000 ____D C:\Users\Все пользователи\tWdsManProt
2015-09-06 19:16 - 2015-09-06 19:17 - 00000000 ____D C:\ProgramData\tWdsManProt
R2 WdsManPro; C:\ProgramData\tWdsManProt\WdsManPro.exe [709288 2015-09-06] (DTools LIMITED)
2015-09-06 19:16 - 2015-09-06 19:17 - 00000000 ____D C:\ProgramData\tWdsManProt
2015-08-28 13:35 - 2015-08-28 13:43 - 00000000 ____D C:\Users\Неудержимый\AppData\Local\QQSM
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

потом свежий лог сканирования MBAM.

**Вячеслав Рудковский** · 07.09.2015, 00:11

извиняюсь за задержку... сканирование MBAM полтора часа у меня занимает

**regist** · 07.09.2015, 09:14

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда

**Вячеслав Рудковский** · 07.09.2015, 12:28

не могу прикрепить... пишет что файл превысил какой-то предел на форуме (
могу ли я удалить ранее загруженные файлы ? если да то как ?

**regist** · 07.09.2015, 14:08

загрузите на http://rghost.ru/ и оставьте ссылку на скачивание.

**Вячеслав Рудковский** · 07.09.2015, 20:23

http://rghost.ru/8HXKxyR4d
готово
только поможет ли это ? процессы запускаются примерно через полчаса после запуска системы

- - - - -Добавлено - - - - -

а мне ещё какие-то действия нужно выполнить ?

**regist** · 07.09.2015, 21:37

Выполните скрипт в uVS и пришлите карантин

Код:

;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
dirzooex %SystemDrive%\PROGRAM FILES (X86)\00000000-1441287144-0000-0000-D43D7E4B2F9F
dirzooex %SystemDrive%\PROGRAM FILES (X86)\SFK
zoo %SystemDrive%\PROGRAM FILES (X86)\SFK\SSFK.EXE
bl 4C5A162F20C58B523B29795291BEE6CC 411648
delall %SystemDrive%\PROGRAM FILES (X86)\SFK\SSFK.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\00000000-1441287144-0000-0000-D43D7E4B2F9F\KNSU5483.TMP
bl 33BE506CE8E03AC86D87D46C3D88A9C8 781312
delall %SystemDrive%\PROGRAM FILES (X86)\00000000-1441287144-0000-0000-D43D7E4B2F9F\KNSU5483.TMP
deldir   %SystemDrive%\PROGRAM FILES (X86)\00000000-1441287144-0000-0000-D43D7E4B2F9F\
deldir  %SystemDrive%\PROGRAM FILES (X86)\SFK\
delall HTTP://GO.MAIL.RU/SEARCH?FR=NTG&Q=
czoo
restart

После этого удалите в MBAM всё найденное и прикрепите свежий лог MBAM.

**Вячеслав Рудковский** · 07.09.2015, 21:50

после удаления снова просканировать и лог скинуть ?

**regist** · 07.09.2015, 21:51

Сообщение от Вячеслав Рудковский

после удаления снова просканировать и лог скинуть ?

да.

+ сайт coop-land.ru вам знаком?

**Вячеслав Рудковский** · 07.09.2015, 21:56

знаком

- - - - -Добавлено - - - - -

а мне ошибку выдаёт в авз при попытке выполнить скрипт

- - - - -Добавлено - - - - -

ошибка "BEGIN" expected в позиции 1:1
вот такая ошибка

**regist** · 07.09.2015, 22:26

Сообщение от Вячеслав Рудковский

а мне ошибку выдаёт в авз при попытке выполнить скрипт

так это скрипт не для AVZ

Сообщение от regist

Выполните скрипт в uVS и пришлите карантин

выполните скрипт там кликабельно

.

**Вячеслав Рудковский** · 07.09.2015, 23:52

ой извиняюсь )

- - - - -Добавлено - - - - -

а кинуть в "прислать запрошенный карантин" да ?

- - - - -Добавлено - - - - -

карантин загрузил если файлом не ошибся
а сканирование теперь делать заново, потом удалить всё что нашёл и ещё раз просканировать ?

**regist** · 08.09.2015, 09:26

Сообщение от Вячеслав Рудковский

а сканирование теперь делать заново, потом удалить всё что нашёл и ещё раз просканировать ?

да.

**Вячеслав Рудковский** · 08.09.2015, 23:45

часа через 3 будет готово )

- - - - -Добавлено - - - - -

извиняюсь за задержку

**regist** · 09.09.2015, 10:17

Проблема решена?

**Вячеслав Рудковский** · 09.09.2015, 11:15

ну вроде процессы больше не появляются так что да... решена
много же мучений с этой проблемой было...
спасибо большое )

**regist** · 09.09.2015, 11:46

MBAM деинсталируйте.

Удалите папку C:\FRST со всем содержимым.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

**CyberHelper** · 09.09.2015, 11:56

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 8
В ходе лечения обнаружены вредоносные программы:
1. c:\program files (x86)\anyprotectex\anyprotect.exe - not-a-virus:AdWare.Win32.Agent.hpxh
2. c:\program files (x86)\sfk\ssfk.exe - HEUR:Trojan.Win32.Generic
3. \knsu5483.tmp._50a16c8722ae01c75ff0daf25c19223b34f 87aa4 - not-a-virus:AdWare.Win32.Agent.jgkl
4. \ssfk.exe._add141bcc8aa80aa480b8653c1a58ec16abb5a5 f - HEUR:Trojan.Win32.Generic

Левые процессы с расширением .tmp [not-a-virus:AdWare.Win32.Agent.hpxh ] (заявка № 189528)

Опции темы

Итог лечения

Похожие темы

Карантин BA15DA4D938D770AC72890AF8816E582 [not-a-virus:AdWare.Win32.Agent.efre, not-a-virus:AdWare.Win32.Agent.hp= xh]

Скачал инструкцию с китайского сайта, много банеров [not-a-virus:AdWare.Win32.Agent.hpxh, not-a-virus:AdWare.Win32.Eorezo.zby ]

Предложение об установке программ [not-a-virus:HEUR:AdWare.Win32.Generic, not-a-virus:AdWare.Win32.Agent.hpxh ]

Карантин 01EA112DF5B8D49D101F71850624F297 [not-a-virus:AdWare.NSIS.Vopak.ap, not-a-virus:AdWare.Win32.Agent.hpxh]

Заблокирована сеть интернет [not-a-virus:AdWare.Win32.AdSvc.ny, not-a-virus:AdWare.Win32.Agent.hpxh ]

Ваши права в разделе