В процессах появился процесс .tmp [Trojan.Win64.Wdfload.b ]

[Владимир Третьяков]

После скачивания активатора для одной из программы и запуска его в процессах появился процесс .tmp, вот скриншот:
Скриншот процесса.png

Почистил программой adwcleaner ПК и после доктор веб нашёл ещё 12 угроз и их обезвредил но процесс остался да и ПК стал себя вести странно, например в windows 10 погода не обновляется или к примеру не могу получить доступ к ветке Run в реестре и т.д.

Помогите пожалуйста решить проблему. Спасибо.

[Info_bot]

Уважаемый(ая) Владимир Третьяков, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('C:\Windows\Temp\gC5D2.tmp.exe');
 QuarantineFile('C:\Windows\Temp\gC5D2.tmp.exe', '');
 DeleteFile('C:\Windows\Temp\gC5D2.tmp.exe', '32');
 DeleteService('ServiceMgr');
 DeleteFileMask('c:\users\exited\appdata\local\filterstart', '*', true);
 DeleteFileMask('c:\program files (x86)\iobit', '*', true);
 DeleteFileMask('c:\users\exited\appdata\roaming\eseller', '*', true);
 DeleteFileMask('c:\program files (x86)\screenup', '*', true);
 DeleteFileMask('c:\users\exited\appdata\roaming\safeweb', '*', true);
 DeleteDirectory('c:\users\exited\appdata\local\filterstart');
 DeleteDirectory('c:\program files (x86)\iobit');
 DeleteDirectory('c:\users\exited\appdata\roaming\eseller');
 DeleteDirectory('c:\program files (x86)\screenup');
 DeleteDirectory('c:\users\exited\appdata\roaming\safeweb');
 ExecuteFile('schtasks.exe', '/delete /TN "urlopener" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SafeWeb" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SafeWeb2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Eseller" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Eseller2" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'wd');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог такой версией Autologger.

[Владимир Третьяков]

Сделайте новый лог такой версией Autologger.

Добрый день, сделал. Прикрепил лог в первый пост.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Готово.

[Vvvyg]

Не надо к первому крепить, к текущему сообщению дальше прикрепляйте.

Отключите до перезагрузки антивирус и выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('C:\Windows\Temp\gC5D2.tmp.exe');
 TerminateProcessByName('c:\program files (x86)\internet explorer\iexplore.exe');
 QuarantineFile('C:\Windows\Temp\gC5D2.tmp.exe', '');
 QuarantineFile('C:\Windows\TEMP\g7D9D.tmp', '');
 QuarantineFile('C:\ProgramData\7684c76x44C6034\7684c76x44C6034.dll', '');
 DeleteFile('C:\Windows\Temp\gC5D2.tmp.exe', '32');
 DeleteFile('C:\ProgramData\7684c76x44C6034\7684c76x44C6034.dll', '32');
 DeleteFile('C:\Windows\TEMP\g7D9D.tmp', '32');
 DeleteService('ServiceMgr');
 DeleteFileMask('C:\Windows\TEMP', '*', true);
 DeleteFileMask('C:\ProgramData\7684c76x44C6034', '*', false);
 DeleteDirectory('C:\ProgramData\7684c76x44C6034');
 ExecuteFile('schtasks.exe', '/delete /TN "7684c76x44C6034" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "7684c76x44C6034-dll" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Base Line Helper" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "urlopener" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "bestQRr" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster SkipUAC (exited)" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Private PC Helper" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Request Command Mgr" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SafeWeb" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SafeWeb2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Eseller" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Eseller2" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'wd');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[Владимир Третьяков]

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Готово.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

Не мог прикрепить архив выдавал ошибку, что превышен размер загружаемого файла.

Ошибка загрузки файла.png

Выложил 7-zip архив DESKTOP-MH6QJPB_2017-02-17_14-19-53 на Яндекс.Диск

[Vvvyg]

Скопируйте скрипт из окна "код" ниже в буфер обмена:

Код:

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v388c
OFFSGNSAVE
; C:\WINDOWS\TEMP\G6406.TMP.EXE
addsgn BA6F9BB21DE149B708D5AE7664C91205256276F489FAF7BD793C3A2CC09EF2880BD4CC487E55FB67249F009F461649FA355C045A1D51B5B92E76A4E8C7062273 8 Trojan.Win64.Wdfload.b [Kaspersky]
; C:\PROGRAMDATA\5431T31J59J5602\5431T31J59J5602.DLL
addsgn BA6F9BD21DE14957A5FFAE329EC9D505258AFCF6FDF057FB418B2C1DAE298EDC6F9E877306DCC96D1FC80DD3623EA1A78420179A4DE04FD361FCE00BFF8D7657 8 Adware.Elex [Malwarebytes]
zoo %SystemDrive%\PROGRAMDATA\5431T31J59J5602\5431T31J59J5602.DLL
zoo %SystemRoot%\TEMP\G6406.TMP.EXE
delref %SystemDrive%\USERS\EXITED\APPDATA\ROAMING\BESTQR\PYTHON\PYTHONW.EXE
deldir %SystemDrive%\USERS\EXITED\APPDATA\ROAMING\BESTQR
delref HTTP://MAIL.RU/CNT/10445?GP=820329
chklst
delvir
delref %SystemDrive%\PROGRAMDATA\7684C76X44C6034\7684C76X44C6034.DLL
delref %SystemDrive%\PROGRAMDATA\768DE913-1A23-1\768DE913-1A23-1.D
delref %SystemDrive%\PROGRAMDATA\768DE913-73C5-0\768DE913-73C5-0.D
deldir %SystemDrive%\PROGRAMDATA\7684C76X44C6034
deldir %SystemDrive%\PROGRAMDATA\768DE913-1A23-1
deldir %SystemDrive%\PROGRAMDATA\768DE913-73C5-0
deldir %SystemDrive%\PROGRAMDATA\5431T31J59J5602
delref X:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\YOUTUBE ADBLOCK\IEEF\LJ1E8ZYF.DLL
deldir %SystemDrive%\PROGRAM FILES (X86)\YOUTUBE ADBLOCK
uidel  C:\Program Files (x86)\ScreenUp\uninst.exe
czoo
restart

Закройте все броузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

[Владимир Третьяков]

Готово!

[Vvvyg]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

[Владимир Третьяков]

Готово.

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
S2 MEmusvc; C:\Program Files\Microvirt\MEmu\MemuService.exe [X]
2017-02-17 14:09 - 2017-02-20 16:18 - 00000000 ____D C:\ProgramData\5431t31j59J5602
2017-02-15 16:20 - 2017-02-15 16:23 - 00000000 ____D C:\ProgramData\ProductData
2017-02-15 16:20 - 2017-02-15 16:20 - 00000000 ____D C:\Windows\IObit
2017-02-15 16:20 - 2017-02-15 16:20 - 00000000 ____D C:\Users\exited\AppData\LocalLow\IObit
2017-02-09 14:58 - 2017-02-09 14:59 - 0000303 _____ () C:\Users\exited\AppData\Local\expand.ini
2017-02-09 14:59 - 2017-02-09 14:59 - 0010240 _____ (telfax) C:\Users\exited\AppData\Local\Private PC Helper.exe
2017-02-17 14:09 - 2017-02-20 16:17 - 00016818 _____ C:\Windows\System32\Tasks\5431t31j59J5602
GroupPolicy: Restriction - Chrome <======= ATTENTION
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[Владимир Третьяков]

Готово.

[Vvvyg]

Всё, зачищен и троян, и его папки. Проблема решена?

[Владимир Третьяков]

Да, спасибо большое!
Скажите, а есть смысл мне сейчас воспользоваться сервисом VirusDetector для проверки ПК на оставшиеся вирусы, или уже видно по логам, что с моим ПК всё в порядке и нет вирусной активности? Спасибо!

[Vvvyg]

По логам чисто, но можете и провериться, ссылку на результат тогда дайте в теме.

[Владимир Третьяков]

Я провёл проверку компьютера через программу AVZ, вот лог файл

[Vvvyg]

Вы этот файл должны загрузить на VirusDetector и получить результат проверки.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 7
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\temp\gc5d2.tmp.exe - Trojan.Win64.Wdfload.b
  2. c:\windows\temp\g7d9d.tmp - Trojan.Win32.Agent.ikbm
  3. \g6406.tmp.exe._1d7b142824ad90153c3e341c8d418d1d6e 9f3f21 - Trojan.Win64.Wdfload.b
  4. \5431t31j59j5602.dll._f4fbc030802d220bb8bd4f9158a1 8e718c17fbe6 - UDS:DangerousObject.Multi.Generic