Левые процессы с расширением .tmp [not-a-virus:AdWare.Win32.Agent.hpxh ]

- выполните такой скрипт в AVZ
[code]
begin
ClearQuarantineEx(true);
QuarantineFileF('C:\ProgramData\tWdsManProt\', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0);
QuarantineFileF('C:\Program Files (x86)\SFK\', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0);
QuarantineFileF('C:\Program Files (x86)\SFK', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0);
QuarantineFileF('C:\Users\Неудержимый\AppData\Roaming\AnyProtectEx', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0);
QuarantineFileF('C:\Program Files (x86)\AnyProtectEx', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0);
QuarantineFileF('C:\Users\Неудержимый\AppData\Local\QQSM', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/code]

- Файл [b][color=Red]quarantine.zip[/color][/b] из папки AVZ загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[quote="Вячеслав Рудковский;1311583"]Лог полного сканирования MBAM ?[/quote]
да.

не помогло то что я всё удалил в тот раз... в логе снова то же самое

карантин прислал

Удалите всё найденное в MBAM, затем

Создайте текстовый файл [B]fixlist.txt[/B] в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
[code]start
CreateRestorePoint:
Task: {38044F68-2034-4406-B6BF-945FEBF3E861} - \Driver Booster SkipUAC (Неудержимый) -> No File <==== ATTENTION
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\008i.com -> 008i.com
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\008k.com -> 008k.com
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\00hq.com -> 00hq.com
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\0190-dialers.com -> 0190-dialers.com
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\01i.info -> 01i.info
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\02pmnzy5eo29bfk4.com -> 02pmnzy5eo29bfk4.com
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\05p.com -> 05p.com
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\07ic5do2myz3vzpk.com -> 07ic5do2myz3vzpk.com
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\08nigbmwk43i01y6.com -> 08nigbmwk43i01y6.com
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\093qpeuqpmz6ebfa.com -> 093qpeuqpmz6ebfa.com
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\0calories.net -> 0calories.net
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\0cj.net -> 0cj.net
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\0scan.com -> 0scan.com
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\1-britney-spears-nude.com -> 1-britney-spears-nude.com
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\1-domains-registrations.com -> 1-domains-registrations.com
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\1-se.com -> 1-se.com
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\1001movie.com -> 1001movie.com
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\1001night.biz -> 1001night.biz
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\100gal.net -> 100gal.net
IE restricted site: HKU\S-1-5-21-1305671777-81266686-2573881041-1000\...\100sexlinks.com -> 100sexlinks.com
(DTools LIMITED) C:\ProgramData\tWdsManProt\WdsManPro.exe
(TODO: <???>) C:\Program Files (x86)\SFK\SSFK.exe
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/7993/","hxxp://www.delta-search.com/?affID=119776&tt=060213_9103&babsrc=HP_ss&mntrId=1491cd6b0000000000000018f393fe78","hxxp://www2.delta-search.com/?affID=119776&tt=gc_&babsrc=HP_ss&mntrId=9CB1D43D7E4B2F9F","hxxp://websearch.searchesplace.info/?pid=499&r=2013/08/10&hid=4115115118&lg=EN&cc=UA&unqvl=30","","hxxp://www.sweet-page.com/?type=hp&ts=1407945026&from=cor&uid=HitachiXHDS721010CLA330_JP2940N10J2WMV0J2WMVX","hxxp://www.yandex.ru/?win=138&clid=1985535","hxxp://www.mystartsearch.com/?type=hp&ts=1441530150&z=33dac92ffd7c01e57407e12gcz7zfg3wec7e9e5e6t&from=cmi&uid=HitachiXHDS721010CLA330_JP2940N10J2WMV0J2WMVX","hxxp://www.mystartsearch.com/?type=hp&ts=1441534319&z=88539c70aa4c0a7de6741a3g1z9z7g6w3c3z1gcm7t&from=cmi&uid=HitachiXHDS721010CLA330_JP2940N10J2WMV0J2WMVX","hxxp://www.mystartsearch.com/?type=hp&ts=1441556202&z=edb5dda7ace91b3c4c89731g5z4z1g6wfwfq1e7q9g&from=cmi&uid=HitachiXHDS721010CLA330_JP2940N10J2WMV0J2WMVX"
CHR DefaultSuggestURL: Default -> {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client={google:suggestClient}&gs_ri={google:suggestRid}&xssi=t&q={searchTerms}&{google:inputType}{google:cursorPosition}{google:currentPageUrl}{google:pageClassification}{google:searchVersion}{google:sessionToken}{google:prefetchQuery}sugkey={google:suggestAPIKeyParameter}
2015-09-06 19:17 - 2015-09-06 19:18 - 00000000 ____D C:\Program Files (x86)\SFK
2015-09-06 19:17 - 2015-09-06 19:17 - 00613255 _____ (CMI Limited) C:\Users\Неудержимый\AppData\Local\nsmE10A.tmp
2015-09-06 19:17 - 2015-09-06 19:17 - 00000000 __SHD C:\Users\Неудержимый\AppData\Roaming\AnyProtectEx
2015-09-06 19:17 - 2015-09-06 19:17 - 00000000 ____D C:\Program Files (x86)\AnyProtectEx
2015-09-06 19:16 - 2015-09-06 19:17 - 00000000 ____D C:\Users\Все пользователи\tWdsManProt
2015-09-06 19:16 - 2015-09-06 19:17 - 00000000 ____D C:\ProgramData\tWdsManProt
R2 WdsManPro; C:\ProgramData\tWdsManProt\WdsManPro.exe [709288 2015-09-06] (DTools LIMITED)
2015-09-06 19:16 - 2015-09-06 19:17 - 00000000 ____D C:\ProgramData\tWdsManProt
2015-08-28 13:35 - 2015-08-28 13:43 - 00000000 ____D C:\Users\Неудержимый\AppData\Local\QQSM
EmptyTemp:
Reboot:
end[/code]
Отключите до перезагрузки антивирус, запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

потом свежий лог сканирования MBAM.

извиняюсь за задержку... сканирование MBAM полтора часа у меня занимает

[url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url], только программу скачайте [url=https://yadi.sk/d/6A65LkI1WEuqC]отсюда[/url]

не могу прикрепить... пишет что файл превысил какой-то предел на форуме (
могу ли я удалить ранее загруженные файлы ? если да то как ?

загрузите на [url]http://rghost.ru/[/url] и оставьте ссылку на скачивание.

[url]http://rghost.ru/8HXKxyR4d[/url]
готово
только поможет ли это ? процессы запускаются примерно через полчаса после запуска системы

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

а мне ещё какие-то действия нужно выполнить ?

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url] и пришлите карантин


[CODE];uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
dirzooex %SystemDrive%\PROGRAM FILES (X86)\00000000-1441287144-0000-0000-D43D7E4B2F9F
dirzooex %SystemDrive%\PROGRAM FILES (X86)\SFK
zoo %SystemDrive%\PROGRAM FILES (X86)\SFK\SSFK.EXE
bl 4C5A162F20C58B523B29795291BEE6CC 411648
delall %SystemDrive%\PROGRAM FILES (X86)\SFK\SSFK.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\00000000-1441287144-0000-0000-D43D7E4B2F9F\KNSU5483.TMP
bl 33BE506CE8E03AC86D87D46C3D88A9C8 781312
delall %SystemDrive%\PROGRAM FILES (X86)\00000000-1441287144-0000-0000-D43D7E4B2F9F\KNSU5483.TMP
deldir %SystemDrive%\PROGRAM FILES (X86)\00000000-1441287144-0000-0000-D43D7E4B2F9F\
deldir %SystemDrive%\PROGRAM FILES (X86)\SFK\
delall HTTP://GO.MAIL.RU/SEARCH?FR=NTG&Q=
czoo
restart
[/CODE]

После этого удалите в MBAM всё найденное и прикрепите свежий лог MBAM.

после удаления снова просканировать и лог скинуть ?

[quote="Вячеслав Рудковский;1312018"]после удаления снова просканировать и лог скинуть ?[/quote]
да.

+ сайт coop-land.ru вам знаком?

знаком

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

а мне ошибку выдаёт в авз при попытке выполнить скрипт

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

ошибка "BEGIN" expected в позиции 1:1
вот такая ошибка

[quote="Вячеслав Рудковский;1312020"]а мне ошибку выдаёт в авз при попытке выполнить скрипт[/quote]
так это скрипт не для AVZ :)

[quote="regist;1312012"][url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url] и пришлите карантин[/quote]выполните скрипт там кликабельно ;).

ой извиняюсь )

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

а кинуть в "прислать запрошенный карантин" да ?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

карантин загрузил если файлом не ошибся
а сканирование теперь делать заново, потом удалить всё что нашёл и ещё раз просканировать ?

[quote="Вячеслав Рудковский;1312046"]а сканирование теперь делать заново, потом удалить всё что нашёл и ещё раз просканировать ?[/quote]
да.

часа через 3 будет готово )

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

извиняюсь за задержку

Проблема решена?

ну вроде процессы больше не появляются так что да... решена
много же мучений с этой проблемой было...
спасибо большое )

MBAM деинсталируйте.

Удалите папку C:\FRST со всем содержимым.

Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\anyprotectex\anyprotect.exe - [B]not-a-virus:AdWare.Win32.Agent.hpxh[/B][*] c:\program files (x86)\sfk\ssfk.exe - [B]HEUR:Trojan.Win32.Generic[/B][*] \knsu5483.tmp._50a16c8722ae01c75ff0daf25c19223b34f87aa4 - [B]not-a-virus:AdWare.Win32.Agent.jgkl[/B][*] \ssfk.exe._add141bcc8aa80aa480b8653c1a58ec16abb5a5f - [B]HEUR:Trojan.Win32.Generic[/B][/LIST][/LIST]