Троян в папке Temp

**Abigore** · 11.03.2018, 14:04

Добрый день.

В последнее время регулярно стал ругаться антивирусный сканер из AdvansedSystemCare на троян в папке c:\windows\temp. Видит он его как Gen.Variant.Razy.120217. Если сканирую Др.Веб, тот видит его как trojan.pws.stealer. По факту в папке Temp регулярно создается папка, которую не удается удалить ничем (см. вложение). Если ее гасит ASC, то создаются новые файлы в папке под новыми аналогичными именами. Антивирусы ругаются, процессор загружен. Отчет во вложении.
Снимок.JPG

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 11.03.2018, 14:05

Уважаемый(ая) Abigore, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 11.03.2018, 14:24

Ace Stream Media 3.1.2
Advanced SystemCare Ultimate 11
IObit Uninstaller
Smart Defrag 5

удалите через Установку программ

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**Abigore** · 11.03.2018, 16:42

Готово

**Abigore** · 15.03.2018, 19:06

Есть идеи?

**Vvvyg** · 15.03.2018, 22:36

Установите Обновление качества (только система безопасности) для систем Windows 7 на базе процессоров x64 (KB4012212), март 2017 г.
Майнер подсаживают через уязвимости системы.

**Abigore** · 17.03.2018, 01:30

Спасибо, но это обновление уже было установлено до появления проблемы. Есть еще мысли? И что делать с удаленными программами?
(Ace Stream Media 3.1.2
Advanced SystemCare Ultimate 11
IObit Uninstaller
Smart Defrag 5)
Устанавливать обратно или есть более удачные аналоги?

**thyrex** · 17.03.2018, 06:32

Отключите ВСЕ установленные расширения во ВСЕХ браузерах.

+ 1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
S3 29E94C5; \??\C:\Windows\TEMP\29E94C5.sys [X]
S3 iobit_monitor_server; \??\C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate\drivers\Monitor_win7_x64.sys [X]
S4 IUFileFilter; \??\C:\Program Files (x86)\IObit\IObit Uninstaller\drivers\win7_amd64\IUFileFilter.sys [X]
OPR Extension: (Скачать Музыку ВКонтакте) - C:\Users\Abigor\AppData\Roaming\Opera Software\Opera Stable\Extensions\cffbbjapppeecmibpeloapkdmcgjonmh [2018-02-10]
CHR HKLM-x32\...\Chrome\Extension: [aonedlchkbicmhepimiahfalheedjgbh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
Task: {F158A019-EDB3-42BC-9FA4-7514A8996D8B} - System32\Tasks\Uninstaller_SkipUac_Abigor => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
Task: {9FDC16C6-E489-45D5-920E-1351B74E1A65} - System32\Tasks\Uninstaller_SkipUac_Administrator => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
Task: {4E7336FA-12A8-464A-9D37-60639770B455} - System32\Tasks\Driver Booster SkipUAC (Abigor) => C:\Program Files (x86)\IObit\Driver Booster\5.2.0\DriverBooster.exe [2018-02-18] (IObit)
Task: {4285CA89-AFCB-4E88-A226-FD9F1095A639} - System32\Tasks\Driver Booster Scheduler => C:\Program Files (x86)\IObit\Driver Booster\5.2.0\Scheduler.exe [2018-01-26] (IObit)
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

Проверьте проблему.

Троян в папке Temp (заявка № 218053)

Опции темы