Подхватил где-то #TMP.exe вирус. Кроме этого были ShareFolder и прочая ерунда, но с ней вроде справился. А этот никак не выкорчевывается. В автозапуске еще сидел 2125560621255606.exe. Отключить, отключил, осталось выкорчевать тоже.
TMP.exe вирус
Подхватил где-то #TMP.exe вирус. Кроме этого были ShareFolder и прочая ерунда, но с ней вроде справился. А этот никак не выкорчевывается. В автозапуске еще сидел 2125560621255606.exe. Отключить, отключил, осталось выкорчевать тоже.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Vjick, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\windows\temp\sppsvc.exe'); DeleteFile('C:\Program Files (x86)\prTmaNwFK\prTmaNwFK.dll', '64'); DeleteFile('C:\TEMP\b4af406cd1\mjlooy.exe', '64'); DeleteFile('C:\Users\Professional\AppData\Local\ConsoleAlert\WcqouptGames\ehp_Interlcfxc.dll', ''); DeleteFile('C:\Users\Professional\AppData\Local\ConsoleAlert\WcqouptGames\ehp_Interlcfxc.dll', '64'); DeleteFile('C:\Users\Professional\AppData\Roaming\21256393\2125560621255606.exe', '32'); DeleteFile('C:\Users\Professional\AppData\Roaming\21256393\2125560621255606.exe', '64'); DeleteFile('C:\Users\Professional\AppData\Roaming\sysinfotool\sitool.exe', '64'); DeleteFile('c:\windows\temp\sppsvc.exe', ''); DeleteFileMask('c:\program files (x86)\prtmanwfk', '*', true); DeleteFileMask('c:\temp\b4af406cd1', '*', true); DeleteFileMask('c:\users\professional\appdata\local\consolealert', '*', true); DeleteFileMask('c:\users\professional\appdata\roaming\21256393', '*', true); DeleteFileMask('c:\users\professional\appdata\roaming\sysinfotool', '*', false); DeleteDirectory('c:\program files (x86)\prtmanwfk'); DeleteDirectory('c:\temp\b4af406cd1'); DeleteDirectory('c:\users\professional\appdata\local\consolealert'); DeleteDirectory('c:\users\professional\appdata\roaming\21256393'); DeleteDirectory('c:\users\professional\appdata\roaming\sysinfotool'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '218457123', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '218457123', '64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); DeleteSchedulerTask('Microsoft\Windows\Chkdsk\System.Tmin'); DeleteSchedulerTask('Microsoft\Windows\Windows Error Reporting\ToolSystemInfo'); DeleteSchedulerTask('mjlooy.exe'); DeleteSchedulerTask('prTmaNwFK'); ExecuteSysClean; ExecuteWizard('SCU', 3, 3, true); RebootWindows(true); end.
Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Добавил отчет FRST. Сейчас Symantec нашел еще пару экзешников с длинным названием с угрозой Heur.AdvML.C.
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ Task: {C2670968-2D10-42D2-8963-E93923B24B74} - System32\Tasks\prTmaNwFK => C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\prTmaNwFK\prTmaNwFK.dll",prTmaNwFK <==== ВНИМАНИЕ Edge DefaultSearchURL: Default -> hxxps://www.serci.info?q={searchTerms}&gd=SY1001981 Edge DefaultSuggestURL: Default -> hxxps://suggest.finditnowonline.com/suggestionfeed/suggestion?format=json&gd=SY1001982&q={searchTerms} CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp] Folder: C:\Users\Professional\AppData\Roaming\ca82a716069a53 2021-12-25 18:37 - 2021-12-25 18:37 - 000000000 ____D C:\Users\Professional\AppData\Roaming\ca82a716069a53 2021-12-25 18:36 - 2021-12-26 18:07 - 000000000 ____D C:\Program Files (x86)\prTmaNwFK Folder: C:\Program Files (x86)\temp_files 2021-12-25 18:35 - 2021-12-25 18:35 - 001246160 _____ (Mozilla Foundation) C:\ProgramData\nss3.dll 2021-12-25 18:35 - 2021-12-25 18:35 - 000334288 _____ (Mozilla Foundation) C:\ProgramData\freebl3.dll 2021-12-25 18:35 - 2021-12-25 18:35 - 000144848 _____ (Mozilla Foundation) C:\ProgramData\softokn3.dll 2021-12-25 18:35 - 2021-12-25 18:35 - 000137168 _____ (Mozilla Foundation) C:\ProgramData\mozglue.dll Folder: C:\Users\Professional\AppData\Roaming\ProfCleaner Folder: C:\Users\Professional\AppData\Roaming\AW Manager Folder: C:\ProgramData\OPYK7CUKVOEYYZRNA3M7C3066 Folder: C:\ProgramData\AL7G0JQP1FZ4M9VJ1CBBSXGAU Folder: C:\Program Files (x86)\Company 2021-12-25 18:34 - 2021-12-25 18:34 - 000000000 ____D C:\Users\Professional\AppData\Roaming\ProfCleaner 2021-12-25 18:34 - 2021-12-25 18:34 - 000000000 ____D C:\Users\Professional\AppData\Roaming\AW Manager 2021-12-25 18:34 - 2021-12-25 18:34 - 000000000 ____D C:\ProgramData\OPYK7CUKVOEYYZRNA3M7C3066 2021-12-25 18:34 - 2021-12-25 18:34 - 000000000 ____D C:\ProgramData\AL7G0JQP1FZ4M9VJ1CBBSXGAU 2021-12-25 18:34 - 2021-12-25 18:34 - 000000000 ____D C:\Program Files (x86)\Company 2021-12-25 18:33 - 2021-12-25 18:33 - 000000000 _____ C:\Users\Professional\AppData\Roaming\A70.tmp 2021-12-25 18:33 - 2021-12-25 18:33 - 000000000 _____ C:\Users\Professional\AppData\Roaming\128F.tmp 2021-12-25 20:33 - 2021-11-07 19:38 - 000000000 ____D C:\ProgramData\Lavasoft File: C:\Users\Professional\AppData\Local\7637a16b-acaf-4277-887f-ebc89daa8f36.exe File: C:\Users\Professional\AppData\Local\95e0687e-73cb-4654-b13d-24631f2fd7dc.exe 2021-12-25 18:35 - 2021-12-25 18:35 - 000440120 _____ (Microsoft Corporation) C:\ProgramData\msvcp140.dll 2021-12-25 18:35 - 2021-12-25 18:35 - 000083784 _____ (Microsoft Corporation) C:\ProgramData\vcruntime140.dll 2021-12-25 18:34 - 2021-12-25 18:34 - 000167424 _____ (jbsgduifsaj) C:\Users\Professional\AppData\Local\7637a16b-acaf-4277-887f-ebc89daa8f36.exe 2021-12-25 18:34 - 2021-12-25 18:34 - 000107520 _____ (HostingPhot) C:\Users\Professional\AppData\Local\95e0687e-73cb-4654-b13d-24631f2fd7dc.exe HKU\S-1-5-21-1220727265-1287909551-3285080408-1001\...\StartupApproved\Run: => "218457123" FirewallRules: [TCP Query User{50D3F6C2-5B3A-47CD-85FD-D63D854D2F91}C:\windows\files\bin\kmss.exe] => (Block) C:\windows\files\bin\kmss.exe => Нет файла FirewallRules: [UDP Query User{F94E7DAD-9988-4719-9D5E-E60112FCBF18}C:\windows\files\bin\kmss.exe] => (Block) C:\windows\files\bin\kmss.exe => Нет файла FirewallRules: [TCP Query User{DAFDC056-F719-4547-A38C-DCAA21918C36}C:\program files (x86)\company\newproduct\jg1_1faf.exe] => (Block) C:\program files (x86)\company\newproduct\jg1_1faf.exe => Нет файла FirewallRules: [UDP Query User{EB193141-D090-4EF3-B2A4-629470C42EDD}C:\program files (x86)\company\newproduct\jg1_1faf.exe] => (Block) C:\program files (x86)\company\newproduct\jg1_1faf.exe => Нет файла FirewallRules: [{B0651ADF-DE2C-44D6-855C-1F040DC49544}] => (Allow) C:\Windows\system32\rundll32.exe (Microsoft Windows -> Microsoft Corporation) FirewallRules: [{69E9BBEE-E147-4315-BDF9-68DB903AB6C7}] => (Allow) C:\Windows\System32\rundll32.exe (Microsoft Windows -> Microsoft Corporation) FirewallRules: [{6030D507-071E-488D-9182-7BADE2EA90D2}] => (Allow) C:\Windows\System32\rundll32.exe (Microsoft Windows -> Microsoft Corporation) Reboot: End::
Компьютер будет перезагружен автоматически.
WBR,
Vadim
Добавил Fixlog
Порядок, зачистили всё от зловреда.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
WBR,
Vadim
Спасибо! Все получилось!
Уважаемый(ая) Vjick, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
