Висит в процессах *.tmp.exe

**nozzy** · 03.05.2018, 10:06

Постоянно находится в процессах файлы *.tmp.exe, а также есть странный файл, который не удается найти и удалить vp8vfw.dll . Помогите удалить.

virusinfo_syscheck.zip

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 03.05.2018, 10:08

Уважаемый(ая) nozzy, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**nozzy** · 03.05.2018, 10:13

CollectionLog-2018.05.03-11.56.zip

**thyrex** · 09.05.2018, 09:37

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('C:\Windows\Temp\gAB.tmp.exe');
 QuarantineFile('C:\Windows\Temp\gAB.tmp.exe','');
 DeleteFile('C:\Windows\Temp\gAB.tmp.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\abevpqcknh','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\C','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command');
 DeleteFile('C:\Users\Win7\AppData\Local\Amigo\Application\amigo.exe','32');
 DeleteFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol','32');
 DeleteFile('C:\Windows\system32\GroupPolicy\Machine\R','32');
 DeleteFile('C:\Windows\system32\Tasks\Driver Booster SkipUAC (Win7)','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

**nozzy** · 09.05.2018, 14:04

готово

**thyrex** · 09.05.2018, 14:52

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**nozzy** · 09.05.2018, 18:20

готово

**nozzy** · 15.05.2018, 21:08

поможет кто нибудь?

**Vvvyg** · 16.05.2018, 08:59

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
Closeprocesses:
C:\Windows\Temp\g28C4.tmp.exe
HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ATTENTION
HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ATTENTION
HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ATTENTION
HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ATTENTION
HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ATTENTION
HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ATTENTION
HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ATTENTION
HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ATTENTION
HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ATTENTION
HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ATTENTION
HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ATTENTION
HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ATTENTION
HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ATTENTION
HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ATTENTION
HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ATTENTION
HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ATTENTION
HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ATTENTION
HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ATTENTION
HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ATTENTION
HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ATTENTION
HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ATTENTION
HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ATTENTION
HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ATTENTION
CHR Profile: C:\Users\Win7\AppData\Local\Google\Chrome\User Data\System Profile [2018-04-24]
2018-04-15 16:23 - 2017-10-29 01:36 - 000000000 ____D C:\Users\Win7\AppData\Roaming\1337
Task: {40CDC245-7326-4E2F-A1EF-19844B22932C} - \Driver Booster SkipUAC (Win7) -> No File <==== ATTENTION
C:\Users\Win7\Favorites\Links\Интернет.url
CMD: sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
CMD: sc.exe config mrxsmb10 start= disabled
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Установите хотфикс KB4012212, закрывающий опаснейшую уязвимость, которую используют кроме вашего трояна нашумевшие в прошлом году шифровальщики WannaCry и Petya/NotPetya, а также многие майнеры. Иначе не избавитесь от заразы.

Сообщите, что с проблемой.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**nozzy** · 16.05.2018, 20:01

имена tmp.exe меняются

**Vvvyg** · 16.05.2018, 23:04

-------------------------------- [ Java ] ---------------------------------
Java 8 Update 131 (64-bit) v.8.0.1310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u172-windows-x64.exe)^
Java SE Development Kit 8 Update 131 (64-bit) v.8.0.1310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u172-windows-x64.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 28 ActiveX v.28.0.0.137 Внимание! Скачать обновления
Adobe Flash Player 25 NPAPI v.25.0.0.127 Внимание! Скачать обновления
Adobe Flash Player 28 PPAPI v.28.0.0.137 Внимание! Скачать обновления

Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите текущий билд Java 8.
Учтите, что 64-bit версия Java нужна только для очень ограниченного круга приложений.
Adobe Flash Player тоже обновите обязательно.

После выполнения фикса проблема сохраняется? Если да - скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**nozzy** · 17.05.2018, 11:36

выше указанное предположение оказалось верным. был установлен в сист папке и прописан скрыто в реестре майнер. майнер особой нагрузки, после нескольких попыток удалить его, не давал, но постоянно менялся и создавал дубликаты своих темпо-предшественников.

вопрос решен благодаря утилите поиска срытых процессов с расшифровкой. сейчас не располагаю инфой об этом вирусе, но, поискав на одном из ресурсов в интернете решение этой проблемы, установил весь список утилит рекомендуемых при удалении майнера. если не ошибаюсь это были: 1. тулз касперского (он и помог фактически), 2. ComboFix, 3. Junkware Removal Tool. 4. RKill - каждый удалял остатки или после удаление предыдущих проблем - новые.

к сожаление, рекомендуемые malwarebytes утилиты не помогли.

**Vvvyg** · 17.05.2018, 22:28

Сообщение от nozzy

вопрос решен благодаря утилите поиска срытых процессов с расшифровкой.

Уточните, что за утилита?

**nozzy** · 18.05.2018, 23:16

Сообщение от Vvvyg

Уточните, что за утилита?

может неправильно выразился при уточнении способа поиска и устранения зловредов, но если вам необходимо проверить работоспособность и эффективность утилиты, то это lorias triojan remove. этой утилитой пользовался только в триал версии без удаления найденных объектов. помогла удалить файлы майнера утилита kaspersky virus removal tool (удалил то, что другие утилиты найти не могли, в том числе и сам lorias triojan remove) и при этом сам касперский не указывал на файлы майнера как потенциально опасные (как я помню).

также хотелось бы немного уточняющей информации о том, что являются ли эти утилиты актуальными средствами поиска и удаления майнеров, а не "эмуляцией" процесса позволяющего временно устранить появление искомых зловредов.

найден был майнер под название: Risk.Win64.CoinMiner.sd!s1, Trojan.Win64.Agent.sd!s1, а также в FRST64.exe , которую рекомендовали выше нашел угрозу Malware.Win64.Gen.cc!s1 - очень обеспокоен.

**Vvvyg** · 19.05.2018, 10:23

KVRT доверять можно, lorias triojan remove - не слышал про такое.
Сейчас кто-то что-то находит, или чисто?

**nozzy** · 19.05.2018, 18:17

пока чисто

**Vvvyg** · 19.05.2018, 19:25

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

**CyberHelper** · 19.05.2018, 19:35

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

Висит в процессах *.tmp.exe (заявка № 218808)

Опции темы