Вирус создающий множество tmp.exe

[Влад Скуратов]

Добрый день.
Дело вот в чем:сегодня заметил,что в папке C/Windows/Temp появляются приложения типа 428B.tmp.exe их все больше и больше, некоторые из них SEP распознал как trojan и удалил, но это не принесло результата, они появились заново.При полном сканировании системы SEP ничего не обнаружил.Удаление в ручную тоже не помогло.
Помогите решить проблему.

[Info_bot]

Уважаемый(ая) Влад Скуратов, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Не нужно переименовывать логи, прикрепите файл virusinfo_syscheck.zip.

[Влад Скуратов]

вот

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\program files (x86)\bcd3ac00-1436475355-81e0-3292-14dae9c0b048\knsu8215.tmp');
 QuarantineFile('c:\program files (x86)\bcd3ac00-1436475355-81e0-3292-14dae9c0b048\knsu8215.tmp', '');
 DeleteFile('c:\program files (x86)\bcd3ac00-1436475355-81e0-3292-14dae9c0b048\knsu8215.tmp', '32');
 DeleteFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL', '32');
 DeleteFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL', '32');
 DeleteFileMask('c:\program files (x86)\bcd3ac00-1436475355-81e0-3292-14dae9c0b048', '*', true);
 DeleteDirectory('c:\program files (x86)\bcd3ac00-1436475355-81e0-3292-14dae9c0b048');
ExecuteSysClean;
 ExecuteRepair(2);
 ExecuteRepair(4);
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 2, true);
 ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

[Влад Скуратов]

Результаты сканирования

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKU\S-1-5-19\...\RunOnce: [] => [X]
HKU\S-1-5-20\...\RunOnce: [] => [X]
GroupPolicy-x32: Group Policy on Chrome detected <======= ATTENTION
GroupPolicyScripts: Group Policy detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
URLSearchHook: HKU\S-1-5-21-1487866295-462693584-2017678834-500 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File
SearchScopes: HKU\S-1-5-21-1487866295-462693584-2017678834-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=3015b9e276e8dc6e106a039ac377e8eb&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1487866295-462693584-2017678834-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=3015b9e276e8dc6e106a039ac377e8eb&text=
SearchScopes: HKU\S-1-5-21-1487866295-462693584-2017678834-500 -> {50B2152B-52D5-4534-ACF0-688AE67A0DDC} URL = http://yandex.ru/yandsearch?text={searchTerms}&from=os
SearchScopes: HKU\S-1-5-21-1487866295-462693584-2017678834-500 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=newcustom14
Tcpip\..\Interfaces\{CF227475-A2FC-45F6-BBE0-CB1D5DD62DEA}: [NameServer] 191.101.2.187,8.8.4.4
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - https://clients2.google.com/service/update2/crx
OPR Extension: (superpromokody) - C:\Users\Administrator\AppData\Roaming\Opera Software\Opera Stable\Extensions\jgnblgknonceobjdkepgodbolcpkgipk [2014-04-05]
S1 {6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64; system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64.sys [X]
2015-07-16 21:33 - 2015-07-16 21:33 - 00000000 _____ C:\Windows\SysWOW64\REN2434.tmp
2015-07-15 11:22 - 2015-07-31 18:23 - 00000000 ____D C:\Program Files (x86)\BCD3AC00-1436475355-81E0-3292-14DAE9C0B048
2015-07-09 23:55 - 2015-07-15 11:22 - 00000000 ____D C:\Users\Administrator\AppData\Roaming\BCD3AC00-1436475355-81E0-3292-14DAE9C0B048
2015-07-09 23:54 - 2015-07-10 01:47 - 00000000 ____D C:\Users\Administrator\AppData\Roaming\Browsers
2015-07-09 23:54 - 2015-07-09 23:54 - 00000000 ____D C:\Users\Administrator\AppData\Roaming\SPI
2015-07-09 23:54 - 2015-07-09 23:54 - 00000000 ____D C:\Users\Administrator\AppData\Roaming\MailProducts
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемами.

[Влад Скуратов]

Приложения tmp.exe больше не появляются

[Vvvyg]

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

[Влад Скуратов]

Спасибо большое за помощь.