[решено] Процесс с расширением .tmp

Sandor · Отправлено: **11:46, 22-12-2016** | #2

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\documents and settings\администратор\local settings\application data\fupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\program files\microsoft\desktoplayer.exe', '');
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\fupdate\fupdate.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "C:\WINDOWS\Tasks\fupdate.job" /F', 0, 15000, true);
 DeleteFile('c:\program files\microsoft\desktoplayer.exe', '32');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\fupdate\fupdate.exe', '32');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\Quick Launch\Вoйти в Интeрнет.lnk');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk');
 DeleteFile('C:\Documents and Settings\Администратор\Рабочий стол\Вoйти в Интeрнет.lnk');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\Quick Launch\Поиcк в Интeрнете.lnk');
 DeleteFile('C:\Documents and Settings\Администратор\Рабочий стол\Поиcк в Интeрнете.lnk');
 DeleteFileMask('c:\documents and settings\администратор\local settings\application data\fupdate', '*', true);
 DeleteDirectory('c:\documents and settings\администратор\local settings\application data\fupdate');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','djxvbdnshm');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

danilbazhan121 · Отправлено: **15:42, 22-12-2016** | #3

Как и просили, извините файлу FRST.txt не хватает места, скачайте пожалуйста отсюда https://yadi.sk/i/d7fwQBZ834RUCS

Sandor · Отправлено: **15:51, 22-12-2016** | #4

Карантин отправьте, пожалуйста, так, как указано выше.

Добавьте еще файл FRST.txt

Sandor · Отправлено: **21:54, 22-12-2016** | #5

Можно было упаковать

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

start
CreateRestorePoint:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
SearchScopes: HKU\S-1-5-21-790525478-1957994488-1801674531-500 -> DefaultScope {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-790525478-1957994488-1801674531-500 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=802851"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BB9ED3172-F6E4-48E8-BE9F-8DF5B3495C8E%7D&gp=821273
CHR DefaultSearchKeyword: Default -> mail.ru_
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR Extension: (Яндекс) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\cbagalopghhleggojlledjihpdbogmcn [2016-12-22]
CHR Extension: (Яндекс) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\iclpkpffoicdhjnjipiioglnhimkfjdm [2016-12-22]
CHR Extension: (Яндекс) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ijbepmfgphlcbokeedcnmbedhckonlin [2016-12-22]
CHR Extension: (Стартовая — Яндекс) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\kganindejfnbhepnceeaonneibkgfiig [2016-12-22]
CHR Extension: (Стартовая — Яндекс) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lpedlkoodagolnaladgccadeahpjgblg [2016-12-22]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\odijcgafkhpobjlnfdgiacpdenpmbgme [2016-12-22]
CHR Extension: (Mail.Ru) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\phkdcinmmljblpnkohlipaiodlonpinf [2016-12-22]
CHR Extension: (Яндекс) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ppfbfddocfkbegapcgkipgjnggpaecfe [2016-12-22]
2016-12-21 12:29 - 2016-12-21 19:15 - 00000000 ____D C:\Documents and Settings\Администратор\Local Settings\Application Data\fupdate
2016-12-21 12:29 - 2016-12-21 12:34 - 00002021 _____ C:\Documents and Settings\Администратор\Рабочий стол\Вoйти в Интeрнет.lnk
2016-12-21 12:29 - 2016-12-21 12:29 - 00000000 ____D C:\Documents and Settings\Администратор\Local Settings\Application Data\Вoйти в Интeрнет
2016-12-21 12:27 - 2016-12-22 14:22 - 00000378 _____ C:\WINDOWS\Tasks\syslog.job
2016-12-21 12:27 - 2016-12-22 14:02 - 00000000 ____D C:\Documents and Settings\Администратор\Local Settings\Application Data\syslog
2016-12-21 12:26 - 2016-12-21 12:26 - 00001629 _____ C:\Documents and Settings\Администратор\Рабочий стол\Поиcк в Интeрнете.lnk
2016-12-21 12:26 - 2016-12-21 12:26 - 00000000 ____D C:\Documents and Settings\Администратор\Local Settings\Application Data\Поиcк в Интeрнете
2016-12-21 12:24 - 2016-12-21 12:25 - 00000234 _____ C:\Documents and Settings\Администратор\Рабочий стол\Искать в Интернете.url
Task: C:\WINDOWS\Tasks\syslog.job => C:\Documents and Settings\Администратор\Local Settings\Application Data\syslog\syslog.exe <==== ATTENTION
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

danilbazhan121 · Отправлено: **18:25, 23-12-2016** | #6

Спасибо вам большое , извините что протупил, происходят очень маленькие подлагивания , но зато хоть не зависает, спасибо)

Sandor · Отправлено: **09:09, 26-12-2016** | #7

В завершение:
1.

Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.