|
Процесс с расширением .tmp
Здравствуйте, всем хорошего настроения. У меня(несколько дней) возникла непонятная проблема или не проблема, хочу разобраться. При запуске компьютера на короткое время появляется процесс с расширением".tmp". Названия файла всегда разное, то есть первые три буквы всегда одинаковые, а следующие, обычно четыре, меняются. Пример: - evbF9C9.tmp или evbВ61С.tmp или evbН5В3.tmp. Мой антивирус ESET Smart Security определяет этот файл, как "модифицированный Win32/BitCoinMiner.BY потенциально опасная программа" и удаляет, но не всегда почему-то. Файл возникает в папке "Оперативная память = C:\Windows\Temp\evbF9C9.tmp".
Но при следующим запуске процесс опять появляется, компьютер вроде нормально работает, что это такое, как быть? У меня Windows 7 максимальная |
Выложите логи в соответствии с этими инструкциями.
|
Вложений: 1
Здравствуйте, спасибо за внимание.
Процесс "evbF9C9.tmp" появляется через 15-30сек. после загрузки основной конфигурации, каждый раз с разными последними четырьмя знаками, если его тут-же не прервать, то ESET удалят его примерно через 15-30сек., хотя процесс иногда успевает немножко поработав закрыться сам, но ESET всё равно удаляет файл из папки "Оперативная память = C:\Windows\Temp\evbF9C9.tmp" с формулировкой "модифицированный Win32/BitCoinMiner.BY потенциально опасная программа". В этой же папке одновременно появляются ещё 8-10 похожих файлов, которые я удаляю вручную. Логи прилагаю. |
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код:
beginКод:
beginСделайте новый лог автологером. Подготовьте лог AdwCleaner. |
Вложений: 2
shestale,
Большое спасибо, вам. Сделала всё, как вы сказали и процесс тьфу тьфу, пока больше не появляется. Архив "quarantine.zip" отправила, логи прилагаю здесь. Вы, может быть скажете, что-же это было и посоветуете на будущее? И, что делать теперь с этими программами и папкой "AdwCleaner"? |
Цитата:
Цитата:
Цитата:
+ Я смотрю вы сами все удалили в AdwCleaner, в следующий раз не торопитесь, т.к. в логах и легал попадается. + Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код:
beginКод:
beginСделайте новый лог Автологером. |
Вложений: 1
shestale,
Здравствуйте, не было возможности сразу ответить. Процесс больше не появляется, да и компьютер вроде капельку быстрее стал или это мне так кажется. После того как, я первый раз выполнила скрип в АВЗ и потом запустила AdwCleaner, у меня удалился облачный диск Cloud Mail.Ru, и в браузере Firefox перестал наполовину работать S3.Google Переводчик, то-есть страницы переводил, а выделенный текст нет, но как раз вышла новая версия(S3.Google Переводчик), я обновилась и сейчас он работает правильно. А облачный диск Cloud Mail.Ru, я установила заново(но он мне нужен) и он тоже нормально работает, после этого я сделала новые логи( прилагаю). Прошлый файл(quarantine.zip) ещё раз отправила. Цитата:
Так, как компьютер вроде нормально работает, может не нужно следующие скрипты исполнять, я их пока не выполняла, вдруг он ещё что нибудь удалит, что скажете? |
irrochki, нужно всё выполнить.
|
Вложений: 1
Цитата:
Скажете, что было? :oszone: |
Цитата:
п.с. Немного позже выложу дальнейшие рекомендации. |
Продолжим лечение...
Подготовьте лог этой версией HiJackThis + Проверьте пожалуйста, что нибудь открывается при запуске этого ярлыка: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\G-Force\Upgrade to G-Force Gold.url + Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код:
begin |
Вложений: 1
Цитата:
Цитата:
Скрипт выполнила, HiJackThis скачала и запустила, файлы отправила. :) |
Здравствуйте!
Опера у вас какая-то сборка установлена? Она установлена в папку windows. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код:
beginФайл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма. - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите: Код:
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Удалить Google Chrome.lnkСкачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. |
Вложений: 3
Здравствуйте! regist, Опера установлена в папку "C:\Program Files\Opera x64", а в папке "C:\Windows", наверное её какие то части. Версия Оперы - прилагаю скрин. Но я оперой около года вообще не пользуюсь.
Скрипты выполнила, файл отправила, логи прилагаю. А, скрытые ярлыки на раб.столе, так я сама сделала их, прозрачные они лучше смотрятся. Вы мне их опять яркими сделали, но я потом скрою. |
1)
Цитата:
Цитата:
2) Посмотрите такая папка у вас есть? Код:
C:\Windows\Opera\3) Прокси в мозиле сами прописывали? Код:
FF NetworkProxy: "http", "69.197.148.18"Код:
startОтключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. |
| Время: 07:48. |
Время: 07:48.
© OSzone.net 2001-