Вирус в папке C:\Users\.\AppData\Local\Temp

@Hikole · Регистрация: 26.06.2022

Студворк — интернет-сервис помощи студентам

Вирус в папке C:\Users\.\AppData\Local\Temp постоянно создает файлы раз в 10 минут во время использования браузера, безопасность Windows указывает на вирус Wemaeye.A. Программ не скачивал, пк не использовался месяц и при первом включении браузера сразу начали приходить сообщения от антивируса о нахождении неизвестных файлов формата dll со случайными названиями. Чистил с помощью Dr.web cureit, сообщения перестали поступать на некоторое время, но вскоре все возобновилось. К сожалению, пользоваться специальным обеспечением не умею, но и непроверенных приложений не скачиваю, все с официальных сайтов покупается, прошу помочь с этой проблемой. Прикрепляю логи после сканирования

@severnyj · 26.06.2022, 09:47

Выполните скрипт в AVZ C:\Users\zubko\Downloads\AutoLogger\Auto Logger\AV\av_z.exe (Файл - Выполнить скрипт):

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
begin
 TerminateProcessByName('c:\programdata\windows\chromeup.exe');
 QuarantineFile('C:\ProgramData\windows\profile\dllhostn.exe', '');
 QuarantineFile('C:\Users\zubko\AppData\Local\Temp\B5F68F2C-8F8D19EE-3A934830-9BE38F78\589c37b90d.sys', '');
 QuarantineFile('C:\Users\zubko\AppData\Local\Temp\59f5ba97cf.sys', '');
 QuarantineFile('C:\Users\zubko\AppData\Local\Temp\58a1a72d70.sys', '');
 QuarantineFile('c:\programdata\windows\chromeup.exe', '');
 DeleteFile('c:\programdata\windows\chromeup.exe', '32');
 DeleteFile('C:\ProgramData\Windows\ChromeUp.exe', '64');
 DeleteFile('C:\ProgramData\windows\profile\dllhostn.exe', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 DeleteSchedulerTask('Microsoft\Windows\Active Directory Rights Management Services Client\Active Directory Rights Management Services Client');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\007');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinNAT');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Code
1
2
3
4
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению прикреплять файл quarantine.7z не нужно!

Подготовьте новый CollectionLog.

@Hikole · 26.06.2022, 10:10 **[ТС]**

Извиняюсь, а что такое пароль malware и где его возможно найти

@Hikole · 26.06.2022, 10:19 **[ТС]**

Прикрепляю, файлы отправил

@severnyj · 26.06.2022, 10:36

Что с проблемой?

@Hikole · 26.06.2022, 10:42 **[ТС]**

Пока не появлялось новых файлов, надеюсь и не появятся, если что-то произойдет написать?

@severnyj · 26.06.2022, 10:48

Сообщение от Hikole

если что-то произойдет написать?

Разумеется.

Подготовьте лог SecurityCheck by glax24: https://www.safezone.cc/resour... 5/download

@Hikole · 26.06.2022, 10:56 **[ТС]**

Прикрепил

@severnyj · 26.06.2022, 11:01

Смените все пароли троян мог иметь функционал стилера

Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^

Python 3.8.5 (32-bit) v.3.8.5150.0 Внимание! Скачать обновления

Discord v.0.0.309 Внимание! Скачать обновления
Microsoft Teams v.1.3.00.12058 Внимание! Скачать обновления
Zoom v.5.9.3 (3169) Внимание! Скачать обновления
Telegram Desktop version 3.7.3 v.3.7.3 Внимание! Скачать обновления
Viber v.12.8.1.20 Внимание! Скачать обновления

Java 8 Update 261 (64-bit) v.8.0.2610.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u333-windows-x64.exe)^
Java 8 Update 45 (64-bit) v.8.0.450 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u333-windows-x64.exe)^

Yandex v.22.5.3.705 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Driver Booster 7 v.7.6.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

+

Рекомендации после удаления вредоносного ПО

@Hikole · 26.06.2022, 11:21 **[ТС]**

Спасибо огромное за помощь

@severnyj · 26.06.2022, 11:27

Удачи!

Новые блоги и статьи Все статьи Все блоги /
сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .	Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .
Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .	Расчёт токов в цепи постоянного тока igorrr37 05.01.2026 / * Дана цепь постоянного тока с сопротивлениями и напряжениями. Надо найти токи в ветвях. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа и решает её. Последовательность действий:. . .

@Hikole 0 / 0 / 0 Регистрация: 26.06.2022 Сообщений: 6
	26.06.2022, 10:10 [ТС]
	Извиняюсь, а что такое пароль malware и где его возможно найти 0

@severnyj 6257 / 2778 / 546 Регистрация: 04.04.2012 Сообщений: 10,133
	26.06.2022, 10:36
	Что с проблемой? 0

@Hikole 0 / 0 / 0 Регистрация: 26.06.2022 Сообщений: 6
	26.06.2022, 10:42 [ТС]
	Пока не появлялось новых файлов, надеюсь и не появятся, если что-то произойдет написать? 0

@severnyj 6257 / 2778 / 546 Регистрация: 04.04.2012 Сообщений: 10,133
	26.06.2022, 11:01
	Смените все пароли троян мог иметь функционал стилера Расширенная поддержка закончилась Внимание! Скачать обновления ^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^ Python 3.8.5 (32-bit) v.3.8.5150.0 Внимание! Скачать обновления Discord v.0.0.309 Внимание! Скачать обновления Microsoft Teams v.1.3.00.12058 Внимание! Скачать обновления Zoom v.5.9.3 (3169) Внимание! Скачать обновления Telegram Desktop version 3.7.3 v.3.7.3 Внимание! Скачать обновления Viber v.12.8.1.20 Внимание! Скачать обновления Java 8 Update 261 (64-bit) v.8.0.2610.12 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u333-windows-x64.exe)^ Java 8 Update 45 (64-bit) v.8.0.450 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u333-windows-x64.exe)^ Yandex v.22.5.3.705 Внимание! Скачать обновления ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^ Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Driver Booster 7 v.7.6.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы. + Рекомендации после удаления вредоносного ПО 0

@Hikole 0 / 0 / 0 Регистрация: 26.06.2022 Сообщений: 6
	26.06.2022, 11:21 [ТС]
	Спасибо огромное за помощь 0

@severnyj 6257 / 2778 / 546 Регистрация: 04.04.2012 Сообщений: 10,133
	26.06.2022, 11:27
	Удачи! 0