Здравствуйте, всем хорошего настроения. У меня(несколько дней) возникла непонятная проблема или не проблема, хочу разобраться. При запуске компьютера на короткое время появляется процесс с расширением".tmp". Названия файла всегда разное, то есть первые три буквы всегда одинаковые, а следующие, обычно четыре, меняются. Пример: - evbF9C9.tmp или evbВ61С.tmp или evbН5В3.tmp. Мой антивирус ESET Smart Security определяет этот файл, как "модифицированный Win32/BitCoinMiner.BY потенциально опасная программа" и удаляет, но не всегда почему-то. Файл возникает в папке "Оперативная память = C:\Windows\Temp\evbF9C9.tmp".

Но при следующим запуске процесс опять появляется, компьютер вроде нормально работает, что это такое, как быть?

У меня Windows 7 максимальная

Выложите логи в соответствии с этими (http://forum.oszone.net/post-717373.html) инструкциями.

Здравствуйте, спасибо за внимание.
Процесс "evbF9C9.tmp" появляется через 15-30сек. после загрузки основной конфигурации, каждый раз с разными последними четырьмя знаками, если его тут-же не прервать, то ESET удалят его примерно через 15-30сек., хотя процесс иногда успевает немножко поработав закрыться сам, но ESET всё равно удаляет файл из папки "Оперативная память = C:\Windows\Temp\evbF9C9.tmp" с формулировкой "модифицированный Win32/BitCoinMiner.BY потенциально опасная программа". В этой же папке одновременно появляются ещё 8-10 похожих файлов, которые я удаляю вручную.
Логи прилагаю.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\ProgramData\Tools\App\tclprocess.exe', '');
ExecuteFile('schtasks.exe', '/delete /TN "CCTP" /F', 0, 15000, true);
DeleteFile('C:\ProgramData\Tools\App\tclprocess.exe', '32');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.



Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Сделайте новый лог автологером.

Подготовьте лог AdwCleaner (http://safezone.cc/threads/kratkaja-instrukcija-po-rabote-s-utilitoj-adwcleaner.22250/).

shestale,
Большое спасибо, вам. Сделала всё, как вы сказали и процесс тьфу тьфу, пока больше не появляется. Архив "quarantine.zip" отправила, логи прилагаю здесь. Вы, может быть скажете, что-же это было и посоветуете на будущее? И, что делать теперь с этими программами и папкой "AdwCleaner"?

Архив "quarantine.zip" отправила »
Что-то не пришел он похоже...
посоветуете на будущее? »
Это обязательно, но по-позже, когда лечение закончим.
И, что делать теперь с этими программами и папкой "AdwCleaner"? »
Это тоже позже, когда лечение закончим...не торопитесь.
+
Я смотрю вы сами все удалили в AdwCleaner, в следующий раз не торопитесь, т.к. в логах и легал попадается.
+
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\ProgramData\Tools\App\tclprocess.exe', '');
ExecuteFile('schtasks.exe', '/delete /TN "CCTP" /F', 0, 15000, true);
DeleteFile('C:\ProgramData\Tools\App\tclprocess.exe', '32');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.



Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Сделайте новый лог Автологером.

shestale,
Здравствуйте, не было возможности сразу ответить. Процесс больше не появляется, да и компьютер вроде капельку быстрее стал или это мне так кажется.
После того как, я первый раз выполнила скрип в АВЗ и потом запустила AdwCleaner, у меня удалился облачный диск Cloud Mail.Ru, и в браузере Firefox перестал наполовину работать S3.Google Переводчик, то-есть страницы переводил, а выделенный текст нет, но как раз вышла новая версия(S3.Google Переводчик), я обновилась и сейчас он работает правильно. А облачный диск Cloud Mail.Ru, я установила заново(но он мне нужен) и он тоже нормально работает, после этого я сделала новые логи( прилагаю). Прошлый файл(quarantine.zip) ещё раз отправила.Я смотрю вы сами все удалили в AdwCleaner, в следующий раз не торопитесь, т.к. в логах и легал попадается. » Сама я нечего не удаляла, просто когда AdwCleaner спросил у меня что-то, я сказала да, вот он наверное и удалил.
Так, как компьютер вроде нормально работает, может не нужно следующие скрипты исполнять, я их пока не выполняла, вдруг он ещё что нибудь удалит, что скажете?

irrochki, нужно всё выполнить.

нужно всё выполнить. »

Выполнила скрип, перезагрузился, выполнила следующий, сделала логи(прилагаю), архив "quarantine.zip" отправила с помощью предложенной формы. :tongue:
Скажете, что было? :oszone:

Скажете, что было? »
BitCoinMiner (https://www.virustotal.com/ru/file/bb298ff0e01605c4d5ab9ec61cc891018939d067c48f23b451fbe5b85bdfd696/analysis/)
п.с.
Немного позже выложу дальнейшие рекомендации.

Продолжим лечение...
Подготовьте лог этой версией HiJackThis (http://dragokas.com/tools/HiJackThis_test.zip)
+
Проверьте пожалуйста, что нибудь открывается при запуске этого ярлыка:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\G-Force\Upgrade to G-Force Gold.url
+
Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):


begin
ClearQuarantineEx(true);
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\G-Force\Upgrade to G-Force Gold.url', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.


Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Продолжим лечение... »
Доброго дня. Ярлык Upgrade to G-ForceGold.url » нечего не открывает, я его удалила. Вы знаете, что G-ForceGold визуализатор музыки, а установила ещё в 2013году, бесплатная версия, с официального сайта, очень красивые динамично меняющиеся образы, разные под разную музыку. Мне нравится завораживает. Сейчас этой G-Force 511 версии нет на их сайте, могу скинуть установочный файл он 13МБ. Только он для Windows Media и ещё в Winamp работает.
Скрипт выполнила, HiJackThis скачала и запустила, файлы отправила. :)

Здравствуйте!

Опера у вас какая-то сборка установлена? Она установлена в папку windows.


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/threads/18577/).

Выполните скрипт в АВЗ (http://safezone.cc/threads/10/) (Файл - Выполнить скрипт):


begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Windows\Opera\uninstall.exe', '');
QuarantineFile('C:\Program Files (x86)\Opera\Uninstall\uninstall.xml','');
ExecuteFile('schtasks.exe', '/delete /TN "CCTP" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{DED37D85-A529-403D-9D2B-B40B8DF48764}" /F', 0, 15000, true);
ExecuteRepair(3);
ExecuteRepair(4);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(false);
end.


после выполнения скрипта компьютер перезагрузится.


Файл quarantine.zip из папки AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

- Исправьте с помощью утилиты ClearLNK (http://safezone.cc/resources/102/) следующие ярлыки, отчёт о работе прикрепите:
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Удалить Google Chrome.lnk
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Удалить Google Chrome.lnk
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ChromePlus\ChromePlus 1.5.2.0.lnk
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maxthon\Maxthon 3.lnk
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Opera\Opera.lnk
C:\Users\Гость\Desktop\Ярлыки\Google Chrome.lnk
C:\Users\Гость\Desktop\Ярлыки\Maxthon 3.lnk
C:\Users\Гость\Desktop\Ярлыки\Opera.lnk
C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Maxthon3.lnk
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ChromePlus\ChromePlus 1.5.2.0.lnk
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maxthon\Maxthon 3.lnk
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Opera\Opera.lnk
C:\Users\Default\Desktop\Ярлыки\Google Chrome.lnk
C:\Users\Default\Desktop\Ярлыки\Opera.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\KMPlayer.lnk
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Download Manager\Grabber Help.lnk
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Download Manager\IDM Help.lnk
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Download Manager\Internet Download Manager.lnk
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Download Manager\license.lnk
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Download Manager\TUTORIALS.lnk
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Download Manager\Uninstall IDM.lnk
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maxthon\Uninstall.lnk
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\The KMPlayer\KMPlayer Setup Wizard.lnk
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\The KMPlayer\KMPlayer.lnk
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\The KMPlayer\Uninstall KMPlayer.lnk
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\µTorrent 2.2\uTorrent 2.2.23774 Stable.lnk
C:\Users\Гость\Desktop\Artificial Mermaid.lnk
C:\Users\Гость\Desktop\M&B Battle Sizer.lnk
C:\Users\Гость\Desktop\Ярлыки\AIDA64 Extreme Edition.lnk
C:\Users\Гость\Desktop\Ярлыки\CustoPack Tools.lnk
C:\Users\Гость\Desktop\Ярлыки\Download Master.lnk
C:\Users\Гость\Desktop\Ярлыки\GIGATweaker 3.lnk
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Download Manager\Grabber Help.lnk
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Download Manager\IDM Help.lnk
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Download Manager\Internet Download Manager.lnk
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Download Manager\license.lnk
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Download Manager\TUTORIALS.lnk
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Download Manager\Uninstall IDM.lnk
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maxthon\Uninstall.lnk
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\The KMPlayer\KMPlayer Setup Wizard.lnk
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\The KMPlayer\KMPlayer.lnk
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\The KMPlayer\Uninstall KMPlayer.lnk
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\µTorrent 2.2\uTorrent 2.2.23774 Stable.lnk
C:\Users\Default\Desktop\Ярлыки\AIDA64 Extreme Edition.lnk
C:\Users\Default\Desktop\Ярлыки\CustoPack Tools.lnk
C:\Users\Default\Desktop\Ярлыки\Download Master.lnk
C:\Users\Default\Desktop\Ярлыки\GIGATweaker 3.lnk
C:\Users\PC\Desktop\Alpari.lnk
C:\Users\PC\Desktop\Context Menu.lnk
C:\Users\PC\Desktop\Downloader.lnk
C:\Users\PC\Desktop\explore.lnk
C:\Users\PC\Desktop\google.lnk
C:\Users\PC\Desktop\Insta.lnk
C:\Users\PC\Desktop\Балаболка.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\Public\Desktop\Opera.lnk



Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17759/').

Здравствуйте! regist, Опера установлена в папку "C:\Program Files\Opera x64", а в папке "C:\Windows", наверное её какие то части. Версия Оперы - прилагаю скрин. Но я оперой около года вообще не пользуюсь.
Скрипты выполнила, файл отправила, логи прилагаю.
А, скрытые ярлыки на раб.столе, так я сама сделала их, прозрачные они лучше смотрятся. Вы мне их опять яркими сделали, но я потом скрою.

1) а в папке "C:\Windows", наверное её какие то части. »
В папке windows никаких частей быть не должно, если только у вас не какая-то кривая сборка. Версия Оперы »
Версия не имеет значение, откуда скачивали её для установки?

2) Посмотрите такая папка у вас есть?
C:\Windows\Opera\
Если да, то что в ней.

3) Прокси в мозиле сами прописывали?
FF NetworkProxy: "http", "69.197.148.18"
FF NetworkProxy: "http_port", 3127

4) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
start
CreateRestorePoint:
Task: {27F1DE6B-83D2-4CB4-BEA3-87C15A279BF4} - \GoogleUpdateTaskUserS-1-5-21-149731662-2954720918-2808578096-500UA -> No File <==== ATTENTION
Task: {C334D514-1B0E-4825-A445-C6B88ACEA5DF} - \GoogleUpdateTaskUserS-1-5-21-149731662-2954720918-2808578096-500Core -> No File <==== ATTENTION
FF Plugin-x32: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect32.dll [No File]
FF Plugin HKU\S-1-5-21-149731662-2954720918-2808578096-1000: @tools.google.com/Google Update;version=8 -> C:\Users\Administrator\AppData\Local\Google\Update\1.2.183.39\npGoogleOneClick8.dll [No File]
FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => not found
FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => not found
Shortcut: C:\Users\PC\AppData\Roaming\Microsoft\Office\Последние файлы\Girls Generation Mr Taxi 소녀시대 미스터 택시.mp4.txt.LNK -> C:\Users\PC\Documents\Girls Generation Mr Taxi 소녀시대 미스터 택시.mp4.txt (No File)
Shortcut: C:\Users\PC\AppData\Roaming\Microsoft\Office\Последние файлы\HijackThis.docx.LNK -> C:\Users\PC\Desktop\on occasion\HijackThis.docx ()
Shortcut: C:\Users\PC\AppData\Roaming\Microsoft\Office\Последние файлы\ind_cond_DK.doc.LNK -> C:\Users\PC\Downloads\ind_cond_DK.doc (No File)
Shortcut: C:\Users\PC\AppData\Roaming\Microsoft\Office\Последние файлы\note_formSCB_012015.doc.LNK -> C:\Users\PC\Downloads\note_formSCB_012015.doc (No File)
Shortcut: C:\Users\PC\AppData\Roaming\Microsoft\Office\Последние файлы\pamyatka_zaemshika_a.doc.LNK -> C:\Users\PC\Downloads\pamyatka_zaemshika_a.doc (No File)
Shortcut: C:\Users\PC\AppData\Roaming\Microsoft\Office\Последние файлы\Инструкция.rtf.LNK -> C:\uTorrent\Adobe After Effects CC 2015.2\Инструкция.rtf (No File)

EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').