[iskander-k]

Выложите логи в соответствии с этими инструкциями.

[irrochki]

Здравствуйте, спасибо за внимание.
Процесс "evbF9C9.tmp" появляется через 15-30сек. после загрузки основной конфигурации, каждый раз с разными последними четырьмя знаками, если его тут-же не прервать, то ESET удалят его примерно через 15-30сек., хотя процесс иногда успевает немножко поработав закрыться сам, но ESET всё равно удаляет файл из папки "Оперативная память = C:\Windows\Temp\evbF9C9.tmp" с формулировкой "модифицированный Win32/BitCoinMiner.BY потенциально опасная программа". В этой же папке одновременно появляются ещё 8-10 похожих файлов, которые я удаляю вручную.
Логи прилагаю.

[shestale]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\Tools\App\tclprocess.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "CCTP" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\Tools\App\tclprocess.exe', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Сделайте новый лог автологером.

Подготовьте лог AdwCleaner.

[irrochki]

shestale,
Большое спасибо, вам. Сделала всё, как вы сказали и процесс тьфу тьфу, пока больше не появляется. Архив "quarantine.zip" отправила, логи прилагаю здесь. Вы, может быть скажете, что-же это было и посоветуете на будущее? И, что делать теперь с этими программами и папкой "AdwCleaner"?

[shestale]

Цитата irrochki:

Архив "quarantine.zip" отправила »

Что-то не пришел он похоже...

Цитата irrochki:

посоветуете на будущее? »

Это обязательно, но по-позже, когда лечение закончим.

Цитата irrochki:

И, что делать теперь с этими программами и папкой "AdwCleaner"? »

Это тоже позже, когда лечение закончим...не торопитесь.
+
Я смотрю вы сами все удалили в AdwCleaner, в следующий раз не торопитесь, т.к. в логах и легал попадается.
+
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\Tools\App\tclprocess.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "CCTP" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\Tools\App\tclprocess.exe', '32');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Сделайте новый лог Автологером.

[irrochki]

shestale,
Здравствуйте, не было возможности сразу ответить. Процесс больше не появляется, да и компьютер вроде капельку быстрее стал или это мне так кажется.
После того как, я первый раз выполнила скрип в АВЗ и потом запустила AdwCleaner, у меня удалился облачный диск Cloud Mail.Ru, и в браузере Firefox перестал наполовину работать S3.Google Переводчик, то-есть страницы переводил, а выделенный текст нет, но как раз вышла новая версия(S3.Google Переводчик), я обновилась и сейчас он работает правильно. А облачный диск Cloud Mail.Ru, я установила заново(но он мне нужен) и он тоже нормально работает, после этого я сделала новые логи( прилагаю). Прошлый файл(quarantine.zip) ещё раз отправила.

Цитата shestale:

Я смотрю вы сами все удалили в AdwCleaner, в следующий раз не торопитесь, т.к. в логах и легал попадается. »

Сама я нечего не удаляла, просто когда AdwCleaner спросил у меня что-то, я сказала да, вот он наверное и удалил.
Так, как компьютер вроде нормально работает, может не нужно следующие скрипты исполнять, я их пока не выполняла, вдруг он ещё что нибудь удалит, что скажете?

[shestale]

irrochki, нужно всё выполнить.

[irrochki]

Цитата shestale:

нужно всё выполнить. »

Выполнила скрип, перезагрузился, выполнила следующий, сделала логи(прилагаю), архив "quarantine.zip" отправила с помощью предложенной формы.
Скажете, что было?

[shestale]

Цитата irrochki:

Скажете, что было? »

BitCoinMiner
п.с.
Немного позже выложу дальнейшие рекомендации.