Добрый день, компьютер начал жутко тормозить после появления процесса onion.exe
Питался удалить вручную но он появляется снова. Операционка Win7 64-разрядная.
Логи прилагаю. Заранее благодарю за помощь.
Добрый день, компьютер начал жутко тормозить после появления процесса onion.exe
Питался удалить вручную но он появляется снова. Операционка Win7 64-разрядная.
Логи прилагаю. Заранее благодарю за помощь.
Уважаемый(ая) Kupavon, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Помогите!
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Identities\googleupd.exe',''); QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Identities\AdobeFlashPlayerUpdater.exe',''); QuarantineFile('C:\PROGRA~2\QtOpenGL\gal_st2.dll',''); TerminateProcessByName('c:\users\73b5~1\appdata\local\temp\svchost.exe'); QuarantineFile('c:\users\73b5~1\appdata\local\temp\svchost.exe',''); DeleteFile('c:\users\73b5~1\appdata\local\temp\svchost.exe','32'); DeleteFile('C:\PROGRA~2\QtOpenGL\gal_st2.dll','32'); DeleteFile('C:\Users\Пользователь\AppData\Roaming\Identities\AdobeFlashPlayerUpdater.exe','32'); DeleteFile('C:\Windows\system32\Tasks\AdobeFlashPlayer-S-1-2-1298-9822','64'); DeleteFile('C:\Users\Пользователь\AppData\Roaming\Identities\googleupd.exe','32'); QuarantineFileF('C:\PROGRA~2\QtOpenGL', '*', true,'', 0, 0, '', '', ''); DeleteFileMask('C:\PROGRA~2\QtOpenGL','*',true); DeleteDirectory('C:\PROGRA~2\QtOpenGL'); ExecuteSysClean; ExecuteWizard('SCU',2,2,true); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Обновите базы AVZ ("Файл" -> "Обновление баз"), выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
WBR,
Vadim
Карантин загрузил, получен ли он?
Получен.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin DeleteFile('C:\Windows\system32\Tasks\GoogleUpdateTaskUserS-1-5-21-1970835742GUI','64'); RebootWindows(true); end.
Настраивайте политики в Symantec Endpoint Protection, даже при том, что антивирус не определил ничего, из присутствовавшего, можно было просто запретить запуск неизвестных приложений, в корпоративных антивирусах это, как правило есть.
WBR,
Vadim
Спасибо огромное за помощь! Мир не без добрых людей!
Выполните рекомендации после лечения.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\progra~2\qtopengl\gal_st2.bak - Trojan.Win32.BitMiner.fz ( DrWEB: Trojan.Starter.2926, BitDefender: Trojan.GenericKD.1510349, AVAST4: Win32:BitCoinMiner-FI [Trj] )
- c:\progra~2\qtopengl\gal_st2.dll - Trojan.Win32.BitMiner.fz ( DrWEB: Trojan.Starter.2926, BitDefender: Trojan.GenericKD.1510349, AVAST4: Win32:BitCoinMiner-FI [Trj] )
- c:\users\пользователь\appdata\roaming\identities\a dobeflashplayerupdater.exe - Trojan.MSIL.Agent.dayu ( DrWEB: Trojan.DownLoad.64679, BitDefender: Gen:Variant.Kazy.270235, AVAST4: MSIL:Dropper-AAG [Drp] )
- c:\users\73b5~1\appdata\local\temp\svchost.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.lkl ( DrWEB: Tool.BtcMine.150 )
Уважаемый(ая) Kupavon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.