В системе поселились непонятные процессы, CureIT! определил их как биткоин майнеры, но проблему не исправил - после перезагрузки они появились вновь. Посмотрите, пожалуйста.
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
В системе поселились непонятные процессы, CureIT! определил их как биткоин майнеры, но проблему не исправил - после перезагрузки они появились вновь. Посмотрите, пожалуйста.
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
Уважаемый(ая) whyno, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте !!!
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.certified-toolbar.com?si=41460&st=home&tid=2938
После перезагрузки выполните скрипт:Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('C:\Users\Denis\AppData\Roaming\rarlab\vwinrar.exe'); TerminateProcessByName('C:\Users\Denis\AppData\Roaming\87923NWOMMOviperbot.exe'); TerminateProcessByName('c:\users\denis\appdata\roaming\80091nwommoviperbot.exe'); TerminateProcessByName('C:\Users\Denis\AppData\Roaming\29645NWOMMOviperbot.exe'); TerminateProcessByName('C:\Users\Denis\AppData\Roaming\27317NWOMMOviperbot.exe'); TerminateProcessByName('C:\Users\Denis\AppData\Roaming\23896NWOMMOviperbot.exe'); QuarantineFile('C:\Program Files\Java\javac.vbs',''); QuarantineFile('C:\Users\Denis\AppData\Roaming\rarlab\vwinrar.exe',''); QuarantineFile('C:\Users\Denis\AppData\Roaming\87923NWOMMOviperbot.exe',''); QuarantineFile('c:\users\denis\appdata\roaming\80091nwommoviperbot.exe',''); QuarantineFile('C:\Users\Denis\AppData\Roaming\29645NWOMMOviperbot.exe',''); QuarantineFile('C:\Users\Denis\AppData\Roaming\27317NWOMMOviperbot.exe',''); QuarantineFile('C:\Users\Denis\AppData\Roaming\23896NWOMMOviperbot.exe',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Готово.
Выполните скрипт в Безопасном режиме
После перезагрузки выполните скрипт:Код:begin TerminateProcessByName('C:\Users\Denis\AppData\Roaming\rarlab\vwinrar.exe'); QuarantineFile('C:\Users\Denis\AppData\Roaming\87923NWOMMOviperbot.exe',''); QuarantineFile('C:\Users\Denis\AppData\Roaming\80091NWOMMOviperbot.exe',''); QuarantineFile('C:\Users\Denis\AppData\Roaming\29645NWOMMOviperbot.exe',''); QuarantineFile('C:\Users\Denis\AppData\Roaming\27317NWOMMOviperbot.exe',''); QuarantineFile('C:\Users\Denis\AppData\Roaming\23896NWOMMOviperbot.exe',''); QuarantineFile('C:\Users\Denis\AppData\Roaming\rarlab\vwinrar.exe',''); DeleteFile('C:\Users\Denis\AppData\Roaming\rarlab\vwinrar.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','winrar'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(3); RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
+ Сделайте полный образ автозапуска uVS.
Готово. Нормально в безопасном режиме загрузиться не получилось, не было времени нажать ф9 - сразу шла загрузка системы. Загрузился через настройку в msconfig.
Выполните скрипт в uVS Как выполнить скрипт в uVS
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.Код:;uVS v3.77.1 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 delref %SystemDrive%\USERS\DENIS\APPDATA\ROAMING\23896NWOMMOVIPERBOT.EXE delref %SystemDrive%\USERS\DENIS\APPDATA\ROAMING\27317NWOMMOVIPERBOT.EXE delref %SystemDrive%\USERS\DENIS\APPDATA\ROAMING\29645NWOMMOVIPERBOT.EXE delref %SystemDrive%\USERS\DENIS\APPDATA\ROAMING\80091NWOMMOVIPERBOT.EXE delref %SystemDrive%\USERS\DENIS\APPDATA\ROAMING\87923NWOMMOVIPERBOT.EXE delref /C regt 14 restart
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Повторно Сделайте полный образ автозапуска uVS
Готово.
ЦП грузиться перестал, видимых проблем нет.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\users\\denis\\appdata\\roaming\\rarlab\\vwinra r.exe - Trojan.Win32.Agent.xrun ( BitDefender: Gen:Variant.Kazy.172522 )
Уважаемый(ая) whyno, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.