в диспетчере задач появились левые процессы openvg.exe и svchost.exe
Добрый вечер.
Несколько дней назад в диспетчере задач появились левые процессы openvg.exe и svchost.exe.
Лежащие по адресу C:\Users\Admin\AppData\Local\Temp\. приудалении этих файлов после перезагрузки они повляются снова.
Есть подозрение, что они как то связаны с программой tor.exe. Я это понял, пошерстив немного интернет.
Так же появилась папка tor в C:\Program Files (x86)\(я ее удалил) и по адресу C:\Users\Admin\AppData\Roaming\tor\ внутри лежат файлы
cached-certs
cached-consensus
cached-descriptors
cached-descriptors.new
lock
state.
Проверял утилитойAVPTool - ничего не нашла.
Возможно это как то поможет.
Помогите пожалуйста избавиться от этой заразы.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) kosblack, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Admin\appdata\roaming\closer.exe','');
QuarantineFile('C:\Users\Admin\appdata\local\temp\onion.exe','');
QuarantineFile('C:\Users\Admin\appdata\local\temp\svchost.exe','');
TerminateProcessByName('c:\users\admin\appdata\local\temp\openvg.exe');
QuarantineFile('c:\users\admin\appdata\local\temp\openvg.exe','');
DeleteFile('c:\users\admin\appdata\local\temp\openvg.exe','32');
DeleteFile('C:\Users\Admin\appdata\local\temp\svchost.exe','32');
DeleteFile('C:\Users\Admin\appdata\local\temp\onion.exe','32');
DeleteFile('C:\Users\Admin\appdata\roaming\closer.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
через ссылку вверху "Прислать запрошенный карантин"
- - - Добавлено - - -
а как выслать логи hijackthis и МВАМ?
- - - Добавлено - - -
заметил одну особенность. когда завершаешь процесс svchost.exe - вылетает драйвер видеокарты, но сек через 5-7 восстанавливается. где то недели 2 назад у меня так же было с процессом chrome.exe, который так же запускался из папки C:\Users\Admin\AppData\Local\Temp\
Обнаруженные процессы в памяти: 2
C:\Users\Admin\AppData\Local\Temp\svchost.exe (PUP.Optional.Cgminer) -> 5732 -> Действие не было предпринято.
C:\Users\Admin\AppData\Local\Temp\svchost.exe (Trojan.Agent.Gen) -> 5732 -> Действие не было предпринято.
Обнаруженные ключи в реестре: 15
HKCR\AppID\{7169BBB3-3289-4696-B35D-4A88BCF6FB12} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
HKCR\CLSID\{2A5A2A90-3B30-4E6E-A955-2F232C6EF517} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
HKCR\TypeLib\{EFDF368C-8DD9-4E05-87CD-16AA5CB03CB8} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
HKCR\Interface\{0AFD55C8-ADF8-4A33-A6E1-DEDB7A36AEB4} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2A5A2A90-3B30-4E6E-A955-2F232C6EF517} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2A5A2A90-3B30-4E6E-A955-2F232C6EF517} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
HKCR\CLSID\{AF6B0594-6008-4327-93E5-608AD710A6FA} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{AF6B0594-6008-4327-93E5-608AD710A6FA} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
HKCR\CLSID\{BB975E58-E769-4E5A-BA12-B765BC559FF3} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
HKCR\CLSID\{DF84E609-C3A4-49CB-A160-61767DAF8899} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
HKCR\Interface\{DF84E609-C3A4-49CB-A160-61767DAF8899} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
HKCU\Software\InstallCore\1I1T1Q1S (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Google\Chrome\Extensions\fjoijdanhaiflhibkljeklcghcmmfffh (PUP.Optional.WebCake.A) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 1
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0R1R1L0E1Q -> Действие не было предпринято.
Обнаруженные папки: 2
C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\Cache (PUP.Optional.WebCake.A) -> Действие не было предпринято.
Обнаруженные файлы: 73
C:\Users\Admin\AppData\Local\Temp\svchost.exe (PUP.Optional.Cgminer) -> Действие не было предпринято.
C:\Users\Admin\AppData\Local\Temp\svchost.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\Setup.ico (PUP.Optional.WebCake.A) -> Действие не было предпринято.
C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\Setup.dat (PUP.Optional.WebCake.A) -> Действие не было предпринято.
C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\Setup.exe (PUP.Optional.WebCake.A) -> Действие не было предпринято.
C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\_Setup.dll (PUP.Optional.WebCake.A) -> Действие не было предпринято.
C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\_Setupx.dll (PUP.Optional.WebCake.A) -> Действие не было предпринято.
C:\Users\Admin\AppData\Local\Temp\phatk121016.cl (Trojan.BitcoinMiner) -> Действие не было предпринято.
C:\Users\Admin\AppData\Local\Temp\scrypt130511.cl (Trojan.BitcoinMiner) -> Действие не было предпринято.
C:\Users\Admin\AppData\Local\Temp\diablo130302.cl (Trojan.BitcoinMiner) -> Действие не было предпринято.
C:\Users\Admin\AppData\Local\Temp\poclbm130302.cl (Trojan.BitcoinMiner) -> Действие не было предпринято.
C:\Users\Admin\AppData\Local\Temp\diakgcn121016.cl (Trojan.BitcoinMiner) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
svchost пропал, но процессы openvg.exe и onion.exe все еще есть.
и Malwarebytes каждый раз ругается, что пресекает попытку процесса onion.exe выйти в интернет на определенный IP.
Кстати, почему то после перезагрузки windows запустился процесс восстановления системы и минут 10 что то восстанавливал. но в итоге все запустилось нормально.
попробую руками удалить процессы в диспетчере и потом удалить их руками из папки темп. проверю после перезагрузки и отпишусь.
- - - Добавлено - - -
не помогло. и svchost снова появился.
только я удалил их в диспетчере и из папки темп, как они через 15 сек снова появились - все 3 файла, и соответственно все 3 процесса в диспетчере
- - - Добавлено - - -
еще 1 наблюдение. эти процессы действительно связаны с папкой C:\Users\Admin\AppData\Roaming\tor\.
файлы из темпа можно удалить только если удалить папку тор. но как только запускаю браузер мозила - файлы и папка появляются снова.
HKCU\SOFTWARE\HiSoft\CrackDownloader (CrackTool.Agent) -> Действие не было предпринято.
C:\Users\Admin\Downloads\Unlocker1.9.2.exe (PUP.Optional.Babylon.A) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
удалил. проблема осталась.
подключаю лог мбам, в кором он блокирует выход процесса onion.exe в интернет. может поможет.protection-log-2014-01-19.txt
- - - Добавлено - - -
и снова есть наблюдение. процессы openvg.exe и onion.exe появляются снова в диспетчере (если сначала их завершить) при вызове контекстного меню, т.е. при нажатии правой кнопкой на любом из файлов в папке темп или папке тор
проблема решена.
спасибо огромное. файлы пропали. процессы тоже. папку тор удалил вручную-больше не появилась после перезагрузки.
посмотрю еще завтра, если что - отпишусь.
а что это было и как защититься в будущем от такой гадости?
Уважаемый(ая) kosblack, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: