Показано с 1 по 17 из 17.

openvg.exe, onion.exe, diablo130302.cl - актуальный вопрос этой недели! [Trojan.Win32.BitMiner.fz, not-a-virus:NetTool.Win32.Tor.d ] (заявка № 153582)

  1. #1
    Junior Member Репутация
    Регистрация
    19.01.2014
    Сообщений
    13
    Вес репутации
    11

    openvg.exe, onion.exe, diablo130302.cl - актуальный вопрос этой недели! [Trojan.Win32.BitMiner.fz, not-a-virus:NetTool.Win32.Tor.d ]

    Добрый вечер!
    Несколько дней назад антивирус начал активно ругаться на openvg.exe в оперативной памяти, причем со старта системы. Далее посмотрев журнал NOD32 Antivirus 4 - увидел что файл openvg.exe создается в папке C:\Users\Electro Minimal\AppData\Local\Temp разными приложениями что я запускаю, т.е. любое действие приводит к созданию этого файла, на что ругается антивирус. На форуме нашел несколько таких же проблем. В папке C:\Users\Electro Minimal\AppData\Local\Temp лежат файлы такие как: openvg.exe, onion.exe, diablo130302.cl, svhost.exe и т.д. И они так же как и openvg.exe "воскресают" после перезагрузки системы.
    Есть подозрение, что эти файлы как то связаны с программой TOR которую я снес примерно месяц назад. Теперь же появилась папка tor в C:\Program Files (x86)\ которую я удалил и по адресу C:\Users\Electro Minimal\AppData\Roaming\tor\ внутри лежат файлы
    cached-certs
    cached-consensus
    cached-descriptors
    cached-descriptors.new
    lock
    state.
    Я их тоже удалил, но они появились после перезагрузки.
    Помогите, пожалуйста, вылечить вирус. Как написал в названии темы, вопрос сейчас на самом деле актуален, но гуглив целый день решения так и не нашел..
    Вложения Вложения
    Последний раз редактировалось ElectroMinimal; 20.01.2014 в 01:31. Причина: Вложил логи.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) ElectroMinimal, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. #4
    Junior Member Репутация
    Регистрация
    19.01.2014
    Сообщений
    13
    Вес репутации
    11
    Еще пробил вирусдетектором, вот результат: http://virusinfo.info/virusdetector/...5609A884CB617D

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,240
    Вес репутации
    1022
    Вас просили сделать логи. Где ваши логи?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  7. #6
    Junior Member Репутация
    Регистрация
    19.01.2014
    Сообщений
    13
    Вес репутации
    11
    Приложил в шапке.

  8. #7
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    8,082
    Вес репутации
    443
    Здравствуйте !!!

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      TerminateProcessByName('c:\users\electr~1\appdata\local\temp\svchost.exe');
      TerminateProcessByName('c:\users\electr~1\appdata\local\temp\onion.exe');
      QuarantineFile('C:\PROGRA~2\QtOpenGL\gal_st2.dll','');
      QuarantineFile('C:\Users\Electro Minimal\appdata\local\temp\svchost.exe','');
      QuarantineFile('C:\Users\Electro Minimal\appdata\local\temp\onion.exe','');
      QuarantineFile('c:\users\electr~1\appdata\local\temp\svchost.exe','');
      QuarantineFile('c:\users\electr~1\appdata\local\temp\onion.exe','');
      DeleteFile('C:\PROGRA~2\QtOpenGL\gal_st2.dll','32');
      DeleteFile('c:\users\electr~1\appdata\local\temp\onion.exe','32');
      DeleteFile('C:\Users\ELECTR~1\AppData\Local\Temp\svchost.exe','32');
      DeleteFile('C:\Users\Electro Minimal\appdata\local\temp\onion.exe','32');
      DeleteFile('C:\Users\Electro Minimal\appdata\local\temp\svchost.exe','32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(3);
     ExecuteRepair(4);
    RebootWindows(true);
    end.
    После перезагрузки выполните скрипт:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин

    Запустите повторно HijackThis, Пофиксите в HijackThis, при наличии данных параметров:
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://installsoft.ru
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
    F3 - REG:win.ini: load=C:\Users\Electro Minimal\AppData\Roaming\Red Giant Software\Red Giant Software.exe
    F3 - REG:win.ini: run=C:\Users\Electro Minimal\AppData\Roaming\Red Giant Software\Red Giant Software.exe
    O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
    O4 - HKCU\..\Policies\Explorer\Run: [Red Giant Software] C:\Users\Electro Minimal\AppData\Roaming\Red Giant Software\Red Giant Software.exe
    O20 - AppInit_DLLs: C:\PROGRA~2\QtOpenGL\gal_st2.dll
    Перезагрузите компьютер.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

    + Сделайте полный образ автозапуска uVS

  9. mrak74 получил(а) благодарность за это сообщение от


  10. #8
    Junior Member Репутация
    Регистрация
    19.01.2014
    Сообщений
    13
    Вес репутации
    11
    Сделал все как Вы написали, в HijackThis совпало только 4 строки которые я отметил и пофиксил, правильно же? После перезагрузки антивирус уже не находит openvg в оперативной памяти, папка TEMP чиста. Спасибо большое
    А вот с созданием образа автозапуска, такое чувство будто я сделал что-то не так, файл весит 11мб и в нем иероглифы. Приложил к сообщению вместе с логами.
    Вложения Вложения

  11. #9
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    8,082
    Вес репутации
    443
    Выполните скрипт в AVZ:
    Код:
    begin
      ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
      ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\PROGRAM FILES (X86)\ALTIUM\AD\DXP.EXE','');
     QuarantineFile('D:\SOFT\КУРСАЧ КИСЕЛЬ\INFA))\KURSACH KISEL\SPLAN7.0.0.4.RUS.EXE','');
     QuarantineFileF('C:\Users\Electro Minimal\AppData\Roaming\Red Giant Software', '*.exe,*.dll', true,'',0 ,0);
    BC_ImportAll;
    BC_Activate;
     ExecuteWizard('TSW',2,2,true);
     ExecuteWizard('SCU',2,2,true);
    RebootWindows(true);
    end.
    После перезагрузки выполните скрипт:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

  12. mrak74 получил(а) благодарность за это сообщение от


  13. #10
    Junior Member Репутация
    Регистрация
    19.01.2014
    Сообщений
    13
    Вес репутации
    11
    Карантин выслал, вот логи:

    - - - Добавлено - - -

    SPLAN7.0.0.4.RUS.EXE - удалил час назад..
    Вложения Вложения

  14. #11
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    8,082
    Вес репутации
    443
    Папку
    C:\Users\Electro Minimal\AppData\Roaming\Red Giant Software
    удалите вручную.

    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

    Проблема решена ?

  15. mrak74 получил(а) благодарность за это сообщение от


  16. #12
    Junior Member Репутация
    Регистрация
    19.01.2014
    Сообщений
    13
    Вес репутации
    11
    Этой папки нет.

    - - - Добавлено - - -

    И я уже проводил вчера данные действия из Avz_log (обновления виндовс и ява) и полное обновление. После перезагрузки ничего не работало, exe'шники не запускались вообще, окно антивируса было пустое. Сделал восстановление и нормально. Сейчас же от вирусов ни духу, большое спасибо за помощь! Проблема решена
    В последнее обновление операционки входят все те что рекомендованы в Avz_log?

  17. #13
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    8,082
    Вес репутации
    443
    Скрытые, системные смотрели ?

  18. mrak74 получил(а) благодарность за это сообщение от


  19. #14
    Junior Member Репутация
    Регистрация
    19.01.2014
    Сообщений
    13
    Вес репутации
    11
    нету папки Red Giant Software

  20. #15
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    8,082
    Вес репутации
    443
    Цитата Сообщение от ElectroMinimal Посмотреть сообщение
    В последнее обновление операционки входят все те что рекомендованы в Avz_log?
    Все основные критические. Тему закрываем ?

  21. mrak74 получил(а) благодарность за это сообщение от


  22. #16
    Junior Member Репутация
    Регистрация
    19.01.2014
    Сообщений
    13
    Вес репутации
    11
    Да! Огромное спасибо за помощь!

  23. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,536
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\progra~2\qtopengl\gal_st2.dll - Trojan.Win32.BitMiner.fz
      2. c:\users\electro minimal\appdata\local\temp\onion.exe - not-a-virus:NetTool.Win32.Tor.d ( DrWEB: Tool.Tor.1 )
      3. c:\users\electro minimal\appdata\local\temp\svchost.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.lkl ( DrWEB: Tool.BtcMine.150 )
      4. c:\users\electr~1\appdata\local\temp\onion.exe - not-a-virus:NetTool.Win32.Tor.d ( DrWEB: Tool.Tor.1 )
      5. c:\users\electr~1\appdata\local\temp\svchost.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.lkl ( DrWEB: Tool.BtcMine.150 )


  • Уважаемый(ая) ElectroMinimal, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 21
      Последнее сообщение: 20.01.2014, 23:24
    2. Ответов: 53
      Последнее сообщение: 15.01.2014, 21:50
    3. local/temp/svchost.exe, onion.exe, openvg.exe torrc
      От gorzomastoper в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 06.01.2014, 16:05
    4. К концу этой недели закроются крупнейшие торрент-сайты
      От ALEX(XX) в разделе Новости интернет-пространства
      Ответов: 7
      Последнее сообщение: 01.12.2007, 17:50
    5. Ответов: 0
      Последнее сообщение: 22.01.2006, 15:07

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00652 seconds with 24 queries