-
Junior Member
- Вес репутации
- 62
Освободить процессор от minerd.exe*32 [not-a-virus:RiskTool.Win32.BitCoinMiner.lrc
]
Случайно установил обновление флеш плеера. Установились несколько программ типа desktopy. Затем их удалил. Но в результате в системе появился процесс minerd.exe*32, который занимает почти всё процессорное время. Вот логи. Помогите освободить процессор.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) StepIn, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте!
Закройте все программы
Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
TerminateProcessByName('c:\program files (x86)\pcdata\minerd.exe');
QuarantineFile('C:\Program Files\jEdit\jedit.exe','');
QuarantineFile('C:\Program Files (x86)\PCData\StartHelp.exe','');
QuarantineFile('C:\Program Files (x86)\AmiExt\flashEnhancer\ie\flashEnhancer.dll','');
QuarantineFile('c:\program files (x86)\amiext\flashenhancer\ie\amistorage.exe','');
QuarantineFile('c:\program files (x86)\pcdata\minerd.exe','');
DeleteFile('c:\program files (x86)\pcdata\minerd.exe','32');
DeleteFile('C:\Program Files (x86)\PCData\StartHelp.exe','32');
DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','64');
DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','64');
DeleteService('ProtectMonitor');
DeleteFileMask('c:\program files (x86)\pcdata', '*', true, ' ');
DeleteDirectory('c:\program files (x86)\pcdata');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Код:
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKCU\..\Run: [NextLive] C:\Windows\SysWOW64\rundll32.exe "C:\Users\Lbs\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
-
-
Junior Member
- Вес репутации
- 62
Скрипт выполнил. Карантин выслал.
Файл сохранён как 140224_185611_quarantine_530b95cbdf013.zip
Размер файла 318277
MD5 0b5055177ca032efd2be707d29423ae1
Пофиксил в HiJackThis.
Вот лог сканирования mbam.
Процессор свободен!
Последний раз редактировалось StepIn; 24.02.2014 в 23:13.
-
В MBAM удалите все кроме:
Код:
Обнаруженные файлы:
D:\Utils\AntiVirus\avz4\Quarantine\2014-02-24\avz00005.dta (PUP.BitCoinMiner) -> Действие не было предпринято.
D:\Utils\Multimedia\MediaCoder2011-R4-5142.zip (PUP.Optional.OpenCandy) -> Действие не было предпринято.
D:\Utils\Tmp\ABBYY Lingvo x5 v15.0.511\15.0.511.0.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
D:\Utils\Tmp\ABBYY Lingvo x5 v15.0.567\15.0.576.0.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
D:\Utils\Tmp\ABBYY Lingvo x5 v15.0.591\15.0.591.0.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
D:\Utils\Tmp\ABBYY Lingvo x5 v15.0.592.10\15.0.592.10.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
D:\Utils\Tmp\ABBYY Lingvo x5 v15.0.592.5\15.0.592.5.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
E:\Documents\Photos\Fl\Setup\Alcohol_v1.9.8.7117_patch_rus.rar (PUP.Hacktool.Patcher) -> Действие не было предпринято.
E:\Documents\Photos\Fl\Setup\antiwpa.zip (PUP.Wpakill) -> Действие не было предпринято.
E:\Documents\Photos\Fl\Setup\MSKey4in1.rar (Trojan.Agent) -> Действие не было предпринято.
E:\Documents\Photos\Fl\Setup\Ne_ro.v8.1.1.0.Ultra.kg.zip (RiskWare.Tool.HCK) -> Действие не было предпринято.
E:\Documents\Photos\Fl\Setup\Zoom_Player_Home_MAX_v6.00.rar (Trojan.Agent.CK) -> Действие не было предпринято.
E:\Documents\Photos\Fl\Setup\Zoom_Player_Home_Premium_v6.00.rar (Trojan.Agent.CK) -> Действие не было предпринято.
E:\Documents\Photos\Fl\Setup\_r_ALL_Crack.rar (Trojan.Downloader) -> Действие не было предпринято.
F:\From_Asus_Nb_Ulyana_2012_04_01\DiskD\DM\winamp5623_full_bundle_emusic-7plus_all.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
F:\From_Cube_16\SetUp\!New\KMPlayer_EN_3.1.0.0.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
F:\From_Cube_16\SetUp\Multimedia\Info\MediaInfo\MediaInfo_GUI_0.7.48_Windows_i386.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
F:\From_Cube_16\SetUp\Office\2007\DM.ZIP (RiskWare.Tool.CK) -> Действие не было предпринято.
F:\From_Cube_16\SetUp\Windows\XP\Act\Windows XP Activation Crack\WGA Fixer.exe (Hacktool.WGAFix) -> Действие не было предпринято.
F:\From_Cube_16\SetUp\Windows\XP\SP3\Windows_XP_Activation_and_Reactivation.zip (Trojan.Downloader) -> Действие не было предпринято.
F:\From_Cube_16\SetUp\Windows\XP\SP3\Windows_XP_Activator.zip (RiskWare.Tool.CK) -> Действие не было предпринято.
F:\From_Cube_16\Utils\Multimedia\MediaCoder2011-R4-5142.zip (PUP.Optional.OpenCandy) -> Действие не было предпринято.
F:\Setup\Adobe\Adobe_Photoshop_Lightroom_2.4_Build_572242_Final\Adobe.Photoshop.Lightroom.v2.Keymaker.Only-EMBRACE\keygen.exe (Malware.Packer.Gen) -> Действие не было предпринято.
G:\Downloads\DM\DTLite4471-0335.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
G:\Downloads\DM\DTLite4471-0337.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
G:\Downloads\DM\DTLite4481-0347.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
G:\Downloads\DM\erika-leonard-dzheyms-pyatdesyat-ottenkov-serogo-mp3-_torrentino.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
G:\Downloads\DM\MyPhoneExplorer_Setup_1.8.4.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
G:\Downloads\DM\VMWare.ZIP (Riskware.Tool.CK) -> Действие не было предпринято.
G:\LLL\MyComp\DM\Lingvo_15.0.zip (PUP.Hacktool.Patcher) -> Действие не было предпринято.
I:\Program Files\ASCON\KOMPAS-3D V10\Libs\FTDraw\FTSCALC.exe (Trojan.FakeAlert.DF) -> Действие не было предпринято.
C:\Users\Lbs\Downloads\abbyy_lingvo_5_20__professional_plus_v4___id1168007id.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
-
-
Junior Member
- Вес репутации
- 62
В MBAM удалил. Вот новый лог.
-
Удалите в MBAM только
Код:
Обнаруженные ключи в реестре: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5A60B6BB-FA81-4EFA-AB9C-A820E2143736} (PUP.Optional.Amonetize.A) -> Действие не было предпринято.
Обнаруженные папки: 1
C:\Program Files (x86)\AmiExt\flashEnhancer (PUP.Optional.Amonetize.A) -> Действие не было предпринято.
что с проблемой?
-
-
Junior Member
- Вес репутации
- 62
Удалил в MBAM.
Проблема решена, как мне кажется. Пока ничего плохого не вижу.
Нужны ещё какие-то новые логи?
-
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-
-
Junior Member
- Вес репутации
- 62
-
- Проведите эту процедуру.
Деинсталируйте MBAM.
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
Советы и рекомендации после лечения компьютера
-
-
Junior Member
- Вес репутации
- 62
Выполнил:
MD5 карантина: 1EDD10A1526D9EFF2C66B1401F909123
Размер файла: 29141361 байт
Ссылка на результаты анализа:Результаты анализа карантина http://virusinfo.info/virusdetector/...66B1401F909123
Скрипт выполнил - критических уязвимостей нет.
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\program files (x86)\pcdata\minerd.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.lrc ( DrWEB: Tool.BtcMine.130, BitDefender: Application.BitCoinMiner.BK )
-