openvg.exe, onion.exe, diablo130302.cl - актуальный вопрос этой недели! [Trojan.Win32.BitMiner.fz, not-a-virus:NetTool.Win32.Tor.d ]

Добрый вечер!
Несколько дней назад антивирус начал активно ругаться на openvg.exe в оперативной памяти, причем со старта системы. Далее посмотрев журнал NOD32 Antivirus 4 - увидел что файл openvg.exe создается в папке C:\Users\Electro Minimal\AppData\Local\Temp разными приложениями что я запускаю, т.е. любое действие приводит к созданию этого файла, на что ругается антивирус. На форуме нашел несколько таких же проблем. В папке C:\Users\Electro Minimal\AppData\Local\Temp лежат файлы такие как: openvg.exe, onion.exe, diablo130302.cl, svhost.exe и т.д. И они так же как и openvg.exe "воскресают" после перезагрузки системы.
Есть подозрение, что эти файлы как то связаны с программой TOR которую я снес примерно месяц назад. Теперь же появилась папка tor в C:\Program Files (x86)\ которую я удалил и по адресу C:\Users\Electro Minimal\AppData\Roaming\tor\ внутри лежат файлы
cached-certs
cached-consensus
cached-descriptors
cached-descriptors.new
lock
state.
Я их тоже удалил, но они появились после перезагрузки.
Помогите, пожалуйста, вылечить вирус. Как написал в названии темы, вопрос сейчас на самом деле актуален, но гуглив целый день решения так и не нашел..

Уважаемый(ая) [B]ElectroMinimal[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[url]http://virusinfo.info/pravila.html[/url]

Еще пробил вирусдетектором, вот результат: [url]http://virusinfo.info/virusdetector/report.php?md5=40BC4FD5B9E56479325609A884CB617D[/url]

Вас просили сделать логи. Где ваши логи?

Приложил в шапке.

Здравствуйте !!!

Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\users\electr~1\appdata\local\temp\svchost.exe');
TerminateProcessByName('c:\users\electr~1\appdata\local\temp\onion.exe');
QuarantineFile('C:\PROGRA~2\QtOpenGL\gal_st2.dll','');
QuarantineFile('C:\Users\Electro Minimal\appdata\local\temp\svchost.exe','');
QuarantineFile('C:\Users\Electro Minimal\appdata\local\temp\onion.exe','');
QuarantineFile('c:\users\electr~1\appdata\local\temp\svchost.exe','');
QuarantineFile('c:\users\electr~1\appdata\local\temp\onion.exe','');
DeleteFile('C:\PROGRA~2\QtOpenGL\gal_st2.dll','32');
DeleteFile('c:\users\electr~1\appdata\local\temp\onion.exe','32');
DeleteFile('C:\Users\ELECTR~1\AppData\Local\Temp\svchost.exe','32');
DeleteFile('C:\Users\Electro Minimal\appdata\local\temp\onion.exe','32');
DeleteFile('C:\Users\Electro Minimal\appdata\local\temp\svchost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(3);
ExecuteRepair(4);
RebootWindows(true);
end.[/CODE]

После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]

Запустите повторно HijackThis, Пофиксите в HijackThis, при наличии данных параметров:
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://installsoft.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
F3 - REG:win.ini: load=C:\Users\Electro Minimal\AppData\Roaming\Red Giant Software\Red Giant Software.exe
F3 - REG:win.ini: run=C:\Users\Electro Minimal\AppData\Roaming\Red Giant Software\Red Giant Software.exe
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O4 - HKCU\..\Policies\Explorer\Run: [Red Giant Software] C:\Users\Electro Minimal\AppData\Roaming\Red Giant Software\Red Giant Software.exe
O20 - AppInit_DLLs: C:\PROGRA~2\QtOpenGL\gal_st2.dll[/CODE]

Перезагрузите компьютер.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

+ [URL="http://virusinfo.info/showthread.php?t=121767"][B]Сделайте полный образ автозапуска uVS[/B][/URL]

Сделал все как Вы написали, в HijackThis совпало только 4 строки которые я отметил и пофиксил, правильно же? После перезагрузки антивирус уже не находит openvg в оперативной памяти, папка TEMP чиста. Спасибо большое :)
А вот с созданием образа автозапуска, такое чувство будто я сделал что-то не так, файл весит 11мб и в нем иероглифы. Приложил к сообщению вместе с логами.

Выполните скрипт в AVZ:
[CODE]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRAM FILES (X86)\ALTIUM\AD\DXP.EXE','');
QuarantineFile('D:\SOFT\КУРСАЧ КИСЕЛЬ\INFA))\KURSACH KISEL\SPLAN7.0.0.4.RUS.EXE','');
QuarantineFileF('C:\Users\Electro Minimal\AppData\Roaming\Red Giant Software', '*.exe,*.dll', true,'',0 ,0);
BC_ImportAll;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.[/CODE]

После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

Карантин выслал, вот логи:

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

SPLAN7.0.0.4.RUS.EXE - удалил час назад..:(

Папку [QUOTE]C:\Users\Electro Minimal\AppData\Roaming\Red Giant Software[/QUOTE] удалите вручную.

- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"][B]ScanVuln.txt[/B][/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Проблема решена ?

Этой папки нет.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

И я уже проводил вчера данные действия из Avz_log (обновления виндовс и ява) и полное обновление. После перезагрузки ничего не работало, exe'шники не запускались вообще, окно антивируса было пустое. Сделал восстановление и нормально. Сейчас же от вирусов ни духу, большое спасибо за помощь! Проблема решена :)
В последнее обновление операционки входят все те что рекомендованы в Avz_log?

Скрытые, системные смотрели ?

нету папки Red Giant Software

[quote="ElectroMinimal;1082147"]В последнее обновление операционки входят все те что рекомендованы в Avz_log?[/quote]
Все основные критические. Тему закрываем ?

Да!:) Огромное спасибо за помощь!:bye2:

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\progra~2\qtopengl\gal_st2.dll - [B]Trojan.Win32.BitMiner.fz[/B][*] c:\users\electro minimal\appdata\local\temp\onion.exe - [B]not-a-virus:NetTool.Win32.Tor.d[/B] ( DrWEB: Tool.Tor.1 )[*] c:\users\electro minimal\appdata\local\temp\svchost.exe - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.lkl[/B] ( DrWEB: Tool.BtcMine.150 )[*] c:\users\electr~1\appdata\local\temp\onion.exe - [B]not-a-virus:NetTool.Win32.Tor.d[/B] ( DrWEB: Tool.Tor.1 )[*] c:\users\electr~1\appdata\local\temp\svchost.exe - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.lkl[/B] ( DrWEB: Tool.BtcMine.150 )[/LIST][/LIST]