Добрый день. Сначала был процесс "Утилита поиска строк GREP", которая грузила процессор, после удаления по мануалам с гугла появилась другая служба, с аналогичной проблемой. Помогите избавиться от этого вируса/майнера, пожалуйста.
Printable View
Добрый день. Сначала был процесс "Утилита поиска строк GREP", которая грузила процессор, после удаления по мануалам с гугла появилась другая служба, с аналогичной проблемой. Помогите избавиться от этого вируса/майнера, пожалуйста.
Уважаемый(ая) [B]IuriiB[/B], спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
После перезагрузки ПК в диспетчере снова появился в процесс "Утилита поиска строк (GREP)"
Transmission сами устанавливали? Удалите в любом случае.
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O17 - HKLM\System\CCS\Services\Tcpip\..\{42fb2f6e-3758-4dbe-ac30-3ceeda9e7a11}: [NameServer] = 142.4.214.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{42fb2f6e-3758-4dbe-ac30-3ceeda9e7a11}: [NameServer] = 185.201.47.42
O17 - HKLM\System\CCS\Services\Tcpip\..\{7b3c42e9-ad10-434d-a654-7038c2c02761}: [NameServer] = 142.4.214.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{7b3c42e9-ad10-434d-a654-7038c2c02761}: [NameServer] = 185.201.47.42
O17 - HKLM\System\CCS\Services\Tcpip\..\{b0555a3b-3576-4a46-940c-da20c0ba5e2a}: [NameServer] = 142.4.214.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{b0555a3b-3576-4a46-940c-da20c0ba5e2a}: [NameServer] = 185.201.47.42
O17 - HKLM\System\CCS\Services\Tcpip\..\{d571bf91-bf77-4467-a604-d494421389b7}: [NameServer] = 142.4.214.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{d571bf91-bf77-4467-a604-d494421389b7}: [NameServer] = 185.201.47.42
O2 - HKLM\..\BHO: YoutubeDownloader - {C283F2F5-68B0-4C6A-80A4-F2C4A5856550} - C:\Program Files (x86)\vELkaMebpIE\ts5GhdkOQ.dll (file missing)
O2-32 - HKLM\..\BHO: YoutubeDownloader - {C283F2F5-68B0-4C6A-80A4-F2C4A5856550} - C:\Program Files (x86)\vELkaMebpIE\kDkXftfg1.dll (file missing)
O22 - Task: AdShield scheduled autoupdate - C:\Program Files (x86)\AdShield\updater.exe -self-upgrade (file missing)
O22 - Task: Extension_game - C:\Users\Den\AppData\Roaming\Extension_game\python\pythonw.exe "load.pyc" ml2 (file missing)
O22 - Task: Extension_game2 - C:\Users\Den\AppData\Roaming\Extension_game\python\pythonw.exe "load.pyc" app (file missing)[/code]
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].
Здравствуйте, пофиксил строки, но не все. Большая часть строк отсутствовала в программе. Образ автозапуска приложил.
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
deltmp
regt 39
regt 27
delall %SystemDrive%\PROGRAM FILES (X86)\TRANSMISSION\TRANSMISSION-DAEMON.EXE
deldir %SystemDrive%\PROGRAM FILES (X86)\TRANSMISSION
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\USERS\DEN\APPDATA\LOCAL\TEAMSPEAK 3 CLIENT\TS3CLIENT_WIN64.EXE
del %SystemDrive%\USERS\DEN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\TEAMSPEAK 3 CLIENT.LNK
del %SystemDrive%\USERS\DEN\DESKTOP\TEAMSPEAK 3 CLIENT.LNK
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRA~1\COMMON~1\DETERM~1\DNE\DNEI64X.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\VELKAMEBPIE\JWJOWCD.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
apply
restart[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.
Если проблема повторится, [B]не завершая процесс, который нагружает процессор[/B], сделайте новый полный образ автозапуска uVS. в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку.
Все сделал как написали, спасибо. Посмотрю как будет работать.