Вирус ворующий деньги с Bitcoin загружает ЦП на 100% [not-a-virus:RiskTool.Win32.BitCoinMiner.jtz, not-a-virus:RiskTool.Win32.BitCoinMiner.moo ]

[Andrey Volgin]

Здравствуйте. Подхватил вирус, возможно, Bitcoin Miner. В папке C:\Windows образовались такие файлы как: ati.exe, cuda.exe, core.exe и куча файлов с расширением .cl (litecoin, reaper, bitcoin-reaper). Также в запланированных процессах появилось нечто с названием UpCH которое, в свою очередь, запускается в 19:45 и после этого обновляется каждую минуту. При всем при этом загрузка ЦП подскакивает до 100%. Спасает развернутый диспетчер задач. Антивирус установлен Nod32 - толку ноль, не нашел вирусов ни в одном из файлов, когда Dr.web CureIt! удалил ati.exe. AVZ заподозрил cuda.exe и core.exe в их поганой деятельности. Собственно, сама просьба к форумчанам: -Есть ли возможность убрать эту погань с системы Без переустановки Windows? И поможет ли сама переустановка если, отформатирую только диск C:, и оставлю файлы на других HDD в покое (не перекидывается ли эта зараза на все диски?) И если это возможно то по подробнее, я жуткий ламер в лечении компьютера :-( Заранее Благадарен!

[Info_bot]

Уважаемый(ая) Andrey Volgin, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\cuda.exe','');
 QuarantineFile('C:\Windows\core.exe','');
 QuarantineFile('c:\windows\core.exe','');
 DeleteFile('c:\windows\core.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\UpCH','64');
 DeleteFile('C:\Windows\cuda.exe','32');
 DeleteFile('C:\Windows\core.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Andrey Volgin]

Скрипт выполнил, отправил файлы в карантин и загрузил на сайт. Новые логи прикрепил.

[thyrex]

Сделайте лог полного сканирования МВАМ

[Andrey Volgin]

Лог сканирования MBAM сделал. На мой взгляд все относительно безопасно. Файлов вируса связанного с темой не осталось. Следует ли избавится от других найденных?

[thyrex]

C:\Windows\proxy.exe удалите

[Andrey Volgin]

proxy.exe удалил. Спасибо Вам за оказанную помощь, процедура помогла)!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\core.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.moo ( AVAST4: Win32:Malware-gen )
  2. c:\windows\cuda.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.jtz