onion.exe\openvg.exe\diablo120302.cl и куча прочего. Пожалуйста помогите. [Trojan.Win32.BitMiner.fz ]

**mike 1** · 10.01.2014, 22:30

ASGT

Это от Asus.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**_Фёдор_** · 11.01.2014, 02:14

Щас все будет

- - - Добавлено - - -

Вот

**mike 1** · 11.01.2014, 13:55

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Clean" и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Сделайте новые логи RSIT.

**_Фёдор_** · 11.01.2014, 16:01

Вот логи

**mike 1** · 11.01.2014, 17:40

Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM by OldTimer (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

Код:

:Processes
explorer.exe

:Services

:Files
C:\Program Files (x86)\MyPC Backup\MyPC Backup.exe

:Reg
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Users^User^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^MyPC Backup.lnk]

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".
Компьютер перезагрузится.
После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

**_Фёдор_** · 11.01.2014, 21:51

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
========== FILES ==========
File/Folder C:\Program Files (x86)\MyPC Backup\MyPC Backup.exe not found.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Users^User^AppData ^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^MyPC Backup.lnk\ not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: User
->Temp folder emptied: 493762 bytes
->Temporary Internet Files folder emptied: 3770658 bytes
->Google Chrome cache emptied: 296217425 bytes
->Flash cache emptied: 1272 bytes

User: Все пользователи

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 15516 bytes
%systemroot%\system32\config\systemprofile\AppData \Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33298 bytes
%systemroot%\sysnative\config\systemprofile\AppDat a\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 86498735 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 369,00 mb

OTM by OldTimer - Version 3.1.21.0 log created on 01112014_194801

Files moved on Reboot...
C:\Users\User\AppData\Local\Temp\FXSAPIDebugLogFil e.txt moved successfully.
C:\Users\User\AppData\Local\Microsoft\Windows\Temp orary Internet Files\counters.dat moved successfully.

Registry entries deleted on Reboot...

**mike 1** · 11.01.2014, 23:06

Еще раз сделайте логи RSIT.

**_Фёдор_** · 11.01.2014, 23:21

Вот логи

**mike 1** · 12.01.2014, 01:08

Нажмите на клавиатуре Win+R => Введите cmd => Нажмите Enter => Откроется редактор реестра в нем найдите ключ реестра HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder удалите параметр C:^Users^User^AppData^Roaming^Microsoft^Windows^St art Menu^Programs^Startup^MyPC Backup.lnk.

Что с проблемой?

**_Фёдор_** · 12.01.2014, 03:28

ОГРОМНЕЙШЕЕ Вам спасибо !

Проблема решена !

Только вот я не знаю как найти ключ реестра

- - - Добавлено - - -

Кажись разобрался. Наверное Вы имели ввиду не CMD, a REGEDIT

**mike 1** · 12.01.2014, 12:12

Да забыл про regedit написать.

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

**_Фёдор_** · 12.01.2014, 12:23

Вот лог

**mike 1** · 12.01.2014, 13:22

Обновляйтесь:

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Java 7 Update 21 (64-bit) v.7.0.210 Внимание! Скачать обновления
^Скачайте jre-7u45-windows-x64.exe^
Java 7 Update 21 v.7.0.210 Внимание! Скачать обновления
^Скачайте jre-7u45-windows-i586.exe^

Adobe Flash Player 11 ActiveX & Plugin 64-bit v.11.7.700.169 Внимание! Скачать обновления - Скачать обновления
^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^
Adobe Shockwave Player + Authorware Web Player v.v12.0.2.122 Внимание! Скачать обновления
Adobe Reader XI (11.0.02) - Russian v.11.0.02 Внимание! Скачать обновления

**_Фёдор_** · 12.01.2014, 17:38

готово )

**mike 1** · 12.01.2014, 19:27

Советы и рекомендации после лечения компьютера

**_Фёдор_** · 13.01.2014, 02:35

Возникла проблема.

Как я понял опять запустилось ( и откуда оно взялось, если мы его удалили

) MyPCBeckup и опять появились файлы Media.bin и USER-PC. Уже надоело их удалять.

**mike 1** · 13.01.2014, 11:15

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

**_Фёдор_** · 13.01.2014, 16:16

Вот...

- - - Добавлено - - -

И только что выяснилось что мой аккаунт Steam украден...

Вчера еще все было хорошо.

**mike 1** · 13.01.2014, 16:19

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

**_Фёдор_** · 13.01.2014, 16:44

Ээхххх......

onion.exe\openvg.exe\diablo120302.cl и куча прочего. Пожалуйста помогите. [Trojan.Win32.BitMiner.fz ] (заявка № 152929)

Опции темы

Это понравилось:

Похожие темы

local/temp/svchost.exe, onion.exe, openvg.exe torrc

помогите пожалуйста

Пожалуйста помогите вирусы у меня, трояны и тд.. пожалуйста!

Помогите, пожалуйста!

Помогите пожалуйста, тема уже создавалась. Помогите плиз.

Метки для этой темы

Ваши права в разделе