onion.exe\openvg.exe\diablo120302.cl и куча прочего. Пожалуйста помогите. [Trojan.Win32.BitMiner.fz ]

[mike 1]

Кроме кряка для Noda плохого не вижу.

MyPCBeckup и опять появились файлы Media.bin и USER-PC

Подробней пожалуйста.

[_Фёдор_]

Ну оно изначально было установлено, но даже после удаления появлялось.

Эта прога перегоняет Ваши личные данные в чьё-то удалённое хранилище. Так сказать, с целью "резервного копирования".

- - - Добавлено - - -

Описание MyPC Backup
MyPC Backup – это приложение для резервного копирования всех ваших данных на облачное хранилище. Содержимое хранилища постоянно синхронизируются с рабочим компьютером, что позволяет получить доступ к файлам в любое время и с любого устройства. Для сохранения данных, MyPC Backup требует указать файлы и папки, резервная копия которых копируется на облачное хранилище. Планировщик позволяет создавать расписание для резервирования файлов по времени. За защиту от перехвата данных, отвечает 256-битное SSL шифрование.

Программа является мультиплатформенной и обеспечивает синхронизацию между множеством настольных и мобильных систем. Всего за 5$ в месяц пользователю открывается доступ к неограниченному пространству для хранения данных и снимается ограничение скорости резервного копирования, а для пробного использования, доступен демонстрационный период и 1 Гб выделенной серверной памяти. Система поддержки включает в себя обучающие видео, статьи и различного рода руководства по работе с клиентом.

Ключевые особенности и функции программы
копирование файлов методом drag&drop;
установка приоритета очереди;
многофункциональный планировщик;
энергосберегающий режим;
приватный доступ к файлам через защищенную ссылку.
Ограничения бесплатной версии
пробный период длится 14 дней;
есть ограничение скорости синхронизации.

[mike 1]

Да я знаю что делает эта программа.

появились файлы Media.bin и USER-PC

Где эти файлы появляются?

[_Фёдор_]

на диске Д.
При запуске USER-PC предлагает (не помню точно) 3 варианта. Резервное копирование и т.д.

Последний раз весило пару байт.

Несколько раз достигало аж 20 гигов.

[mike 1]

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

[_Фёдор_]

Файл почему-то не прикрепляется

- - - Добавлено - - -

Подскажите пожалуйста как удалить вложения

[regist]

загрузите сюда http://rghost.ru/ и дайте ссылку на скачивание.

Подскажите пожалуйста как удалить вложения

Как удалить вложения?

[_Фёдор_]

...

[mike 1]

Эта C:\MINECRAFT папка вам знакома?

[_Фёдор_]

Да.

[mike 1]

Вирусов я не вижу. На всякий случай проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму сохраните в блокноте под именем VirusDetector и прикрепите его в виде текстового файла в вашей теме.

[_Фёдор_]

Готово. Файлы вроде не появляются. Процессов странных не вижу.

Можете подсказать пожалуйста, что за процесc conhost.exe ?

[regist]

Conhost.exe является процессом, который обрабатывает консольные окна в последних версиях Windows. Он решает одну из фундаментальных проблем предыдущих версий Windows, которая проявлялась при управлении консольными окнами и нарушала работу в режиме перетаскивания объектов «drag & drop» в Windows Vista.

Conhost.exe является полностью легитимным исполнительным файлом, он запускается из папки system32 и имеет цифровую подпись Microsoft. Процесс запускается только тогда, когда выполняется какая-либо консольная команда.

-----------------------
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 12
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files (x86)\qtopengl\gal_st2.dll - Trojan.Win32.BitMiner.fz ( DrWEB: Trojan.Starter.2926, BitDefender: Trojan.GenericKD.1510349, AVAST4: Win32:BitCoinMiner-FI [Trj] )
  2. c:\progra~2\qtopengl\gal_st2.dll - Trojan.Win32.BitMiner.fz ( DrWEB: Trojan.Starter.2926, BitDefender: Trojan.GenericKD.1510349, AVAST4: Win32:BitCoinMiner-FI [Trj] )
  3. c:\users\user\appdata\local\temp\onion.exe - not-a-virus:NetTool.Win32.Tor.d ( DrWEB: Tool.Tor.1 )
  4. c:\users\user\appdata\local\temp\svchost.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.lkl ( DrWEB: Tool.BtcMine.150 )