Самопроизвольная установка различных программ и трата ресурсов процессора. [not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.gen ]

**Mitek_** · 03.09.2017, 19:07

Здравствуйте!
Операционная система Windows 7. Не успел поставить антивирус, что-то скачал и началась самопроизвольная установка различных программ в огромных количествах. Поставил пробный антивирус Касперского. Он удалил большинство из них, но по прежнему не замечает такие процессы, как websock.exe (Monero (XMR) CPU miner) - тратит 50 % процессора, em.exe, и возможно, ещё какие-то, которые я не замечаю. Кстати, explorer.exe тратит ещё 40 % процессора, что мне кажется подозрительным. Прошу помочь, файл с логами прилагаю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 03.09.2017, 19:09

Уважаемый(ая) Mitek_, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mrak74** · 04.09.2017, 02:02

Здравствуйте !!!

отключите антивирусную программу

Выполните скрипт в AVZ:(в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  TerminateProcessByName('c:\applications\websock.exe');
  TerminateProcessByName('c:\users\mitek\appdata\roaming\event monitor\em.exe');
  SetServiceStart('UbarCalloutDriver', 4);
  StopService('UbarCalloutDriver');
  QuarantineFile('C:\Users\Mitek\appdata\roaming\event monitor\isxdl.dll','');
  QuarantineFile('C:\Windows\system32\service.exe','');
  QuarantineFile('C:\Windows\044e8c427a86a0355dbab2b09b647928.ps1','');
  QuarantineFile('C:\Program Files (x86)\Microleaves\Online Application\Online Application Updater.exe','');
  QuarantineFile('C:\Program Files (x86)\PC Clean Plus\PCCleanPlus.exe','');
  QuarantineFile('C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe','');
  QuarantineFile('C:\ProgramData\locep\Dentolab.dll','');
  QuarantineFile('C:\Windows\system32\drivers\wfcre.sys','');
  QuarantineFile('C:\Program Files\UBar\UbarDriver.sys','');
  QuarantineFile('c:\windows\syswow64\service.exe','');
  QuarantineFile('c:\applications\websock.exe','');
  QuarantineFile('c:\users\mitek\appdata\roaming\event monitor\em.exe','');
  DeleteFile('C:\Program Files (x86)\Microleaves\Online Application\Online Application Updater.exe');
  DeleteFile('C:\Program Files (x86)\PC Clean Plus\PCCleanPlus.exe');
  DeleteFile('c:\applications\websock.exe','32');
  DeleteFile('C:\Program Files\UBar\UbarDriver.sys','32');
  DeleteFile('C:\ProgramData\locep\Dentolab.dll','32');
  DeleteFile('C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe','32');
  DeleteFile('C:\Windows\Tasks\Online Application V2G1.job','32');
  DeleteFile('C:\Windows\Tasks\Online Application V2G2.job','32');
  DeleteFile('C:\Windows\Tasks\Online Application V2G3.job','32');
  DeleteFile('C:\Windows\Tasks\PC Clean Plus_DEFAULT.job','32');
  DeleteFile('C:\Windows\Tasks\PC Clean Plus_UPDATES.job','32');
  DeleteFile('C:\Windows\Tasks\Updater_Online_Application.job','32');
  DeleteFile('C:\Windows\system32\Tasks\Updater_Online_Application','64');
  DeleteFile('C:\Windows\system32\Tasks\PC Clean Plus_DEFAULT','64');
  DeleteFile('C:\Windows\system32\Tasks\PC Clean Plus_UPDATES','64');
  DeleteFile('C:\Windows\system32\Tasks\RunAtStartup','64');
  DeleteFile('C:\Users\Mitek\appdata\roaming\event monitor\em.exe','32');
  DeleteFile('C:\Users\Mitek\appdata\roaming\event monitor\isxdl.dll','32');
  DeleteService('UbarCalloutDriver');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(13);
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

**Mitek_** · 04.09.2017, 16:56

Здравствуйте!
Скрипты выполнил, сделал новые логи (прикладываю).
Какой антивирус с фаерволом посоветуете на будущее?

**mrak74** · 04.09.2017, 20:31

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

- - - - -Добавлено - - - - -

Сообщение от Mitek_

Какой антивирус с фаерволом посоветуете на будущее?

Я предлагаю Вам попробовать триальные версии различных производителей и сделать свой выбор самостоятельно. Каждый хорош по своему, главное чтобы продукт устроил именно Вас.

**Mitek_** · 05.09.2017, 18:34

Антивирус на время работы AdwCleaner отключить надо? Запускаю её от имени администратора, выскакивает сообщение: "Программа ненадёжная, скачана в интернете, запускать не буду, обратитесь к администратору" :-) Отключил Защитника Виндовс - не помогает.

**mrak74** · 06.09.2017, 21:19

Антивирус лучше отключить, защиту в режиме реального времени. Программа надежная, запустите от имени администратора, если потребуется введите пароль администратора.

- - - - -Добавлено - - - - -

P.S. По файлу adwcleaner_7.0.2.1.exe правой кнопкой мыши, Свойства - Осторожно: - Разблокировать, - Применить, - Ок. Запускайте, жду лог adwcleaner.

**Mitek_** · 07.09.2017, 18:54

Антивирус отключил. Жму на файл adwcleaner правой кнопкой, но "Осторожно" - нет такого, и "Разблокировать" тоже нет.

Есть: "Открыть", Запуск от имени администратора" (и щит рядом нарисован), "Исправление неполадок совместимости", Общий доступ", Закрепить на панели задач", Закрепить в меню "Пуск", "Восстановить прежнюю версию", "Отправить", "Вырезать", "Копировать", "Создать ярлык", "Удалить", "Переименовать", "Свойства". Виндовс 7 у меня. Я единственный пользователь на компьютере и администратор. Жму на этот файл правой кнопкой мыши, потом "запуск от имени администратора". Всё равно появляется сообщение: "Эта программа заблокирована в целях защиты". И не запускается.

**mrak74** · 07.09.2017, 22:37

1) Хочу взглянуть на скриншот "Свойства" скачанного файла. Момент когда вы их уже выбрали (нажали).
2) Панель управления\Все элементы панели управления\Учетные записи пользователей\Изменения параметров контроля учетных записей (нажмите), в открывшемся окне ползунок на каком делении стоит ? (можно и по этому поводу скриншот приложить).
Свойства файла.jpg
Это, хотелось бы увидеть.

**Mitek_** · 11.09.2017, 04:05

Сделал скриншот. Сейчас вспоминаю, что однажды уже нажал кнопку "Разблокировать" в свойствах adwcleaner, только это ситуации не исправило. Больше такая кнопка не появлялась.

**mrak74** · 11.09.2017, 18:19

1) Попробуйте временно отключить UAC, переведите его в положение никогда не уведомлять. Попытайтесь запустить программу Adwcleaner и сделать необходимый лог. По окончании процедуры верните UAC в исходное положение.
2) Второй вариант, попробуйте зайти в систему под локальной учетной записью Администратор и сделать лог Adwcleaner под нею.

- - - - -Добавлено - - - - -

Воспользуйтесь https://support.kaspersky.ru/1464#block1 удалите антивирус Касперского, все равно некорректно работает, версия триал, так что ничего не потеряете. Данные о некорректной работе:

Код:

Имя компьютера: Home
Код события: 7031
Сообщение: Служба Kaspersky Anti-Virus Service 18.0.0 была неожиданно завершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через 10000 мсек: Перезапуск службы.
Номер записи: 13127
Источник: Service Control Manager
Время записи: 20170904133846.685288-000
Тип события: Ошибка
Пользователь:

**Mitek_** · 11.09.2017, 18:24

Отключил UAC - всё получилось! Вот отчёт:

**mrak74** · 12.09.2017, 01:00

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

**Mitek_** · 13.09.2017, 11:10

Удалил, вот отчёт:

**mrak74** · 13.09.2017, 20:29

Установите все доступные обновления Windows. Понаблюдайте за работой браузеров, все замечания по браузерам если они будут опишите в следующем сообщении.

**CyberHelper** · 13.09.2017, 20:39

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 10
В ходе лечения обнаружены вредоносные программы:
1. c:\applications\websock.exe - not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.gen

Самопроизвольная установка различных программ и трата ресурсов процессора. [not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.gen ] (заявка № 215057)

Опции темы