Не могу избавиться от вирусов. [not-a-virus:RiskTool.Win32.BitCoinMiner.lmx ]

[Egorico]

Добрые день. у меня ОС Windows 7 x64. Все началось с вируса который назывался "leonadro davinci" и выдавал мне ошибку. Потом начала вылазить ошибка "bump.exe" и ошибка которая говорила что в файле "bump.exe" - ошибка (как-то так, да). Потом появилась ошибка "WinUpdate32.exe" или как то так. Google Chrome перестал грузить половину сайтов и начал сам закрываться, после чего выдавал ошибку на каком то китайском языке. Потом начали вылазить окна, говорящие, что та или иная программа перестали работать. И самая главная ошибка, которая, если не закрывать окно, могла появляться до бесконечности, название ее я уже не вспомню, но что то с "flah game process...". Обновить свой антивирус я не мог т.к. появлялась ошибка "нет подключения" хотя все чудесно работало. Не зная других способов решения всех моих проблем, я скачал Dr.Web CureIt и нашлись 6 вирусов, после удаления которых ничего не изменилось, а даже наверное стало еще хуже. В обычном режиме работать было невозможно, вечно выскакивающие ошибки, антивирус бьющий тревогу и просто жесткие лаги не дающие даже пошевелить курсором. Через безопасный режим я обновил антивирус и удалил или переместил в карантин около 10 вирусов. Потом, как указано в инструкции, я скачал утилу AVPtool и та нашла около 200 вредоносных файлов. В обычном режиме ошибки вроде уже не выскакивают, но компьютер по прежнему дико лагает. Проверьте пожалуйста, и подскажите, чем тут еще помочь можно, логи прилагаю (кроме одного, так как система 64-битная).

[Info_bot]

Уважаемый(ая) Egorico, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DelCLSID('{DAB8DE64-FAC2-BAFD-BF06-DBEDADE70CE1}');
 QuarantineFile('c:\logs\run.vbs','');
 QuarantineFile('C:\WindowsServices3545\updater.exe','');
 QuarantineFile('C:\Users\Dzhuki\LOCALS~1\Temp\msiyravua.exe','');
 QuarantineFile('C:\Users\Dzhuki\Desktop\Chassive.exe','');
 QuarantineFile('C:\Users\Dzhuki\AppData\Roaming\server.exe','');
 QuarantineFile('C:\Users\Dzhuki\AppData\Roaming\NvidiaDrivers.exe','');
 QuarantineFile('C:\Users\Dzhuki\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Up-dater.vbs','');
 QuarantineFile('C:\Users\Dzhuki\AppData\Local\Temp\ozuvbvgiula.exe','');
 QuarantineFile('C:\ProgramData\AdobeMSoft0\mtqadjqbe.exe','');
 QuarantineFile('C:\PROGRA~3\LOCALS~1\Temp\msuzfv.bat','');
 DeleteFile('C:\PROGRA~3\LOCALS~1\Temp\msuzfv.bat','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','4736');
 DeleteFile('C:\ProgramData\AdobeMSoft0\mtqadjqbe.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe Media Software');
 DeleteFile('C:\Users\Dzhuki\AppData\Local\Temp\ozuvbvgiula.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Java VM Launcher');
 DeleteFile('C:\Users\Dzhuki\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Updater.vbs','32');
 DeleteFile('C:\Users\Dzhuki\AppData\Roaming\NvidiaDrivers.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Shell');
 DeleteFile('C:\Users\Dzhuki\AppData\Roaming\server.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','C;/');
 DeleteFile('C:\Users\Dzhuki\Desktop\Chassive.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Chassive');
 DeleteFile('C:\Users\Dzhuki\LOCALS~1\Temp\msiyravua.exe','32');
 DeleteFile('C:\WindowsServices3545\updater.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Updater');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(8);
ExecuteREpair(9);
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Egorico]

Карантин прислал, новые логи прислал.

[thyrex]

Сделайте лог ComboFix

[Egorico]

лог combofix

[thyrex]

c:\users\Dzhuki\AppData\Roaming\Microsoft\Windows\ Start Menu\Programs\Startup\Windows Updater.vbs удалите

[Egorico]

удалил. при включении компьютера все очень долго прогружается, можно что-нибудь еще сделать?

[thyrex]

Удалите ComboFix

[Egorico]

удалил, но проблема осталась

[thyrex]

Больше придраться не к чему

[Egorico]

может поможет если скажу что когда открываю "диспетчер задач" и выбираю "процессы" есть несколько процессов которые появляются и сразу исчезают и так всегда. один "bump.exe" , второй "cmd.exe" , третий "find.exe", четвертый "сcrc32.exe" и еще несколько

[thyrex]

2013-11-19 18:43 . 2013-11-19 20:55 -------- d-----w- c:\program files (x86)\dodolib
2013-11-19 18:43 . 2013-11-19 20:55 -------- d-----w- c:\program files (x86)\cablictwainlang
2013-11-19 18:43 . 2013-11-19 20:54 -------- d-----w- c:\program files (x86)\w32w64install
2013-11-19 17:24 . 2013-11-19 20:54 -------- d-----w- c:\program files (x86)\wow64loclibdll
2013-11-19 17:24 . 2013-11-19 20:54 -------- d-----w- c:\program files (x86)\up64_lang
2013-11-19 17:24 . 2013-11-19 20:53 -------- d-----w- c:\program files (x86)\twainreg
2013-11-19 17:24 . 2013-11-19 20:53 -------- d-----w- c:\program files (x86)\regver
2013-11-19 17:24 . 2013-11-19 20:52 -------- d-----w- c:\program files (x86)\gwctl
2013-11-19 17:24 . 2013-11-19 20:52 -------- d-----w- c:\program files (x86)\lic64
2013-11-19 17:24 . 2013-11-19 20:52 -------- d-----w- c:\program files (x86)\licappenu
2013-11-19 17:24 . 2013-11-19 20:51 -------- d-----w- c:\program files (x86)\sysverwow
2013-11-19 17:24 . 2013-11-19 20:51 -------- d-----w- c:\program files (x86)\com_ru
2013-11-19 17:24 . 2013-11-19 20:50 -------- d-----w- c:\program files (x86)\ms_32
2013-11-19 17:24 . 2013-11-19 20:50 -------- d-----w- c:\program files (x86)\w32log
2013-11-19 17:24 . 2013-11-19 20:50 -------- d-----w- c:\program files (x86)\upwow64
2013-11-19 17:23 . 2013-11-19 20:49 -------- d-----w- c:\program files (x86)\64_ext
2013-11-19 17:23 . 2013-11-19 20:49 -------- d-----w- c:\program files (x86)\extgw_en
2013-11-19 17:23 . 2013-11-19 20:48 -------- d-----w- c:\program files (x86)\regdllwow64_ru
2013-11-19 17:23 . 2013-11-19 20:48 -------- d-----w- c:\program files (x86)\wow_ru
2013-11-19 17:23 . 2013-11-19 20:48 -------- d-----w- c:\program files (x86)\msmini
2013-11-19 17:23 . 2013-11-19 20:47 -------- d-----w- c:\program files (x86)\cabupcert
2013-11-19 17:21 . 2013-11-19 20:47 -------- d-----w- c:\program files (x86)\upcertcab32_
2013-11-19 17:21 . 2013-11-19 20:46 -------- d-----w- c:\program files (x86)\extlic_ru
2013-11-19 17:21 . 2013-11-19 20:46 -------- d-----w- c:\program files (x86)\gwenu
2013-11-19 17:21 . 2013-11-19 20:45 -------- d-----w- c:\program files (x86)\licver
2013-11-19 17:21 . 2013-11-19 20:45 -------- d-----w- c:\program files (x86)\msappdllgcc
2013-11-19 17:21 . 2013-11-19 20:45 -------- d-----w- c:\program files (x86)\miniiniinstallgcc
2013-11-19 17:20 . 2013-11-19 20:44 -------- d-----w- c:\program files (x86)\versxswow
2013-11-19 17:20 . 2013-11-19 20:44 -------- d-----w- c:\program files (x86)\32install_en
2013-11-19 17:20 . 2013-11-19 20:43 -------- d-----w- c:\program files (x86)\wowdolic
2013-11-19 17:20 . 2013-11-19 20:43 -------- d-----w- c:\program files (x86)\java64libsign
2013-11-19 17:20 . 2013-11-19 20:43 -------- d-----w- c:\program files (x86)\ctlcertsetup
2013-11-19 17:19 . 2013-11-19 20:42 -------- d-----w- c:\program files (x86)\wowdo32_edit
2013-11-19 17:19 . 2013-11-19 20:42 -------- d-----w- c:\program files (x86)\locregsetup
2013-11-19 17:19 . 2013-11-19 20:41 -------- d-----w- c:\program files (x86)\signenulog
2013-11-19 17:19 . 2013-11-19 20:41 -------- d-----w- c:\program files (x86)\datelanglang
2013-11-19 17:19 . 2013-11-19 20:41 -------- d-----w- c:\program files (x86)\mini32
2013-11-19 17:19 . 2013-11-19 20:40 -------- d-----w- c:\program files (x86)\_endll32
2013-11-19 17:19 . 2013-11-19 20:40 -------- d-----w- c:\program files (x86)\verenuruw32
2013-11-19 17:19 . 2013-11-19 20:39 -------- d-----w- c:\program files (x86)\_32setupver
2013-11-19 17:19 . 2013-11-19 20:39 -------- d-----w- c:\program files (x86)\ververgw
2013-11-19 17:19 . 2013-11-19 20:39 -------- d-----w- c:\program files (x86)\msctl32
2013-11-19 17:18 . 2013-11-19 20:38 -------- d-----w- c:\program files (x86)\32_sysloc
2013-11-19 17:18 . 2013-11-19 20:38 -------- d-----w- c:\program files (x86)\comloc_64cert
2013-11-19 17:18 . 2013-11-19 20:37 -------- d-----w- c:\program files (x86)\_en_en64_ini
2013-11-19 17:18 . 2013-11-19 20:37 -------- d-----w- c:\program files (x86)\datejavalibdate
2013-11-19 17:18 . 2013-11-19 20:36 -------- d-----w- c:\program files (x86)\ms_64wow64
2013-11-19 17:18 . 2013-11-19 20:36 -------- d-----w- c:\program files (x86)\upjava
2013-11-19 17:18 . 2013-11-19 20:36 -------- d-----w- c:\program files (x86)\64_regctl
2013-11-19 17:18 . 2013-11-19 20:35 -------- d-----w- c:\program files (x86)\gwini
2013-11-19 13:48 . 2013-11-19 20:35 -------- d-----w- c:\program files (x86)\_enverctledit
2013-11-19 13:48 . 2013-11-19 20:34 -------- d-----w- c:\program files (x86)\appwowmsloc
2013-11-19 13:47 . 2013-11-19 20:34 -------- d-----w- c:\program files (x86)\_16ver
2013-11-19 13:47 . 2013-11-19 20:34 -------- d-----w- c:\program files (x86)\mslogsetup32
2013-11-19 13:47 . 2013-11-19 20:33 -------- d-----w- c:\program files (x86)\ctlw32dodo
2013-11-19 13:47 . 2013-11-19 20:33 -------- d-----w- c:\program files (x86)\_16mini
2013-11-19 13:47 . 2013-11-21 21:54 -------- d-----w- c:\program files (x86)\dllupcom
2013-11-19 13:47 . 2013-11-19 20:32 -------- d-----w- c:\program files (x86)\locru
2013-11-19 13:47 . 2013-11-19 20:32 -------- d-----w- c:\program files (x86)\sysjava
2013-11-19 13:47 . 2013-11-19 20:31 -------- d-----w- c:\program files (x86)\twain_64wowgcc
2013-11-19 13:47 . 2013-11-19 20:31 -------- d-----w- c:\program files (x86)\sxscertext
2013-11-19 13:46 . 2013-11-19 20:30 -------- d-----w- c:\program files (x86)\locenutwain
2013-11-19 13:46 . 2013-11-19 20:30 -------- d-----w- c:\program files (x86)\64log
2013-11-19 13:46 . 2013-11-19 20:30 -------- d-----w- c:\program files (x86)\rusxsver
2013-11-19 13:46 . 2013-11-19 20:29 -------- d-----w- c:\program files (x86)\iniup
2013-11-19 13:45 . 2013-11-19 20:29 -------- d-----w- c:\program files (x86)\dategcc
2013-11-19 13:45 . 2013-11-19 20:28 -------- d-----w- c:\program files (x86)\comsign_ru
2013-11-19 13:45 . 2013-11-19 20:28 -------- d-----w- c:\program files (x86)\_6432_reg
2013-11-19 13:45 . 2013-11-19 20:27 -------- d-----w- c:\program files (x86)\_32libcomjre
2013-11-19 13:45 . 2013-11-19 20:27 -------- d-----w- c:\program files (x86)\libjava
2013-11-19 13:45 . 2013-11-19 20:27 -------- d-----w- c:\program files (x86)\setuplang
2013-11-19 13:45 . 2013-11-19 20:26 -------- d-----w- c:\program files (x86)\certcert
2013-11-19 13:45 . 2013-11-19 20:26 -------- d-----w- c:\program files (x86)\twain_16jre
2013-11-19 13:44 . 2013-11-19 20:25 -------- d-----w- c:\program files (x86)\com_16do
2013-11-19 13:44 . 2013-11-19 20:25 -------- d-----w- c:\program files (x86)\msrujrever
2013-11-19 13:38 . 2013-11-22 11:14 -------- d-----w- c:\program files (x86)\ver32_
2013-11-19 13:37 . 2013-11-22 11:14 -------- d-----w- c:\program files (x86)\jre_rumini
2013-11-19 13:37 . 2013-11-19 20:25 -------- d-----w- c:\program files (x86)\cabsxsctl
2013-11-19 13:37 . 2013-11-19 20:24 -------- d-----w- c:\program files (x86)\_6464ctl
2013-11-19 13:37 . 2013-11-19 20:24 -------- d-----w- c:\program files (x86)\gw_32_32ms
2013-11-19 13:36 . 2013-11-19 20:23 -------- d-----w- c:\program files (x86)\32_cabdo64
2013-11-19 13:36 . 2013-11-19 20:23 -------- d-----w- c:\program files (x86)\certext32
2013-11-19 13:36 . 2013-11-19 20:23 -------- d-----w- c:\program files (x86)\wow6432
2013-11-19 13:36 . 2013-11-19 20:22 -------- d-----w- c:\program files (x86)\gccjava_en
2013-11-19 13:36 . 2013-11-19 20:22 -------- d-----w- c:\program files (x86)\_64reg
2013-11-19 13:35 . 2013-11-19 20:21 -------- d-----w- c:\program files (x86)\ver_enlang
2013-11-19 13:35 . 2013-11-19 20:21 -------- d-----w- c:\program files (x86)\_64inilangru
2013-11-19 13:35 . 2013-11-19 20:21 -------- d-----w- c:\program files (x86)\comsys
2013-11-19 13:35 . 2013-11-19 20:20 -------- d-----w- c:\program files (x86)\jre_16
2013-11-19 13:35 . 2013-11-19 20:20 -------- d-----w- c:\program files (x86)\installlocver
2013-11-19 13:35 . 2013-11-19 20:19 -------- d-----w- c:\program files (x86)\logsigntwain
2013-11-19 13:34 . 2013-11-19 20:19 -------- d-----w- c:\program files (x86)\_3232
2013-11-19 13:34 . 2013-11-19 20:19 -------- d-----w- c:\program files (x86)\verminiedit
2013-11-19 13:34 . 2013-11-19 20:18 -------- d-----w- c:\program files (x86)\gww32wow
2013-11-19 13:34 . 2013-11-19 20:17 -------- d-----w- c:\program files (x86)\upwowsxsdll
2013-11-19 13:34 . 2013-11-19 20:17 -------- d-----w- c:\program files (x86)\_16dlldllw32
2013-11-19 13:34 . 2013-11-19 20:16 -------- d-----w- c:\program files (x86)\twainsigncabinstall
2013-11-19 13:34 . 2013-11-19 20:16 -------- d-----w- c:\program files (x86)\verctl
2013-11-19 13:34 . 2013-11-19 20:16 -------- d-----w- c:\program files (x86)\64reg
2013-11-19 13:34 . 2013-11-19 20:15 -------- d-----w- c:\program files (x86)\verregwow64log
2013-11-19 13:33 . 2013-11-19 20:15 -------- d-----w- c:\program files (x86)\reg_en64
2013-11-19 13:33 . 2013-11-19 20:14 -------- d-----w- c:\program files (x86)\certapp_en
2013-11-19 13:33 . 2013-11-19 20:14 -------- d-----w- c:\program files (x86)\gccappwow64
2013-11-19 13:33 . 2013-11-19 20:14 -------- d-----w- c:\program files (x86)\_rusign_ru
2013-11-19 13:33 . 2013-11-19 20:13 -------- d-----w- c:\program files (x86)\rudll
2013-11-19 13:33 . 2013-11-19 20:13 -------- d-----w- c:\program files (x86)\regreg
2013-11-19 13:33 . 2013-11-19 20:12 -------- d-----w- c:\program files (x86)\rusetupmsgcc
2013-11-19 13:29 . 2013-11-22 11:14 -------- d-----w- c:\program files (x86)\langenumsenu
2013-11-19 13:28 . 2013-11-21 21:53 -------- d-----w- c:\program files (x86)\dllsxsminictl
2013-11-19 13:28 . 2013-11-22 11:14 -------- d-----w- c:\program files (x86)\sysw64regctl
2013-11-19 13:28 . 2013-11-21 21:53 -------- d-----w- c:\program files (x86)\appgcc
2013-11-19 13:27 . 2013-11-19 20:12 -------- d-----w- c:\program files (x86)\verdllext
2013-11-19 13:26 . 2013-11-19 20:11 -------- d-----w- c:\program files (x86)\jre_6432
2013-11-19 13:26 . 2013-11-19 20:11 -------- d-----w- c:\program files (x86)\com_16ms_16
2013-11-19 13:26 . 2013-11-19 20:11 -------- d-----w- c:\program files (x86)\langreg
2013-11-19 13:25 . 2013-11-19 20:10 -------- d-----w- c:\program files (x86)\_rudate
2013-11-19 13:25 . 2013-11-19 20:10 -------- d-----w- c:\program files (x86)\regupcab
2013-11-19 13:25 . 2013-11-19 20:09 -------- d-----w- c:\program files (x86)\64_dodll_64

Что в этих папках?

[Egorico]

большинство этих папок - пустые

[thyrex]

Пустые удалите, а информацию о содержимом других папок сообщите

[regist]

+
Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\logs\jhProtominer.exe');
 QuarantineFile('c:\logs\jhProtominer.exe','');
   QuarantineFileF('c:\logs\','*', true,'',0 ,0);
 DeleteFile('c:\logs\jhProtominer.exe');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

[Egorico]

все сделал, карантин выслал

- - - Добавлено - - -

- - - Добавлено - - -

все папкиудалил. в двух папках были файлы в формате .exe, их тоже удалил

[regist]

c:\logs - если в этой папке больше ничего не осталось, то её тоже удалите.

Что с проблемой?

[Egorico]

при включении компьютера вылазит ошибка "Windows Script Host" и в Мониторе Ресурсов ЦП загружен на 100% из-за процесса "svchost.exe"

[regist]

Сделайте полный образ автозапуска uVS