процесс localservice.exe грузит ЦП на 100% [not-a-virus:RiskTool.Win32.BitCoinMiner.lrc ]

[GODolubOFF]

Вся проблема в общем то описана в заголовке темы.
localservice.exe грузит ЦП на 100%.
Винду только вчера поставил. Проверил в безопасном режиме утилитой CureIt, утилита нашла 1 объект и вылечила его, но проблема не исчезла. Процесс так и висит если загружать винду в обычном режиме.
У меня 64 битная винда, так что п.1 раздела "диагностика" я не выполнял следуя указаниям в инструкции, поэтому логов всего два.

[Info_bot]

Уважаемый(ая) GODolubOFF, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Здравствуйте!

Закройте все программы

Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('C:\Users\fantastic\AppData\Local\def64\localservice.exe');
 QuarantineFile('C:\Users\fantastic\AppData\Local\localupdt.exe','');
 QuarantineFile('C:\Users\fantastic\AppData\Local\def64\localservice.exe','');
 DeleteFile('C:\Users\fantastic\AppData\Local\def64\localservice.exe','32');
 DeleteFile('C:\Users\fantastic\AppData\Local\localupdt.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Local Update');
 DeleteFileMask('C:\Users\fantastic\AppData\Local\def64', '*', true, ' ');
 DeleteDirectory('C:\Users\fantastic\AppData\Local\def64');    
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код:

O4 - HKCU\..\Run: [Local Update] C:\Users\fantastic\AppData\Local\localupdt.exe

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[GODolubOFF]

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Версия базы данных: v2014.02.26.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16518
fantastic :: FANTASTIC-ПК [администратор]

27.02.2014 0:55:15
MBAM-log-2014-02-27 (01-35-24).txt

Тип сканирования: Полное сканирование (C:\|D:\|)
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 435387
Времени прошло: 38 минут , 51 секунд

Обнаруженные процессы в памяти: 1
C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> 1864 -> Действие не было предпринято.

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 9
C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files (x86)\Microsoft Office\activator.exe (PUP.Hacktool) -> Действие не было предпринято.
C:\Users\fantastic\AppData\Local\def32\libcurl-4.dll (Trojan.Miner) -> Действие не было предпринято.
C:\Users\fantastic\AppData\Local\def32\localservic e.exe (PUP.BitCoinMiner) -> Действие не было предпринято.
C:\Users\fantastic\Desktop\skype-.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\fantastic\Downloads\everest-home-2.20 (1).exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\fantastic\Downloads\everest-home-2.20.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Windows\System32\CPLDAPU\ProduKey.exe (PUP.PSWTool.ProductKey) -> Действие не было предпринято.
D:\avz4\Quarantine\2014-02-27\avz00002.dta (Riskware.BitcoinMiner) -> Действие не было предпринято.

(конец)

[mike 1]

Закройте все программы

Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\fantastic\AppData\Local\def32\libcurl-4.dll','');
 QuarantineFile('C:\Users\fantastic\AppData\Local\def32\localservice.exe','');
 DeleteFile('C:\Users\fantastic\AppData\Local\def32\libcurl-4.dll','32');
 DeleteFile('C:\Users\fantastic\AppData\Local\def32\localservice.exe','32');
 DeleteFileMask('C:\Users\fantastic\AppData\Local\def32', '*', true, ' ');
 DeleteDirectory('C:\Users\fantastic\AppData\Local\def32');   
 BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;   
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новый лог MBAM.

[GODolubOFF]

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Версия базы данных: v2014.02.26.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16518
fantastic :: FANTASTIC-ПК [администратор]

27.02.2014 19:39:47
MBAM-log-2014-02-27 (20-24-12).txt

Тип сканирования: Полное сканирование (C:\|)
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 409923
Времени прошло: 41 минут , 35 секунд

Обнаруженные процессы в памяти: 1
C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> 1904 -> Действие не было предпринято.

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 6
C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files (x86)\Microsoft Office\activator.exe (PUP.Hacktool) -> Действие не было предпринято.
C:\Users\fantastic\Desktop\skype-.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\fantastic\Downloads\everest-home-2.20 (1).exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\fantastic\Downloads\everest-home-2.20.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Windows\System32\CPLDAPU\ProduKey.exe (PUP.PSWTool.ProductKey) -> Действие не было предпринято.

(конец)

[mike 1]

Что с проблемой?

[GODolubOFF]

Ну процесса этого больше нет.
Если вас в логах ничего не пугает, то тогда спасибо вам за помощь и хороших трудовых и выходных дней)

[mike 1]

По последним отчетам плохого не видно.

Деинсталлируйте MBAM.

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

[GODolubOFF]

Результат проверки:

Security Check by glax24 version 0.2.4.60 rc1
WebSite: www.safezone.cc
DateLog: 28.02.2014 23:34:06
Run directory: C:\Users\fantastic\AppData\Local\Temp\SecurityChec k\
Log directory: C:\SecurityCheck\
IsAdmin: True
FileVersionInet: 7.0
__________________________________________________

Windows 7 (6.1.7601) Service Pack 1 (x64) Professional Lang: Russian(0419)
Дата установки ОС: 24.02.2014 12:57:15
Статус лицензии: Windows(R) 7, Professional edition Постоянная активация прошла успешно.
Системный диск: C:\ ФС: NTFS Емкость: [244 Гб] Занято: [87.2 Гб] Свободно: [156.8 Гб]
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
-------------Windows------------------------------
Internet Explorer 11.0.9600.16518 [+]
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2014-02-28 09:32:01
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Windows Defender
-------------OtherUtilities-----------------------
Foxit Reader 6.1.2.1224 v.v 6.1.2.1224 [+]
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------Java---------------------------------
Java 7 Update 51 v.7.0.510
Java Auto Updater v.2.1.9.8
-------------AdobeProduction----------------------
Adobe Flash Player 12 ActiveX & Plugin 64-bit v.12.0.0.38 Внимание! Скачать обновления - Скачать обновления
^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^
Adobe Shockwave Player + Authorware Web Player v.v12.0.7.148 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.33.0.1750.117
Opera Stable 19.0.1326.63 v.19.0.1326.63
-------------RunningProcess-----------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.33.0.1750.117
-------------EndLog-------------------------------

[regist]

Включите UAC

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен

и обязательно обновите Flash Player

Adobe Flash Player 12 ActiveX & Plugin 64-bit v.12.0.0.38 Внимание! Скачать обновления - Скачать обновления
^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^
Adobe Shockwave Player + Authorware Web Player v.v12.0.7.148 Внимание! Скачать обновления

+ Советы и рекомендации после лечения компьютера

[GODolubOFF]

Включил и флэш плеер обновил.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\fantastic\appdata\local\def32\localservic e.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.lrc ( DrWEB: Tool.BtcMine.130, BitDefender: Application.BitCoinMiner.BK )
  2. c:\users\fantastic\appdata\local\def64\localservic e.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.a ( DrWEB: Tool.BtcMine.130, BitDefender: Application.BitCoinMiner.BM )