Не могу найти Троян bitcoinmainer. Файлы после удаления восстанавливаются, видеокарта в 100% нагрузке!
Не могу найти Троян bitcoinmainer. Файлы после удаления восстанавливаются, видеокарта в 100% нагрузке!
Уважаемый(ая) Павлюк Владислав, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
Закройте все программы
Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; TerminateProcessByName('g:\temp\svchost.exe'); TerminateProcessByName('g:\temp\openvg.exe'); TerminateProcessByName('g:\temp\onion.exe'); QuarantineFileF('g:\TEMP', '*', true, ' ', 0, 0); QuarantineFileF('C:\PROGRA~2\QtOpenGL', '*', true, ' ', 0, 0); QuarantineFile('g:\TEMP\zlib1.dll',''); QuarantineFile('g:\TEMP\SSLEAY32.dll',''); QuarantineFile('g:\TEMP\LIBEAY32.dll',''); QuarantineFile('C:\PROGRA~2\QtOpenGL\gal_st2.dll',''); QuarantineFile('g:\TEMP\libcurl-4.dll',''); QuarantineFile('g:\temp\svchost.exe',''); QuarantineFile('g:\temp\openvg.exe',''); QuarantineFile('g:\temp\onion.exe',''); DeleteFile('g:\temp\onion.exe','32'); DeleteFile('g:\temp\openvg.exe','32'); DeleteFile('g:\temp\svchost.exe','32'); DeleteFile('g:\TEMP\libcurl-4.dll','32'); DeleteFile('C:\PROGRA~2\QtOpenGL\gal_st2.dll','32'); DeleteFile('g:\TEMP\LIBEAY32.dll','32'); DeleteFile('g:\TEMP\SSLEAY32.dll','32'); DeleteFile('g:\TEMP\zlib1.dll','32'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); DeleteFileMask('g:\TEMP', '*', true, ' '); DeleteFileMask('C:\PROGRA~2\QtOpenGL', '*', true, ' '); DeleteDirectory('C:\PROGRA~2\QtOpenGL'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.Код:R3 - URLSearchHook: (no name) - {8dec4b69-27c4-405d-a37d-8d45c83f66ab} - (no file) O2 - BHO: AMD SteadyVideo BHO - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - (no file) O20 - AppInit_DLLs: C:\PROGRA~2\QtOpenGL\gal_st2.dll
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txtКод:%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
МБАМ нашла много подозрительных файлов. Что делать дальше? Проблема с видеокартой решена в простое с подключенным интернетом нагрузка 0%. Вопрос: Установка бесплатного антивируса может устранить ранее описанные проблемы? Есть только мобильный интернет могут быть проблемы с обновлением баз.
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.Код:Обнаруженные ключи в реестре: 1 HKCR\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1} (PUP.Optional.Conduit) -> Действие не было предпринято. Объекты реестра обнаружены: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Действие не было предпринято. Обнаруженные файлы: C:\Program Files (x86)\Conduit\Community Alerts\Alert.dll (PUP.Optional.Conduit) -> Действие не было предпринято. C:\Users\Администратор\AppData\Roaming\Auslogics\Rescue\Boost Speed\140217034214132.rsc (PUP.Optional.Cgminer) -> Действие не было предпринято. C:\Users\Администратор\AppData\Roaming\Auslogics\Rescue\Boost Speed\140217034441769.rsc (PUP.Optional.Cgminer) -> Действие не было предпринято. C:\Users\Администратор\AppData\Roaming\Auslogics\Rescue\Boost Speed\140217034503449.rsc (PUP.Optional.Cgminer) -> Действие не было предпринято. C:\Users\Администратор\AppData\Roaming\Auslogics\Rescue\Boost Speed\140225011018996.rsc (PUP.Optional.Cgminer) -> Действие не было предпринято. E:\System Volume Information\_restore{FCB0CF79-5D24-4B4A-857D-E00898D0ABF1}\RP121\A0023920.exe (Worm.Magania) -> Действие не было предпринято.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Удалил выше указанные файлы. Провел полное сканирование MBAM,вот лог.
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Не до читал.
Что с проблемой?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Все отлично работает, в диспетчере задач левых процессов не заметил, будут возможность отблагодарить не обижу.
- Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
- Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
- Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Вот лог
Устраняйте уязвимости
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
Автоматическое обновление отключено
Java 7 Update 13 (64-bit) v.7.0.130 Внимание! Скачать обновления
^Скачайте jre-7u51-windows-x64.exe^
Adobe Flash Player 11 ActiveX v.11.5.502.146 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.5.502.146 Внимание! Скачать обновления
Adobe Reader XI - Russian v.11.0.00 Внимание! Скачать обновления
Mozilla Firefox 18.0 (x86 ru) v.18.0 Внимание! Скачать обновления
+
Советы и рекомендации после лечения компьютера
MBAM деинсталлируйте.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 21
- В ходе лечения обнаружены вредоносные программы:
- c:\progra~2\qtopengl\gal_st2.dll - Trojan.Win32.BitMiner.fz ( DrWEB: Trojan.Starter.2926, BitDefender: Trojan.GenericKD.1510349, AVAST4: Win32:BitCoinMiner-FI [Trj] )
- g:\temp\onion.exe - not-a-virus:NetTool.Win32.Tor.d ( DrWEB: Tool.Tor.1 )
- g:\temp\svchost.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.lkl ( DrWEB: Tool.BtcMine.150 )
Уважаемый(ая) Павлюк Владислав, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.