Не могу избавиться от майнера m1.exe

**Alien_Lord** · 28.06.2014, 13:10

Здравствуйте. Есть процесс m1.exe который грузит процессор на 100%. При открытии диспетчера задач он пропадает. При закрытии диспетчера - появляется вновь. Я мерю температуру с помощью aida64 и вижу как разогревается процессор при закрытом диспетчере. Приходится держать его закрытым или свёрнутым чтобы на компьютере можно было что-то делать.

Антивирус microsoft security essentials вируса или трояна не находит. Очень прошу помощи!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 28.06.2014, 13:11

Уважаемый(ая) Alien_Lord, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**regist** · 28.06.2014, 13:56

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFile('D:\TEMP\start.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 ExecuteWizard('TSW',2,2,true);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Сделайте полный образ автозапуска uVS только программу скачайте отсюда

**Alien_Lord** · 28.06.2014, 17:21

quarantine.zip отправил.

Прикрепляю также образ автозапуска. В окне uVS увидел все эти dcore.exe и m1.exe...

- - - Добавлено - - -

Да, ещё стал я замечать что Google Chrome стал гораздо тормознутее. При открытии новой пустой вкладки происходит небольшой лаг. И при переходе на любую ссылку тоже. Работать стало очень неприятно. Можно ли решить эту проблему в этой же теме, или надо создать новую?

**regist** · 28.06.2014, 17:39

Выполните скрипт в uVS и пришлите карантин

Код:

;uVS v3.82.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

dirzooex D:\TEMP\Q2JZRMQ3.IQT
delall D:\TEMP\Q2JZRMQ3.IQT\X64\M1.EXE
delall D:\TEMP\Q2JZRMQ3.IQT\X64\C1.EXE
deldir D:\TEMP\Q2JZRMQ3.IQT\X64
zoo D:\TEMP\START.EXE
czoo
restart

сделайте новый лог uVS

PS. папка D:\TEMP\ вам знакома?

**Alien_Lord** · 28.06.2014, 21:03

Закачал карантин. Лог в uVS пока делается.

Папка D:\TEMP\ мне плохо знакома. Сейчас она занимает 11 гигабайт. Я могу отчистить из неё всё? Или всё удалять не надо? Она, я так понимаю, связана с Google Chrome'ом? Я, к сожалению, не знаю его особенностей...

(Да, на всякий случай. Процесс пока не исчез. Компьютер перегревается если закрыть диспетчер устройств.)

- - - Добавлено - - -

Лог я сделал, весит он чуть более 500 кб. Не могу прикрепить к сообщению. В "управлении вложениями" 665,5 из 976,6 килобайт использовано. При попытке загрузить - выдаёт такое сообщение.

**regist** · 28.06.2014, 21:26

Сообщение от Alien_Lord

Лог я сделал, весит он чуть более 500 кб. Не могу прикрепить к сообщению.

загрузите сюда http://rghost.ru/ и дайте ссылку на скачивание.

Сообщение от Alien_Lord

Папка D:\TEMP\ мне плохо знакома. Сейчас она занимает 11 гигабайт. Я могу отчистить из неё всё? Или всё удалять не надо? Она, я так понимаю, связана с Google Chrome'ом? Я, к сожалению, не знаю его особенностей...

можно ли её удалять решать вам. Если вы сами её не создавала, ничего в неё не копировали и не устанавливали, то можете удалять. К Хрому она точно никакого отношения не имеет. Если сомневаетесь, то можете забекапить папку в архив и потом удалить.

- - - Добавлено - - -

+ Выполните скрипт в uVS

Код:

;uVS v3.82.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

dirzooex D:\TEMP\
czoo

сколько новый архив с карантином места занимает?

**Alien_Lord** · 28.06.2014, 22:55

http://rghost.ru/56628360 - это лог uVS до последнего присланного вами скрипта. Сейчас удалю папку Темп и выполню скрипт.

- - - Добавлено - - -

Загрузил карантин. Он весит 22 килобайта.

- - - Добавлено - - -

Попробовал удалить всё из папки ТЕМП. Удалил всё кроме пяти файлов и папки NVIDIA Corporation которые не удаляются.

Ещё раз сделал полный образ автозапуска в uVS.
http://rghost.ru/56628816

Вижу в окне uVS что процесс start.exe из папки D:\TEMP\ Но этого файла в папке я не вижу.

Но важно что процессор перестал перегружаться! Больше нет загруженного на 100 процентов процессора!
Видимо никому биткоины я больше не считаю.

- - - Добавлено - - -

Да, кажется D:\TEMP\ - это мною созданное хранилище для кеша гугл хрома, которое я сделал не на диске С, так как диск С у меня на SSD. А меня убедили что ввиду ограниченного числа перезаписи на SSD и очень шустрого использования Гугл Хромом жёского диска, кеш необходимо с SSD убрать. Чтобы продлить ему жизнь.

**regist** · 28.06.2014, 23:41

Сообщение от Alien_Lord

Вижу в окне uVS что процесс start.exe из папки D:\TEMP\ Но этого файла в папке я не вижу.

вы его похоже удалили

, дочистим следы за ним

Код:

;uVS v3.82.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delref D:\TEMP\START.EXE
restart

проблема как понимаю решена?

**Alien_Lord** · 29.06.2014, 01:29

Да, большое спасибо! Процессор больше не перегружен!
Не знаю как вас благодарить! )

лог из uVS:
http://rghost.ru/56631082

Сейчас столкнулся с проблемой в гугл хрома, которой раньше не видел. Небольшая задержка у него перед открытием любых ссылок. Не осуждалась ли на вашем форуме такая проблема?

Но главная проблема решена. Большое вам спасибо!

**regist** · 29.06.2014, 02:17

Сообщение от Alien_Lord

Сейчас столкнулся с проблемой в гугл хрома, которой раньше не видел. Небольшая задержка у него перед открытием любых ссылок.

попробуйте переустановить с удалением профиля.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

**Alien_Lord** · 29.06.2014, 23:21

Скрипт выполнился без проблем. Уязвимостей не выявил. Большое вам спасибо! Очень помогли.

**CyberHelper** · 29.06.2014, 23:31

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 4
В ходе лечения вредоносные программы в карантинах не обнаружены

Не могу избавиться от майнера m1.exe (заявка № 162187)

Опции темы

Не могу избавиться от майнера m1.exe

Итог лечения

Похожие темы

Не могу избавиться от 66.exe!

не могу избавиться 2

не могу избавиться

не могу избавиться

Не могу избавиться от пинчей

Метки для этой темы

Ваши права в разделе