Помогите--Cuda ! [not-a-virus:RiskTool.Win32.BitCoinMiner.jtz, not-a-virus:RiskTool.Python.Miner.b ]

[AlliPir]

Здравствуйте. Вот засел у нас вирус на 2ух машинах-это одна из них. Периодически всё блокирует на компьютерах. Помогите одолеть. Ничего не помогает. Догружены файлы карантина.

[Info_bot]

Уважаемый(ая) AlliPir, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\cuda.exe','');
 QuarantineFile('C:\Windows\proxy.exe','');
 QuarantineFile('C:\PROGRA~2\COMMON~1\SpeedBit\SBUpdate\SBUpdate.exe','');
 QuarantineFile('C:\Users\Alisha.com\AppData\Roaming\ScreenfinityToolbar\ScreenfinityToolbar.dll','');
 QuarantineFile('C:\Users\Alisha.com\AppData\Roaming\Complitly\Complitly.dll','');
 DeleteFile('C:\Windows\proxy.exe','32');
 DeleteFile('C:\Windows\cuda.exe','32');
 DeleteFile('C:\Users\Alisha.com\AppData\Local\Opera\Opera\cache\sesn\opr22BQN.tmp','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[AlliPir]

Вот новые логи,файл карантина отправлен ещё раз

[thyrex]

Пофиксите в HiJack

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=39046&tid=161&bs=true&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=39046&tid=161&bs=true&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=39046&tid=161&bs=true&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.certified-toolbar.com?si=39046&tid=161&bs=true&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.certified-toolbar.com?si=39046&tid=161&bs=true&q=
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

Сделайте новый лог

Сделайте лог полного сканирования МВАМ

[AlliPir]

И новый лог

[regist]

Поместите в карантин МВАМ всё кроме

Код:

Malware.Gen, C:\Program Files\Adobe\Adobe After Effects CS5\Patch_for_adobe_Photoshop_cs5.exe, , [166f5e919cdf52e4976c90d80000d22e], 
Malware.Gen, C:\Program Files\Adobe\Adobe Photoshop CS5 (64 Bit)\Patch_for_adobe_Photoshop_cs5.exe, , [236249a6cead1620c63d5018946cf40c], 
PUP.RiskwareTool.CK, C:\Program Files\Adobe\Adobe Premiere Pro CS6\amtlib.dll, , [b7ceaa4597e465d19346ee50a65c8977], 
Trojan.Miner, C:\Windows\libcurl-4.dll, , [f3927c73cbb0c670464286ed8c769868], 
PUP.Keygen.Intro, E:\Progi\???ЛN? ?З?А????N??? ???????Е?? ?? ????N??АN?\FastStone_Capture_7.6_Final_Rus N? N??А?Б??N????? ??N?N???????\Keymaker-CORE\CORE10k.EXE, , [93f2e7082655280e3e92d2ea5ca87789], 
RiskWare.Tool.CK, E:\Progi\???ЛN? ?З?А????N??? ???????Е?? ?? ????N??АN?\rutor.org_FastStone Capture 7.6 Final (2013) ?*??  + Portable\keygen TEAM ViRiLiTY\keygen.exe, , [7a0bd01f582337ff064e2cdbbb4760a0], 
PUP.Optional.BabylonToolBar.A, E:\Progi\??N??А?????ЕN??А ?А???АN?N??АN???N?\Unlocker1.9.1-x64.exe, , [a9dc5a95ed8e261058cf8f9bc43d8f71], 
PUP.Riskware.Patcher, E:\Progi\?????????ЕN?N??А?ЛN???N??? ????????N?N??А?Л?Л?ЕN?\Revo.Uninstaller.Pro.3.0.8\Revo.Uninstaller.Pro.3.0.8\patch_XenoCoder\revo.uninstaller.pro.3.x.(x64)-patch.exe, , [d4b134bb99e271c505c4ea3408f9b54b], 
PUP.Riskware.Patcher, E:\Progi\?????????ЕN?N??А?ЛN???N??? ????????N?N??А?Л?Л?ЕN?\Revo.Uninstaller.Pro.3.0.8\Revo.Uninstaller.Pro.3.0.8\patch_XenoCoder\revo.uninstaller.pro.3.x.(x86)-patch.exe, , [92f30be4cead2412dbeecb533fc233cd], 
PUP.Riskware.Patcher, E:\Progi\Anime_Studio_Pro_10\SmithMicro Anime Studio Pro 10\Anime.Studio.Pro.10.0.Build.12127.Patch-MPT\anime.studio.pro.10.0.build.12127.(32-bit)-MPT.exe, , [770e905f8af14de93c8dcd51d42d25db], 
PUP.Riskware.Patcher, E:\Progi\Anime_Studio_Pro_10\SmithMicro Anime Studio Pro 10\Anime.Studio.Pro.10.0.Build.12127.Patch-MPT\anime.studio.pro.10.0.build.12127.(64-bit)-MPT.exe, , [d7ae0ee11d5eea4caf1ac45a758c9769], 
RiskWare.Tool.CK, E:\Progi\FOR WEB CAM\webcammax.7.6.4.2\keygen.exe, , [711442ad5823e94d7bd8f03ba062dd23], 
PUP.Hacktool.Patcher, E:\Progi\FOR WEB CAM\webcammax.7.6.4.2\patch.exe, , [256043acdaa12f07d2f9ad5841bf8878], 
PUP.Keygen.Intro, E:\Progi\Keymaker-CORE\CORE10k.EXE, , [cfb6f4fbee8d033316ba7844aa5afb05], 
Trojan.Agent.CK, Z:\MULTIKI W\???*??????????????\keygen.exe, , [ff86b738ea912214d0ecb9d1e61a3ac6], 
PUP.Riskware.Patcher, Z:\MULTIKI W\???*??????????????\Anime_Studio_Pro_10\SmithMicro Anime Studio Pro 10\Anime.Studio.Pro.10.0.Build.12127.Patch-MPT\anime.studio.pro.10.0.build.12127.(32-bit)-MPT.exe, , [4c39d01fb6c542f47e4bb56902ffe11f], 
PUP.Riskware.Patcher, Z:\MULTIKI W\???*??????????????\Anime_Studio_Pro_10\SmithMicro Anime Studio Pro 10\Anime.Studio.Pro.10.0.Build.12127.Patch-MPT\anime.studio.pro.10.0.build.12127.(64-bit)-MPT.exe, , [4a3b8c637b003df9a1280717e02122de], 
Trojan.Downloader, Z:\MULTIKI W\???*??????????????\paint_tool_sai_ver1.1.0\keygen.exe, , [e4a1f8f7611a9d99bd7d87dcb44c9967], 
RiskWare.Tool.CK, Z:\MULTIKI W\???*??????????????\TuneUp_Utilities_2011\TuneUp Utilities 2011\Keygen\keygen.exe, , [60255e913b40f640d27fd3589a6856aa], 
Trojan.ExploitDrop.BV, Z:\MULTIKI W\???*??????????????\???Л?????????ЛN?120_ 2.0.0.1331-N? ???ЛN?N?N???\Medicine.rar, , [4a3b1fd0a7d42b0bf22cdce2619fcc34], 
Trojan.ExploitDrop.BV, Z:\MULTIKI W\???*??????????????\???Л?????????ЛN?120_ 2.0.0.1331-N? ???ЛN?N?N???\AutoLoader_AxLaUn\AutoLoader_AxLaUn.exe, , [572ecb242d4e64d278a6c0fe9c64f40c], 
Trojan.Bumat, Z:\PHOTOSHOP\Photoshop plagins\AKVIS universal ReTrial\AKVIS_Retrial.exe, , [e3a28966ee8df93d4f5f25f6936f7090], 
Malware.Packer.Gen, Z:\PHOTOSHOP\??N?N? ?????????Е ???ЛN? N??????А\???ЛN? N???N???N?????\filtr for shop-2012\Vizros\KEYGEN.EXE, , [473ed11eed8ee94da88dca94f907ec14], 
PUP.Optional.OpenCandy, Z:\Progi\DAEMONToolsPro510-0333.exe, , [1273c42b205bc76f2e82cc6cfb0a6e92], 
RiskWare.Tool.CK, Z:\Progi\ACRONIS TRUE IMAGE  10.0.4942\KEYGENS\ACRONIS.PROD.KG.EXE, , [d6afaa454d2e2b0b2e1d8640fc05b24e], 
Malware.Gen, Z:\Progi\Adobe Creative Suite 5\1687_Patch_for_adobe\Patch_for_adobe_Photoshop_cs5.exe, , [097c19d627549f9721e23137966a51af], 
CrackTool.Agent, Z:\Progi\Adobe Creative Suite 5\ADOBE KEIGEN\adobe.cs5.products.activator.fixed-mpt.exe, , [a6dfc827512adf57a4c2fd3545bce917], 
Trojan.Agent.CK, Z:\Progi\Adobe Creative Suite 5\ADOBE KEIGEN\keygen.exe, , [1471a649bac12511d7e5c5c5649c13ed], 
Trojan.Agent.CK, Z:\Progi\Adobe Creative Suite 5\ADOBE KEIGEN\keygen_for_all_products_adobe_CS5.zip, , [e69f4ca3295203334f6da5e5d42caa56], 
Trojan.Agent.CK, Z:\Progi\Adobe Creative Suite 5\AdobeCreativeSuite5MasterCollection[Multi]\core_adobe_pp-cs5_keygen.exe, , [2f5669867b00b0860daf2565d62a32ce], 
PUP.RiskwareTool.CK, Z:\Progi\Adobe Premiere Pro CS6\Crack\amtlib.dll, , [8203faf5dba0ed4905d492ac887aac54], 
Backdoor.Bot, Z:\Progi\FOR Geims\Phoenix.exe, , [b6cf29c6c0bb7db994b90713f41143bd], 
Trojan.Agent, Z:\Progi\FOR Geims\Phx_data\Res\EmuCfg.exe, , [10751ad5106b85b165946cb039cc956b], 
Trojan.Agent, Z:\Progi\FOR Geims\Phx_data\Res\GCFMgr.exe, , [f19425ca1d5ea195d3263be1bf46669a], 
Backdoor.Bot, Z:\Progi\FOR Geims\Phx_data\Res\ss.exe, , [5530f2fd82f986b04706100ab253d828], 
PUP.Hacktool.Patcher, Z:\Progi\Hard Drive Inspector Pro\patch\hard.drive.inspector.3.xx-patch.exe, , [6a1b34bbef8c50e64b80c540e719c040], 
RiskWare.Tool.CK, Z:\Progi\Nero10\keymaker.exe, , [daabd817295281b56aaf75ad45c0e818], 
RiskWare.Tool.CK, Z:\Progi\RealPlayer.12.0.0.301\activator.exe, , [b3d2ac43a9d248eed37b2451c43cb947], 
Backdoor.RBot, Z:\Progi\rsload.net.AIDA64.Extreme.Edition.v2.50.2000.Final.keygen-CHiLi\rsload.net.AIDA64.Extreme.Edition.v2.50.2000.Final.keygen-CHiLi\keygen\Keymaker-ZWT.rar, , [562f3ab524577abcdcc922f9d431936d], 
RiskWare.Tool.HCK, Z:\Progi\rsload.net.AIDA64.Extreme.Edition.v2.50.2000.Final.keygen-CHiLi\rsload.net.AIDA64.Extreme.Edition.v2.50.2000.Final.keygen-CHiLi\keygen\1\chili-keygen.exe, , [e0a5559a4f2c41f59049d8530cf6db25], 
Hacktool.Agent, Z:\Progi\Windows&Components\64\Windows-7_64Ultimate-SP1\Activation\Windows 7 Loader v1.9 (Daz)\Windows Loader.exe, , [a7de05ea611ace682943510b7b863cc4], 
RiskWare.Tool.CK, Z:\Progi\Windows&Components\64\Windows-7_64Ultimate-SP1\WPI-64\Windows 7 Manager 2.0.0 Final\keygen.exe, , [8104ba355f1c75c182f2e043f312e917], 
PUP.RiskwareTool.CK, Z:\Progi\WinRARv4.1\Keygen.exe, , [f98c6788aad17db9163bb052936f4eb2], 
Trojan.ExploitDrop.BV, Z:\Progi\???Л?????????ЛN?120_ 2.0.0.1331-N? ???ЛN?N?N???\Medicine.rar, , [7f061fd0fc7f7abcb46a615d7c84a957], 
Trojan.ExploitDrop.BV, Z:\Progi\???Л?????????ЛN?120_ 2.0.0.1331-N? ???ЛN?N?N???\AutoLoader_AxLaUn\AutoLoader_AxLaUn.exe, , [0f76f9f672099b9b938b447ae51ba65a], 
Backdoor.RBot, Z:\Progi\snagit\keygen.exe, , [582df3fc6c0f43f35b4a44d79d689a66], 
RiskWare.Tool.CK, Z:\Progi\TuneUp_Utilities_2011\TuneUp Utilities 2011\Keygen\keygen.exe, , [a0e53db27605ff37b39e48e318ea34cc], 
RiskWare.Tool.CK, Z:\Progi\UltraISO\keygen.exe, , [ef965e91bdbe69cd232805c1659c8e72], 
PUP.Riskware.Patcher, Z:\The program\Others\Revo.Uninstaller.Pro.3.0.8\Revo.Uninstaller.Pro.3.0.8\patch_XenoCoder\revo.uninstaller.pro.3.x.(x64)-patch.exe, , [96ef2fc03744a88efecb43dbae5331cf], 
PUP.Riskware.Patcher, Z:\The program\Others\Revo.Uninstaller.Pro.3.0.8\Revo.Uninstaller.Pro.3.0.8\patch_XenoCoder\revo.uninstaller.pro.3.x.(x86)-patch.exe, , [087d549ba2d989adf1d8b16d6b9635cb], 
PUP.Keygen.Intro, Z:\torento\rutor.org_Aurora 3D Animation Maker 13.01121742 (2013) PC\Crack\CORE10k.EXE, , [bfc6f8f71c5f89ad02cea01c91736b95], 
RiskWare.Tool.CK, Z:\torento\rutor.org_FastStone Capture 7.6 Final (2013) ?*??  + Portable\keygen TEAM ViRiLiTY\keygen.exe, , [85001ed186f5bb7b73e15ea9976be31d],

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

сделайте новый лог MBAM

[AlliPir]

Вот что получилось

[regist]

1) Деинсталируйте MBAM

2) - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.


3) Что с проблемой?

[AlliPir]

1 действие +
2 действие +
3 Пока тьфу-тьфу вроде нормально, но тут ещё 2я машина(ребёнка)-там такая же история, или почти такая. Завтра на ней надо выполнить 1 шаг?

[regist]

но тут ещё 2я машина(ребёнка)-там такая же история, или почти такая. Завтра на ней надо выполнить 1 шаг?

по ней создайте отдельную тему выполнив правила запроса о помощи.


Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

[AlliPir]

Спасибо -thyrex,Спасибо -regist.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\cuda.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.jtz ( DrWEB: Tool.BtcMine.243, AVAST4: Win32:Malware-gen )
  2. c:\windows\proxy.exe - not-a-virus:RiskTool.Python.Miner.b ( DrWEB: Tool.BtcMine.292 )