Подцепил вчера вирусы, после чистки пк обнаружил вирус, который уже как полгода в системе rthdcpl.exe (майнер) [not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.gen
]
Подцепил вчера вирусы, после чистки пк обнаружил вирус, который уже как полгода в системе rthdcpl.exe (майнер) [not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.gen
]
В общем вчера загружая один файл (с выкл антивирусами, т.к хотел починить одну проблему на пк связанную с вечным обновлением win7)
Установилась куча мусора (амиого, всякие браузеры, и прочие программы, штук 20)
Из-за этого https://www.virustotal.com/ru/file/4...is/1472955772/
Но сегодня обнаружил еще и вот это https://www.virustotal.com/ru/file/9...is/1472975138/
По пути
C\AppData\Local\Microsoft Games\Realtek HD
И оказывается, что он реально работал уже как пол года, т.е грузил проц на 20-40%, но ни одна из моих антивирусных программ это не замечала...
В общем почистил обычными средствами результат первого вируса, вроде бы теперь ничего опасного не находит, но этот ЛжеРеалтек все еще работает и в системе. К тому же появился странный файл который обновляется ежесекундно PerfStringBackup.TMP в system32. Его как вирус не определяет, но раньше его не было (до вируса).
Последний раз редактировалось Erik Eriksson; 04.09.2016 в 14:19.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Erik Eriksson, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Скачайте AdwCleaner и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
но при выполнении этого скрипты ( 8 ) поместило в карантин обычные файлы такие как драйвера мышки, и что-то еще, пыталось поместить хром, в общем она точно работает объективно?
- - - - -Добавлено - - - - -
Сделал все что вы сказали. Последние 4 вложения в 1 посте НОВЫЕ.
- - - - -Добавлено - - - - -
Хм, после перезагрузки все равно майнер (реалтек) в процессах и грузит проц на 20-40%. Так я его еще не удалил вашими тестами или пытался но не получилось?
Последний раз редактировалось Erik Eriksson; 04.09.2016 в 14:02.
Кстати, этот процесс майнера (лжереалтека) имеет подключение к сайту hren.egorovich.zomro.com vs.png
Это не опасно? Может он прямо сейчас ворует мои пароли, или перехватывает куки? И как такое может не детектить ни Каспер ни Малвербайтс?
Я не буду удалять AceStream т.к я постоянно смотрю трансляции с помощью него. Пользуюсь больше 2 лет и все было норм. Он всегда вызывал подозрения, но не более. Вы разве не знакомы с подобной программой?
upd.
Все же удалил случайно, ну да ладно, после лечения всех вирусов снова поставлю. А как же Майнер? Мы его будем лечить? Он все еще запускается и грузит ЦП.
Пользуюсь больше 2 лет и все было норм. Он всегда вызывал подозрения, но не более. Вы разве не знакомы с подобной программой?
скорее вы с ней не знакомы почитайте хотя бы тут https://forum.kaspersky.com/index.ph...c=306365&st=40
На сайтах, где вообще нет никакой рекламы выводила громадные банеры с голыми бабами и это уже из личной проверки.
- - - - -Добавлено - - - - -
Сообщение от regist
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.Прикрепите отчет к своему следующему сообщению
AdwCleaner[S1].txt ОН. Просто он второй поэтому 1 вместо 0. Повторюсь, как движок просмотра пиринг видео он отлично работает. Никаких вмешательств нет (если имеется в виду расширения для браузера). В общем я доверяю ему.
Почему-то AdwCleanerом находит 3 проблемы (2 в файефоксе и 1 в опере, затем я очищаю, пк ребутается, затем я опять сканирую и снова эти же проблемы обнаруживаются сканированием AdwCl...)
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: