CoinMiner

@Apparat_UA · Регистрация: 06.01.2015

Author24 — интернет-сервис помощи студентам

Здравствуйте! Возникла следующая проблема: подцепил непонятно-как вирус CoinMiner, хотя в последнее время никаких ПО не качал, на левых сайтах не лазил(не имею представление через что он проник). У меня стоит Windows 8.1 и кроме стандартного защитника виндовс никаких антивирусов нету. С недавних пор при запуске практически любого приложения защитник виндовс сообщает о том, что заблокировал вирус. И так при каждом запуске практически всех программ он выводит сообщение о блокировке вируса, сама программа конечно запускается, но параллельно с ней пытается запуститься вирус. В журнале блокировок защитника пишет о неком CoinMiner. Включил в защитнике полную проверку, проверка ничего не выявила, при запуске программ защитник выдает все те же сообщение о блокировке. Прошу вашей помощи!

@Sandor · 10.11.2015, 22:36

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Apparat_UA. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Max\AppData\Roaming\Guitar Pro 6\Reversed\steam.exe', '');
 QuarantineFile('C:\Users\Max\AppData\Local\Temp\svchost.exe', '');
 QuarantineFile('C:\Users\Max\appdata\local\temp\onion.exe', '');
 QuarantineFile('C:\Windows\system32\msys1.dll','');
 ExecuteFile('schtasks.exe', '/delete /TN "Steam-S-1-8-22-9865GUI" /F', 0, 15000, true);
 DeleteFile('C:\Windows\system32\msys1.dll','32');
 DeleteFile('C:\Users\Max\AppData\Roaming\Guitar Pro 6\Reversed\steam.exe', '32');
 DeleteFile('C:\Users\Max\AppData\Local\Temp\svchost.exe', '32');
 DeleteFile('C:\Users\Max\appdata\local\temp\onion.exe', '32');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
К сообщению прикреплять карантин не нужно!
Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

@Apparat_UA · 10.11.2015, 23:40 **[ТС]**

1. Скрипт выполнил
2. Файл отправил
3. Новые логи прикрепил

@Sandor · 11.11.2015, 09:22

Порядок.
Проверим, как Вы выполнили предыдущие рекомендации:

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Apparat_UA · 11.11.2015, 10:13 **[ТС]**

Вот

@Sandor · 11.11.2015, 10:15

--------------------------------- [ IM ] ----------------------------------
Skype™ 7.12 v.7.12.101 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.5.41202 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 60 (64-bit) v.8.0.600.27 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u66-windows-x64.exe)^
Java SE Development Kit 8 Update 45 (64-bit) v.8.0.450.14 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u66-windows-x64.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.1.0.4990 Внимание! Скачать обновления

Еще раз прочтите и выполните Рекомендации после удаления вредоносного ПО

@Sandor 21983 / 15763 / 3046 Регистрация: 08.10.2012 Сообщений: 64,076
	10.11.2015, 22:36	2
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя Apparat_UA. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\Max\AppData\Roaming\Guitar Pro 6\Reversed\steam.exe', ''); QuarantineFile('C:\Users\Max\AppData\Local\Temp\svchost.exe', ''); QuarantineFile('C:\Users\Max\appdata\local\temp\onion.exe', ''); QuarantineFile('C:\Windows\system32\msys1.dll',''); ExecuteFile('schtasks.exe', '/delete /TN "Steam-S-1-8-22-9865GUI" /F', 0, 15000, true); DeleteFile('C:\Windows\system32\msys1.dll','32'); DeleteFile('C:\Users\Max\AppData\Roaming\Guitar Pro 6\Reversed\steam.exe', '32'); DeleteFile('C:\Users\Max\AppData\Local\Temp\svchost.exe', '32'); DeleteFile('C:\Users\Max\appdata\local\temp\onion.exe', '32'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы. К сообщению прикреплять карантин не нужно! Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". 1

@Sandor 21983 / 15763 / 3046 Регистрация: 08.10.2012 Сообщений: 64,076
	11.11.2015, 09:22	4
	Порядок. Проверим, как Вы выполнили предыдущие рекомендации: Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 1

@Sandor 21983 / 15763 / 3046 Регистрация: 08.10.2012 Сообщений: 64,076
	11.11.2015, 10:15	6
	--------------------------------- [ IM ] ---------------------------------- Skype™ 7.12 v.7.12.101 Внимание! Скачать обновления *^Необязательное обновление.^* --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.5.41202 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 60 (64-bit) v.8.0.600.27 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u66-windows-x64.exe)^ Java SE Development Kit 8 Update 45 (64-bit) v.8.0.450.14 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jdk-8u66-windows-x64.exe)^ --------------------------- [ AdobeProduction ] --------------------------- Adobe AIR v.1.0.4990 Внимание! Скачать обновления Еще раз прочтите и выполните Рекомендации после удаления вредоносного ПО 1

Опции темы