Технический форум

Технический форум (http://www.tehnari.ru/)
-   Безопасность (http://www.tehnari.ru/f35/)
-   -   Помогите удалить вирус PUP.Optional.MailRu (http://www.tehnari.ru/f35/t254404/)

Иван_81 24.06.2017 18:52

Помогите удалить вирус PUP.Optional.MailRu
 
Здравствуйте. Заметил что что-то постоянно грузит ЦП, даже в режиме простоя. При проверке Malwarebutes нашел 9 вирусов, удалил, но после перезагрузки и повторной проверке 1 из них (PUP.Optional.MailRu) снова в наличии. ЦП нагружен по прежнему. Пожалуйста, помогите избавиться от этой заразы.

Vladimir_S 24.06.2017 19:01

Цитата:

Сообщение от Иван_81 (Сообщение 2497618)
Пожалуйста, помогите избавиться от этой заразы.

Пока не выполнено в полном объёме это - разговор пустой.

Иван_81 24.06.2017 19:27

Вложений: 1
пожалуйста

safety 25.06.2017 05:13

майнер все еще активен, потому и грузит ЦП

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:


;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\PROGRAMDATA\SYSTEM32\TASKMRG.EXE
addsgn BA6F9BB2BD1972720B9C2D754C2108FBDA75303A4536D3B4490FA3DA5FC9F54C2317C357766E9010B08284EA575E883B6DB91FB3AA25C52EDEB4ECEE0E16CB9E 8 VBS/CoinMiner.EC [ESET-NOD32] 7

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\123

delref %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\TEMP\E_S2A9E.TMP
del %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\TEMP\E_S2A9E.TMP
apply

deltmp
delref %SystemDrive%\USERS\PHENOM\DESKTOP\DRIVER\INSTALL_DRIVER.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0563DB41-F538-4B37-A92D-4659049B7766}\[CLSID]
delref %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6381.0405\AMD64\FILESYNCSHELL64.DLL
delref %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6381.0405\FILESYNCSHELL.DLL
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MEDIATEK\DRIVER PACKAGE\DRIVERINSTALL
delref %SystemDrive%\PROGRAM FILES\MEDIATEK\SP DRIVER\SPDRIVERINSTALL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\HARD DISK SENTINEL\HDSENTINEL.EXE
delref %Sys32%\AUTOWORKPLACE.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE15\OLICENSEHEARTBEAT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MSI AFTERBURNER\MSIAFTERBURNER.EXE
delref %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\TEMPORARY INTERNET FILES\ISSCH\ISSCH.EXE
delref %SystemDrive%\PROGRAMDATA\KMSAUTOS\KMSAUTO NET.EXE
delref %SystemDrive%\USERS\PHENOM\APPDATA\ROAMING\FREEVPN\FREEVPN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\PLAYCLAW3\PLAYCLAW3.EXE
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES (X86)\TRANSCEND\SSD SCOPE\WINRING0X64.SYS
delref %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6381.0405\FILECOAUTH.EXE
delref %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6381.0405\AMD64\FILESYNCAPI64.DLL
delref %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\MAIL.RU\GAMECENTER\NPDETECTOR.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_121\BIN\JP2IEXP.DLL
delref %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6381.0405\FILESYNCAPI.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVLICENSINGS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ARM\ADSV1_2\BIN\PLUGINS\SUPPORT\MWCOMBASE.DLL
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\DBEX.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ARM\ADSV1_2\BIN\IDE.EXE
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3HO~1.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3IN~1.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3TR~1.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\DEFEDM.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3OUTX.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3WA~1.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3CO~1.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3BA~1.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3LO~1.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3VARX.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3BR~1.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3CONX.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3REGX.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3MEMX.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3CLI.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3WA~2.OCX
delref %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\MAIL.RU\GAMECENTER\GAMECENTER@MAIL.RU.EXE


;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes

Иван_81 25.06.2017 16:34

Все сделал как Вы сказали, и вуаля! Нагрузка на ЦП пропала, проверка Malware так же нашла только PUP.Optional.MailRu - это как я понял у меня стоит Облако майл.ру т.к. после удаления и перезагрузки оно по новой требует ввод логина и пароля. Жить не мешает, пусть остается. Но никаких деинсталляторов не вылазило, видимо специально скрытый процес. Как вы и сказали - всему виной был майнер, т.к. не задолго до это баловался с подобными программами, видимо подхватил что-то от них. Спасибо Вам огромное и всего наилучшего! Спасибо.


Часовой пояс GMT +4, время: 12:47.

Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.