Помогите удалить вирус PUP.Optional.MailRu

Иван_81 · 24.06.2017, 18:52

Здравствуйте. Заметил что что-то постоянно грузит ЦП, даже в режиме простоя. При проверке Malwarebutes нашел 9 вирусов, удалил, но после перезагрузки и повторной проверке 1 из них (PUP.Optional.MailRu) снова в наличии. ЦП нагружен по прежнему. Пожалуйста, помогите избавиться от этой заразы.

Vladimir_S · 24.06.2017, 19:01

Цитата:

Сообщение от Иван_81

Пожалуйста, помогите избавиться от этой заразы.

Пока не выполнено в полном объёме это - разговор пустой.

Иван_81 · 24.06.2017, 19:27

пожалуйста

safety · 25.06.2017, 05:13

майнер все еще активен, потому и грузит ЦП

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\PROGRAMDATA\SYSTEM32\TASKMRG.EXE
addsgn BA6F9BB2BD1972720B9C2D754C2108FBDA75303A4536D3B4490FA3DA5FC9F54C2317C357766E9010B08284EA575E883B6DB91FB3AA25C52EDEB4ECEE0E16CB9E 8 VBS/CoinMiner.EC [ESET-NOD32] 7

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\123

delref %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\TEMP\E_S2A9E.TMP
del %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\TEMP\E_S2A9E.TMP
apply

deltmp
delref %SystemDrive%\USERS\PHENOM\DESKTOP\DRIVER\INSTALL_DRIVER.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0563DB41-F538-4B37-A92D-4659049B7766}\[CLSID]
delref %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6381.0405\AMD64\FILESYNCSHELL64.DLL
delref %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6381.0405\FILESYNCSHELL.DLL
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MEDIATEK\DRIVER PACKAGE\DRIVERINSTALL
delref %SystemDrive%\PROGRAM FILES\MEDIATEK\SP DRIVER\SPDRIVERINSTALL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\HARD DISK SENTINEL\HDSENTINEL.EXE
delref %Sys32%\AUTOWORKPLACE.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE15\OLICENSEHEARTBEAT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MSI AFTERBURNER\MSIAFTERBURNER.EXE
delref %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\TEMPORARY INTERNET FILES\ISSCH\ISSCH.EXE
delref %SystemDrive%\PROGRAMDATA\KMSAUTOS\KMSAUTO NET.EXE
delref %SystemDrive%\USERS\PHENOM\APPDATA\ROAMING\FREEVPN\FREEVPN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\PLAYCLAW3\PLAYCLAW3.EXE
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES (X86)\TRANSCEND\SSD SCOPE\WINRING0X64.SYS
delref %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6381.0405\FILECOAUTH.EXE
delref %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6381.0405\AMD64\FILESYNCAPI64.DLL
delref %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\MAIL.RU\GAMECENTER\NPDETECTOR.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_121\BIN\JP2IEXP.DLL
delref %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6381.0405\FILESYNCAPI.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVLICENSINGS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ARM\ADSV1_2\BIN\PLUGINS\SUPPORT\MWCOMBASE.DLL
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\DBEX.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ARM\ADSV1_2\BIN\IDE.EXE
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3HO~1.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3IN~1.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3TR~1.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\DEFEDM.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3OUTX.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3WA~1.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3CO~1.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3BA~1.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3LO~1.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3VARX.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3BR~1.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3CONX.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3REGX.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3MEMX.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3CLI.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3WA~2.OCX
delref %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\MAIL.RU\GAMECENTER\GAMECENTER@MAIL.RU.EXE


;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes

Иван_81 · 25.06.2017, 16:34

Все сделал как Вы сказали, и вуаля! Нагрузка на ЦП пропала, проверка Malware так же нашла только PUP.Optional.MailRu - это как я понял у меня стоит Облако майл.ру т.к. после удаления и перезагрузки оно по новой требует ввод логина и пароля. Жить не мешает, пусть остается. Но никаких деинсталляторов не вылазило, видимо специально скрытый процес. Как вы и сказали - всему виной был майнер, т.к. не задолго до это баловался с подобными программами, видимо подхватил что-то от них. Спасибо Вам огромное и всего наилучшего! Спасибо.

24.06.2017, 18:52	#1 (permalink)
Иван_81 Member Регистрация: 19.08.2016 Адрес: Perm' Сообщений: 17 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Помогите удалить вирус PUP.Optional.MailRu Здравствуйте. Заметил что что-то постоянно грузит ЦП, даже в режиме простоя. При проверке Malwarebutes нашел 9 вирусов, удалил, но после перезагрузки и повторной проверке 1 из них (PUP.Optional.MailRu) снова в наличии. ЦП нагружен по прежнему. Пожалуйста, помогите избавиться от этой заразы.

Опции темы
Версия для печати Отправить по электронной почте
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

24.06.2017, 18:52
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Дам вам ссылки на темы, которые имеют что то общее с вашей темой Помогите удалить вирус Как удалить вирус , помогите !? Помогите удалить вирус Помогите удалить вирус Помогите удалить вирус

25.06.2017, 16:34	#5 (permalink)
Иван_81 Member Регистрация: 19.08.2016 Адрес: Perm' Сообщений: 17 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Все сделал как Вы сказали, и вуаля! Нагрузка на ЦП пропала, проверка Malware так же нашла только PUP.Optional.MailRu - это как я понял у меня стоит Облако майл.ру т.к. после удаления и перезагрузки оно по новой требует ввод логина и пароля. Жить не мешает, пусть остается. Но никаких деинсталляторов не вылазило, видимо специально скрытый процес. Как вы и сказали - всему виной был майнер, т.к. не задолго до это баловался с подобными программами, видимо подхватил что-то от них. Спасибо Вам огромное и всего наилучшего! Спасибо.

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070