Технический форум
Вернуться   Технический форум > Компьютерный форум > Форум по вирусам и антивирусам > Безопасность


Закрытая тема
 
Опции темы Опции просмотра
Старый 24.06.2017, 18:52   #1 (permalink)
Иван_81
Member
 
Регистрация: 19.08.2016
Адрес: Perm'
Сообщений: 17
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
По умолчанию Помогите удалить вирус PUP.Optional.MailRu

Здравствуйте. Заметил что что-то постоянно грузит ЦП, даже в режиме простоя. При проверке Malwarebutes нашел 9 вирусов, удалил, но после перезагрузки и повторной проверке 1 из них (PUP.Optional.MailRu) снова в наличии. ЦП нагружен по прежнему. Пожалуйста, помогите избавиться от этой заразы.
Иван_81 вне форума  

Старый 24.06.2017, 18:52
Helpmaster
Member
 
Аватар для Helpmaster
 
Регистрация: 08.03.2016
Сообщений: 0

Дам вам ссылки на темы, которые имеют что то общее с вашей темой

Помогите удалить вирус
Как удалить вирус , помогите !?
Помогите удалить вирус
Помогите удалить вирус
Помогите удалить вирус

Старый 24.06.2017, 19:01   #2 (permalink)
Vladimir_S
Специалист
 
Регистрация: 27.08.2008
Адрес: Санкт-Петербург
Сообщений: 27,807
Сказал(а) спасибо: 340
Поблагодарили 583 раз(а) в 208 сообщениях
Репутация: 113184
По умолчанию

Цитата:
Сообщение от Иван_81 Посмотреть сообщение
Пожалуйста, помогите избавиться от этой заразы.
Пока не выполнено в полном объёме это - разговор пустой.
Vladimir_S вне форума  
Старый 24.06.2017, 19:27   #3 (permalink)
Иван_81
Member
 
Регистрация: 19.08.2016
Адрес: Perm'
Сообщений: 17
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
По умолчанию

пожалуйста
Вложения
Тип файла: 7z PHENOM-FX_2017-06-24_20-18-23.7z (882.5 Кб, 148 просмотров)
Иван_81 вне форума  
Старый 25.06.2017, 05:13   #4 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

майнер все еще активен, потому и грузит ЦП

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:
;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\PROGRAMDATA\SYSTEM32\TASKMRG.EXE
addsgn BA6F9BB2BD1972720B9C2D754C2108FBDA75303A4536D3B4490FA3DA5FC9F54C2317C357766E9010B08284EA575E883B6DB91FB3AA25C52EDEB4ECEE0E16CB9E 8 VBS/CoinMiner.EC [ESET-NOD32] 7

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\123

delref %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\TEMP\E_S2A9E.TMP
del %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\TEMP\E_S2A9E.TMP
apply

deltmp
delref %SystemDrive%\USERS\PHENOM\DESKTOP\DRIVER\INSTALL_DRIVER.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0563DB41-F538-4B37-A92D-4659049B7766}\[CLSID]
delref %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6381.0405\AMD64\FILESYNCSHELL64.DLL
delref %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6381.0405\FILESYNCSHELL.DLL
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MEDIATEK\DRIVER PACKAGE\DRIVERINSTALL
delref %SystemDrive%\PROGRAM FILES\MEDIATEK\SP DRIVER\SPDRIVERINSTALL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\HARD DISK SENTINEL\HDSENTINEL.EXE
delref %Sys32%\AUTOWORKPLACE.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE15\OLICENSEHEARTBEAT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MSI AFTERBURNER\MSIAFTERBURNER.EXE
delref %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\TEMPORARY INTERNET FILES\ISSCH\ISSCH.EXE
delref %SystemDrive%\PROGRAMDATA\KMSAUTOS\KMSAUTO NET.EXE
delref %SystemDrive%\USERS\PHENOM\APPDATA\ROAMING\FREEVPN\FREEVPN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\PLAYCLAW3\PLAYCLAW3.EXE
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES (X86)\TRANSCEND\SSD SCOPE\WINRING0X64.SYS
delref %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6381.0405\FILECOAUTH.EXE
delref %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6381.0405\AMD64\FILESYNCAPI64.DLL
delref %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\MAIL.RU\GAMECENTER\NPDETECTOR.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_121\BIN\JP2IEXP.DLL
delref %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6381.0405\FILESYNCAPI.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVLICENSINGS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ARM\ADSV1_2\BIN\PLUGINS\SUPPORT\MWCOMBASE.DLL
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\DBEX.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ARM\ADSV1_2\BIN\IDE.EXE
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3HO~1.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3IN~1.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3TR~1.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\DEFEDM.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3OUTX.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3WA~1.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3CO~1.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3BA~1.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3LO~1.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3VARX.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3BR~1.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3CONX.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3REGX.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3MEMX.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3CLI.OCX
delref %SystemDrive%\PROGRA~2\ARM\ADSV1_2\BIN\ADW3WA~2.OCX
delref %SystemDrive%\USERS\PHENOM\APPDATA\LOCAL\MAIL.RU\GAMECENTER\GAMECENTER@MAIL.RU.EXE


;-------------------------------------------------------------

restart
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes
safety вне форума  
Старый 25.06.2017, 16:34   #5 (permalink)
Иван_81
Member
 
Регистрация: 19.08.2016
Адрес: Perm'
Сообщений: 17
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
По умолчанию

Все сделал как Вы сказали, и вуаля! Нагрузка на ЦП пропала, проверка Malware так же нашла только PUP.Optional.MailRu - это как я понял у меня стоит Облако майл.ру т.к. после удаления и перезагрузки оно по новой требует ввод логина и пароля. Жить не мешает, пусть остается. Но никаких деинсталляторов не вылазило, видимо специально скрытый процес. Как вы и сказали - всему виной был майнер, т.к. не задолго до это баловался с подобными программами, видимо подхватил что-то от них. Спасибо Вам огромное и всего наилучшего! Спасибо.
Иван_81 вне форума  
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Закрытая тема

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Выкл.




Часовой пояс GMT +4, время: 06:25.

Powered by vBulletin® Version 6.2.5.
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.