Вирус, открит от Panda Cloud Antivirus

[Radoslav6]

Наскоро, след като инсталирах Panda Cloud Antivirus, програмата ми откри доста вируси, повечето от които кейгенове и кракове. Но имаше и някакъв miner.dll . След като рестартирах компютъра, както поиска програмата, реших че вирусът е изтрит. Но вчера отново се появи съобщение да рестартирам компютъра. Пробвах да изтрия вируса от кошчето на Panda, но въпреки че го трия, съобщението пак се появява. Ето снимка на съобщението от Panda - http://store.picbg.net/pubpic/1B/EA/f3e94301a32a1bea.png . Вируса се намира тук - C:\Users\Username\AppData\Local\Temp\_intel\miner.dll .Може ли някой да ми помогне да се справя с този вирус!

[mihnev_sz]

Това не е вирус!

[Radoslav6]

А какво е? Даи повече информация!

[s.feradov]

Изтеглете Malwarebytes' Anti-Malware Free.

• Стартирайте инсталационния файл и инсталирайте програмата.
  
• Уверете се, че са поставени отметки пред Update Malwarebytes' Anti-Malware и Launch Malwarebytes'Anti-Malware.
  
• Програмата ще изтегли и инсталира автоматично наличните обновявания.
  
• Стартирайте програмата.
  
• Изберете Perform Quick Scan -> Scan.
  
• След края на сканирането, натиснете бутон OK
  
• Натиснете бутона Show Results, за да видите резултата от сканирането.
  
• Уверете се, че има отметки на всеки ред.
  
• Натиснете бутона Remove Selected.
  

 

В Notepad ще бъде отворен лог -файл. Моля, прикачете файла към следващия Ви коментар.

 

Забележка: MalwareBytes' Anti-Malware може да поиска да рестартира Вашата система. При подобно запитване от страна на програмата се съгласете и позволете рестартирането на системата.

[Radoslav6]

Инсталирах си програмата и сканирах с нея. Прикачвам текстовия файл.

mbam-log-2012-08-31 (14-30-04).txt

[s.feradov]

Извинявам се за забавянето. Нека направим няколко допълнителни сканирания.

 

Изтеглете Farbar Service Scanner

• Запазете файла на Вашия десктоп.
  
• Стартирайте инструмента.
  
• Уверете се, че са маркирани следните опции:
  

Internet Service

s

Windows Firewall

System Restore

Security Center/Action Cente

r

Windows Update

Windows Defender

• Натиснете бутона Scan.
  
• На Вашия десктоп ще се появи лог-файл – FSS.txt .
  

Прикачете въпросния файл към следващия Ви коментар.

 

Изтеглете MiniToolBox

• Запазете файла на Вашия десктоп.
  
• Стартирайте инструмента.
  
• Сложете отметки пред следните обекти:
  

Flush DNS

Report IE Proxy Settings

Reset IE Proxy Settings

Report FF Proxy Settings

Reset FF Proxy Settings

List content of Hosts

List IP configuration

List Winsock Entries

List last 10 Event Viewer log

List Installed Programs

List Users, Partitions and Memory size.

List Minidump Files

• Натиснете бутона Go.
  

На Вашия десктоп ще се създаде лог-файл – Result.txt

 

Моля, прикачете въпросния файл към следващия Ви коментар.

[Radoslav6]

Сканирах с програмите, ето текстовите файлове

Result.txt

FSS.txt

[s.feradov]

Логовете са чисти. Моля, изпълнете още веднъж стъпките от коментар номер четири.

[Radoslav6]

Сканирах с Malwarebytes'Anti-Malware и откри три заплахи. След рестартирането на компютъра се надявам, че всичко е наред, но все пак трябва ли да се направи още нещо?

[s.feradov]

Моля да прикачите последния лог от сканирането с програмата.

[Radoslav6]

Прикачвам файла

mbam-log-2012-09-03 (10-54-30).txt

[s.feradov]

Ще се необходими още няколко стъпки.

 

Изтеглете OTL

• Запазете файла на Вашия десктоп.
  
• Стартирайте инструмента.
  
• Уверете се, че процесът на сканиране няма да бъде прекъснат.
  
• В главния прозорец на програмата сложете отметка пред Scan All Users.
  
• В полето Standart Registry изберете All.
  
• Сложете отметки пред LOP Check и Purity Check.
  
• От падащото меню File Age изберете 90 days.
  
• Уверете се, че има отметкa пред Skip Microsoft Files.
  
• В полето Custom Scans/Fixes поставете следния текст:
  

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.*
%USERPROFILE%\*.*
%USERPROFILE%\temp\*.exe
%USERPROFILE%\AppData\Local\*.*
%USERPROFILE%\AppData\Local\*.
%USERPROFILE%\AppData\Local\temp\*.exe
%USERPROFILE%\AppData\Roaming\*.*
%USERPROFILE%\AppData\Roaming\*.
%Public%\Documents\Softwrap\YOYOGAMESGM70FINAL\*.exe
%Public%\Documents\Fonts\*.exe
%Public%\Documents\Config\*.exe
%Public%\Documents\*.*
%ProgramData%\*.*
%ProgramData%\*.
%CommonProgramFiles%\*.*
%CommonProgramFiles%\ComObjects*.exe
%PROGRAMFILES%\*.*
%PROGRAMFILES%\*.
%ProgramFiles(x86)%\*.*
%ProgramFiles(x86)%\*.
%systemroot%\system32\config\systemprofile\AppData\Local\*.*
%systemroot%\system32\config\systemprofile\AppData\Roaming\*.*
%windir%\SysWOW64\config\systemprofile\AppData\Local\*.*
%windir%\SysWOW64\config\systemprofile\AppData\Roaming\*.*
%windir%\ServiceProfiles\LocalService\AppData\Local\Temp\*.tlb
%windir%\ServiceProfiles\NetworkService\AppData\Local\Temp\*.tlb
%windir%\temp\*.exe
%windir%\*.
%windir%\installer\*.
%windir%\system32\*.
%windir%\sysnative\*.
%Temp%\smtmp\1\*.*
%Temp%\smtmp\2\*.*
%Temp%\smtmp\3\*.*
%Temp%\smtmp\4\*.*
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /90
%systemroot%\syswow64\drivers\*.sys /lockedfiles
%systemroot%\system32\Spool\prtprocs\w32x86\*.dll
%systemroot%\*. /rp /s
%systemroot%\assembly\tmp\*.* /S /MD5
%systemroot%\assembly\temp\*.* /S /MD5
%systemroot%\assembly\GAC\*.ini
%systemroot%\assembly\GAC_32\*.ini
%systemroot%\assembly\GAC_64\*.ini
%SystemRoot%\assembly\GAC_MSIL\*.ini
HKEY_CLASSES_ROOT\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s
HKEY_CLASSES_ROOT\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s
HKEY_CLASSES_ROOT\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s
HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s
HKEY_CURRENT_USER\Software\MSOLoad /s
bcdedit /enum all /v >C:\boot.txt /c
>C:\commands.txt echo list vol /raw /hide /c
/wait
>C:\DiskReport.txt diskpart /s C:\commands.txt /raw /hide /c
/wait
type c:\diskreport.txt /c
/wait
erase c:\commands.txt /hide /c
/wait
erase c:\diskreport.txt /hide /c
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
consrv.dll
services.exe
explorer.exe
lsass.exe
svchost.exe
wininit.exe
winlogon.exe
userinit.exe
atapi.sys
iaStor.sys
serial.sys
volsnap.sys
disk.sys
redbook.sys
i8042prt.sys
afd.sys
netbt.sys
csc.sys
tcpip.sys
dfsc.sys
hlp.dat
str.sys
crexv.ocx
/md5stop

 

Копирайте кода точно както е даден. Уверете се, че всяка от командите е на нов ред, както е в полето.

 

Натиснете бутона Run Scan. Ще започне сканиране, което няма да продължи дълго.Когато сканирането приключи автоматично ще се отворят два Notepad лог-файла - OTL.txt и Extras.txt.

 

Моля, прикачете тези два файла към следващия Ви коментар.

[Radoslav6]

Опитвам се да сканирам с програмата, но стига до сканирането на Google Chrome и забива.

[B-boy/StyLe/]

Дайте и повече време и затворете браузърите преди проверката.

В повечето случаи Not Responding не означава, че е забила. Би трябвало до 20-40 минути да завърши проверката.

Ако над 40 минути сканира, тогава вече може да се твърди, че е забила.