Доброго времени суток. Что-то комп нахватался нечисти в последние несколько дней, вот и надо бы его почистить.
Аваст выскакивает с сообщением что блокирует url:mal, win32:malware-gen в файле mingw.exe и win64:malware-gen в файле svchost.exe, а в процессах поселился onion.exe. Еще при проверке "Malwarebytes Anti-Malware" выскакивало что у меня троян "BitCoin miner". Прошу вашей помощи в борьбе с данной заразой.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в AVZ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Users\admin\AppData\Local\Temp\aimemb.dll', '');
QuarantineFile('C:\Windows\system32\msys1.dll','');
QuarantineFile('C:\Users\admin\appdata\local\temp\onion.exe', '');
DeleteFile('C:\Users\admin\appdata\local\temp\onion.exe', '32');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.



Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.




Скачайте AdwCleaner (by Xplode) (https://toolslib.net/downloads/viewdownload/1-adwcleaner/) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250).

Файл quarantine.zip отправил. Сканирование AdwCleaner'ом провел. Прикрепил файл AdwCleaner[S7].txt, так как именно он самый свежий из логов.

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8/10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Настройки отметьте дополнительно:

Сброс политик IE
Сброс политик Chrome

Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250/#post-157088).


Затем:
Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17759/').

Готово. Файл Shortcut.txt пришлось запаковать из за большого размера.

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
start
CreateRestorePoint:
FF NetworkProxy: "socks", "98.101.157.150"
FF NetworkProxy: "socks_port", 8020
FF NetworkProxy: "type", 1
CHR StartupUrls: Default -> "hxxp://search.conduit.com/?ctid=CT2269050&SearchSource=48","hxxp://www.google.com","hxxp://websearch.simplesearches.info/?pid=727&r=2013/08/16&hid=2609488458&lg=EN&cc=UA&unqvl=31"
2015-11-09 15:25 - 2015-10-25 13:12 - 00590336 _____ () C:\Users\admin\AppData\Local\Temp\mingw.exe
2015-11-09 14:38 - 2012-10-27 21:50 - 02087636 _____ () C:\Users\admin\AppData\Local\Temp\onion.exe
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').

Готово. После данной процедуры все закрепленные страницы в хроме пропали и часть истории потерлась, это нормально? И удалось поймать скрином очередной малвар пойманный авастом. Такое каждый раз при перезагрузке выскакивает, но всегда разные комбинации процессов и объектов.

У Вас установлен Malwarebytes Anti-Malware подготовьте лог MBAM (http://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-2.23670/).

Готово.

Запустите МБАМ и удалите это

PUP.Optional.OpenCandy, E:\programs\DTLite4454-0315.exe, , [75845a210f7cbe781e512a373ec68d73],
PUP.Optional.OpenCandy, E:\programs\Games\CheatEngine63.exe, , [54a54e2da3e838fef1e7c0e4a160fc04],

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250/#post-157905).

Скачайте Universal Virus Sniffer (http://safezone.cc/resources/7/) (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS. (http://safezone.cc/threads/14508/#post-79351)

+ Проверьте эти файлы на virustotal (http://www.virustotal.com/index.html)

C:\Program Files (x86)\Origin\OriginClientService.exe

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

Запустите МБАМ и удалите это
Цитата: »
PUP.Optional.InstallCore, инфицированные таким файлы не несут в себе опасности?
Файл C:\Program Files (x86)\Origin\OriginClientService.exe, потер вместе со всем, что было отмечено как опасное ПО в Malwarebytes Anti-Malware.
Отчет от uVS прилагаю.

OriginClientService.exe
OriginClientService.exe представляет собой разновидность файла EXE, связанного с Need for Speed The Run Limited Edition, который разработан Electronic Arts, Inc. для ОС Windows.
Если не имеете ПО связанное с этим , то можете удалить.
По поводу остального в большинстве это ваши креки, в том числе для вашей винды. Их я и оставил на ваше усмотрение. При желании необходимости, сможете вернуть из карантина.

Все что было отмечено как вредоносное, я удалил, да и то, что было отмечено как подозрительное и не было мне необходимым, тоже. Единственное что осталось из лога МБАМ, это файлы относящиеся к фоллауту и с PUP.Optional.InstallCore, сам не знаю что это, а погуглить как-то не успел.
Касательно моей проблемы: при включении винды уже не появляется сообщение от аваста, что он что-то обнаружил, как и вообще во время работы за компом; в списке процессов вроде бы ничего лишнего нету.
Похоже что все нормально работает.

Поправка: только что снова вылезла та самая бяка.... Malwage-gen в minglw.exe

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/threads/18577/).
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
addsgn A7679B23536A4C7261D4C4B12DBDEB5673DD440E24BD1F90DD723D4363162424DAA284575AAAAD2DA2A025C7995149717D37 4AC0A82583FE781F379A8006468C 8 Multi.Generic [Kaspersky]

zoo %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\MINGW.EXE
bl 21BC279394068568CE65D8002E3B17AE 590336
addsgn A7679B1B91DAB28DF487F8E657089B8095740309007FA7867A3C4C39E4288EB3AA527FDE7B9525556DC0847742E7B6054E1F BD1A4493F02C4988944B4E26E476 64 Graftor.254225

zoo %SystemRoot%\SYSWOW64\MSYS1.DLL
bl 0524625C13682C04DA2E4B899212D70C 20992
chklst
delvir

deltmp
czoo
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
Если архив отсутствует, то заархивруйте папку ZOO (http://safezone.cc/threads/19310) с паролем [B]virus.
Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве (http://safezone.cc/threads/14509/#post-79352).


Повторите контрольный Полный образ автозапуска в uVS.

Выполнил скрипт и сделал образ автозапуска, но не могу загрузить его, так как превышен лимит на залив.

Выложите на файлообменник, например, на www.rghost.ru

Готово. http://rghost.ru/68vHHVXBB

MBAM деинсталируйте.

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения (http://safezone.cc/threads/16715/).