Здравствуйте.
Началось все пару дней назад, поймав 3 различных БСОДа, я начал гуглить коды ошибок. Найдя множество советов про проблемы с ОЗУ и пару советов про вирусы, не обратив на последние особого внимания, я решил что просто нужно почистить от пыли ОЗУ да и сам компьютер заодно. На третий день БСОДов не наблюдалось и я решив, что все в порядке, решил немного пострелять в комп. игры. Фризы и низкий фпс не давали мне покоя. Случайно заглянув в диспетчер задач, я обнаружил загрузку ЦП в 50%, виной тому был процесс под именем acnom.exe. Вооружившись верным гуглом, я пришел к выводу, что это не системный процесс, хотя и очень похож по имени на acmon.exe, который гугл мне так яростно предлагал. Из множества способов борьбы с вирусами на ум пришли только Касперский и CureIT, со второго то я и решил начать.

Проверка CureIT(в обычном режиме) нашла 3 угрозы, собственно сам acnom.exe, его напарник из той же папки control.exe и какие-то изменения в файле HOSTS. Лечение с перезапуском не помогло, файлы вернулись в двойном объеме если верить CureIT(появились копии каждого в других папках). Не зная что делать, решил попробовать ваш форум, много раз попадал сюда через гугл, но никак не решался зарегистрироваться. Очень уж не дружелюбно выглядит сайт для чайников вроде меня. :)
Большинство рекомендует лечить Майнеры путем удаления всех файлов связанных с данными процессами и чисткой автозапуска + запланированных задач. Я решил не рисковать и сначала проконсультироваться у вас.
Прочитав правила форума, добавил информацию о ПК и прикрепил Autolog файл к данному сообщению.
С нетерпением жду дальнейших инструкций и надеюсь на вашу скорую помощь!

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\windows\registration\regdrv.exe');
TerminateProcessByName('c:\sysdata\control.exe');
TerminateProcessByName('C:\SysData\acnom.exe');
TerminateProcessByName('C:\ProgramData\Chr0me.exe');
TerminateProcessByName('c:\programdata\windowsupgrade.exe');
QuarantineFile('c:\windows\registration\regdrv.exe','');
QuarantineFile('c:\sysdata\control.exe','');
QuarantineFile('C:\SysData\acnom.exe','');
QuarantineFile('C:\ProgramData\Chr0me.exe', '');
QuarantineFile('c:\programdata\windowsupgrade.exe', '');
ExecuteFile('schtasks.exe', '/delete /TN "RegUpdate" /F', 0, 15000, true);
DeleteFile('C:\SysData\acnom.exe','32');
DeleteFile('c:\sysdata\control.exe','32');
DeleteFile('c:\windows\registration\regdrv.exe','32');
DeleteFile('C:\ProgramData\Chr0me.exe', '32');
DeleteFile('c:\programdata\windowsupgrade.exe', '32');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Registry Driver');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Registry Driver');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WindowsUpgrade') ;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.



Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger.

Сделано.

В логах порядок. Проблема решена?

Вроде бы да, если конечно при дальнейших перезагрузках он опять не вылезет...

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj (http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe) и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Сделано.

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17239 Внимание! Скачать обновления (http://windows.microsoft.com/ru-ru/internet-explorer/ie-11-worldwide-languages)
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2014-08-19 15:27:57
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.33 v.7.33.105 Внимание! Скачать обновления (http://www.skype.com/go/getskype-full)
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.9.42973 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 14 ActiveX v.14.0.0.176 Внимание! Скачать обновления (http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ax.exe)
Adobe Flash Player 14 Plugin v.14.0.0.179 Внимание! Скачать обновления (http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player.exe)
------------------------------- [ Browser ] -------------------------------
Google Chrome v.57.0.2987.133 Внимание! Скачать обновления (https://www.google.ru/chrome/browser/desktop/index.html)
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Pando Media Booster v.2.6.0.7 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Прочтите и выполните Рекомендации после лечения. (http://forum.oszone.net/post-1838507-9.html)

Спасибо, сделаем.

Все сделано.
На всякий случай еще раз сделал и выложил SecuirityCheck и CollectionLog. Создал новую точку восстановления, удалил все старые, произвел все необходимые рекомендации. Скайп обновил и он пишет, что используется последняя версия, но SecuirityCheck твердит обратное, а так все вроде в порядке.
Если у вас нету никаких замечаний, я готов вас поблагодарить и закрыть тему. :)

используется последняя версия, но SecuirityCheck »
Как Вы заметили, это было необязательное обновление. В разных регионах обновления приходят по разному, так что это нормально.

Замечаний нет, будьте бдительны. Удачи!

Еще раз огромное спасибо!
Проблема решена, тема закрыта.