Подхватил майнер Blake256

@Alexey_FN · Регистрация: 06.04.2016

Author24 — интернет-сервис помощи студентам

Здравствуйте!

Вчера вечером при запуске игры сильно просела производительность. Нашел грузящий процесс - rthdcpl.exe.
Путь к нему: C:\Users\Алексей\AppData\Roaming\steelseries-engine-3-client\Realtek HD
Майнер начал грузить систему только сегодня, Steelseries Engine 3 я обновлял примерно неделю назад, а устанавливал еще раньше. Файлы вируса датируются 3 апреля, до вчерашнего вечера (вечер 6 апреля) он, видимо, был неактивен.
Стоит KIS 2016, но он не выявляет ничего при проверке. Установил AVZ (обновил базы), тоже ничего не нашел.
На форуме нашел тему с проблемой, идентичной моей, только путь к файлам вируса другой: Подхватил Blake256
Прилагаю скриншот папки с файлом процесса (видно те же файлы, что и в теме выше), и, на всякий случай, скриншот папки повыше.
Установил AutoLogger, чтобы сделать архив с логами, перед запуском отключил антивирусы и интернет, запустил. Потом появилось соглашение "HiJack...", я нажал Accept, выскочила ошибка и просьба с отправкой лога ошибки, само собой, без интернета не получилось.
И еще, я - криворукий, когда-то для какой-то игры объединил папку "мои документы" с папкой пользователя, пытался вернуть все на места, потом в реестре по инструкциям сделал имя пользователя на английском, и сейчас все хорошо, но вот пути немножко "неисповедимы", присмотритесь к пути, что я дал выше, и что на скриншотах, это по факту один путь, но по-разному написано имя: Алексей и Alexey. Говорю это, дабы предотвратить ошибки в скриптах AVZ, если мне таковые будут давать уважаемые вирусоборцы.
Я во всем этом плохо разбираюсь, и форумами почти никогда в жизни не пользовался, прощу прощения за "воду" в тексте, за ошибки (при наличии таковых) и плохое оформление.
Заранее благодарю за помощь!

CollectionLog-2016.04.07-00.24.zip

@Chinaski_Henry · 07.04.2016, 10:06

Alexey_FN, Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\us.exe','');
 QuarantineFileF('C:\Users\Алексей\AppData\Roaming\steelseries-engine-3-client\Realtek HD', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
 DeleteFileMask('C:\Users\Алексей\AppData\Roaming\steelseries-engine-3-client\Realtek HD','*', true);
 DeleteDirectory('C:\Users\Алексей\AppData\Roaming\steelseries-engine-3-client\Realtek HD');
 DeleteFile('C:\Windows\system32\Tasks\Realtek HD Audio','64');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

@Alexey_FN · 07.04.2016, 17:32 **[ТС]**

Карантин отправил по форме
Логи прикрепил
Папка с майнером удалилась, пока что подозрительной нагрузки не наблюдается, спасибо!
В закладках оперы на экспресс панели появилась ссылка на BlaBlaCar, удалил
Файл us.exe вроде бы не подозрительный, он изначально был в сборке винды и вроде как задавал какое-то оформление, для иконок, что ли (сборка UralSOFT)
Вылезала ошибка во время работы AVZ для AutoLogger, скриншот прикрепил

CollectionLog-2016.04.07-18.16.zip
AdwCleaner[S1].txt

@Chinaski_Henry · 07.04.2016, 23:00

Сообщение от Alexey_FN

сборка UralSOFT

в этом корень многих проблем.

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

@Alexey_FN · 07.04.2016, 23:58 **[ТС]**

Не пользуюсь, удалил все, отчет прикрепил
С файликом us.exe что-нибудь делать? Он просто лежит в папке автозагрузки, Касперский ничего в нем не выявляет (подозреваю, что это был файлик все же просто для оформления, и назывался он именно в честь Ural Soft)
AdwCleaner[C1].txt

@Alexey_FN 0 / 0 / 0 Регистрация: 06.04.2016 Сообщений: 3
		1
	Подхватил майнер Blake256 07.04.2016, 00:08. Показов 3323. Ответов 4 Метки нет (Все метки) Здравствуйте! Вчера вечером при запуске игры сильно просела производительность. Нашел грузящий процесс - rthdcpl.exe. Путь к нему: C:\Users\Алексей\AppData\Roaming\steelseries-engine-3-client\Realtek HD Майнер начал грузить систему только сегодня, Steelseries Engine 3 я обновлял примерно неделю назад, а устанавливал еще раньше. Файлы вируса датируются 3 апреля, до вчерашнего вечера (вечер 6 апреля) он, видимо, был неактивен. Стоит KIS 2016, но он не выявляет ничего при проверке. Установил AVZ (обновил базы), тоже ничего не нашел. На форуме нашел тему с проблемой, идентичной моей, только путь к файлам вируса другой: Подхватил Blake256 Прилагаю скриншот папки с файлом процесса (видно те же файлы, что и в теме выше), и, на всякий случай, скриншот папки повыше. Установил AutoLogger, чтобы сделать архив с логами, перед запуском отключил антивирусы и интернет, запустил. Потом появилось соглашение "HiJack...", я нажал Accept, выскочила ошибка и просьба с отправкой лога ошибки, само собой, без интернета не получилось. И еще, я - криворукий, когда-то для какой-то игры объединил папку "мои документы" с папкой пользователя, пытался вернуть все на места, потом в реестре по инструкциям сделал имя пользователя на английском, и сейчас все хорошо, но вот пути немножко "неисповедимы", присмотритесь к пути, что я дал выше, и что на скриншотах, это по факту один путь, но по-разному написано имя: Алексей и Alexey. Говорю это, дабы предотвратить ошибки в скриптах AVZ, если мне таковые будут давать уважаемые вирусоборцы. Я во всем этом плохо разбираюсь, и форумами почти никогда в жизни не пользовался, прощу прощения за "воду" в тексте, за ошибки (при наличии таковых) и плохое оформление. Заранее благодарю за помощь! CollectionLog-2016.04.07-00.24.zip 0

@Chinaski_Henry 943 / 310 / 44 Регистрация: 25.02.2015 Сообщений: 981
	07.04.2016, 10:06	2
	Сообщение было отмечено Alexey_FN как решение Решение Alexey_FN, Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\us.exe',''); QuarantineFileF('C:\Users\Алексей\AppData\Roaming\steelseries-engine-3-client\Realtek HD', '.exe, .dll, .sys, .bat, .vbs, .js, .com', true, '', 0, 0); DeleteFileMask('C:\Users\Алексей\AppData\Roaming\steelseries-engine-3-client\Realtek HD','', true); DeleteDirectory('C:\Users\Алексей\AppData\Roaming\steelseries-engine-3-client\Realtek HD'); DeleteFile('C:\Windows\system32\Tasks\Realtek HD Audio','64'); ExecuteSysClean; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. 1

@Alexey_FN 0 / 0 / 0 Регистрация: 06.04.2016 Сообщений: 3
	07.04.2016, 17:32 [ТС]	3
	Карантин отправил по форме Логи прикрепил Папка с майнером удалилась, пока что подозрительной нагрузки не наблюдается, спасибо! В закладках оперы на экспресс панели появилась ссылка на BlaBlaCar, удалил Файл us.exe вроде бы не подозрительный, он изначально был в сборке винды и вроде как задавал какое-то оформление, для иконок, что ли (сборка UralSOFT) Вылезала ошибка во время работы AVZ для AutoLogger, скриншот прикрепил CollectionLog-2016.04.07-18.16.zip AdwCleaner[S1].txt 0

@Chinaski_Henry 943 / 310 / 44 Регистрация: 25.02.2015 Сообщений: 981
	07.04.2016, 23:00	4
	Сообщение от Alexey_FN сборка UralSOFT в этом корень многих проблем. - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите. 1

@Alexey_FN 0 / 0 / 0 Регистрация: 06.04.2016 Сообщений: 3
	07.04.2016, 23:58 [ТС]	5
	Не пользуюсь, удалил все, отчет прикрепил С файликом us.exe что-нибудь делать? Он просто лежит в папке автозагрузки, Касперский ничего в нем не выявляет (подозреваю, что это был файлик все же просто для оформления, и назывался он именно в честь Ural Soft) AdwCleaner[C1].txt 0

Подхватил майнер Blake256

Решение