url:mal, onion.exe и еще какая то зараза
 

Доброго времени суток. Что-то комп нахватался нечисти в последние несколько дней, вот и надо бы его почистить.
Аваст выскакивает с сообщением что блокирует url:mal, win32:malware-gen в файле mingw.exe и win64:malware-gen в файле svchost.exe, а в процессах поселился onion.exe. Еще при проверке "Malwarebytes Anti-Malware" выскакивало что у меня троян "BitCoin miner". Прошу вашей помощи в борьбе с данной заразой.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Файл quarantine.zip отправил. Сканирование AdwCleaner'ом провел. Прикрепил файл AdwCleaner[S7].txt, так как именно он самый свежий из логов.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8/10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Настройки отметьте дополнительно:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Затем:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Готово. Файл Shortcut.txt пришлось запаковать из за большого размера.

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Готово. После данной процедуры все закрепленные страницы в хроме пропали и часть истории потерлась, это нормально? И удалось поймать скрином очередной малвар пойманный авастом. Такое каждый раз при перезагрузке выскакивает, но всегда разные комбинации процессов и объектов.

У Вас установлен Malwarebytes Anti-Malware подготовьте лог MBAM.

Готово.

Запустите МБАМ и удалите это

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

5. Подробнее читайте в руководстве Как подготовить лог UVS.

+ Проверьте эти файлы на virustotal
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

PUP.Optional.InstallCore, инфицированные таким файлы не несут в себе опасности?
Файл C:\Program Files (x86)\Origin\OriginClientService.exe, потер вместе со всем, что было отмечено как опасное ПО в Malwarebytes Anti-Malware.
Отчет от uVS прилагаю.

OriginClientService.exe представляет собой разновидность файла EXE, связанного с Need for Speed The Run Limited Edition, который разработан Electronic Arts, Inc. для ОС Windows.
Если не имеете ПО связанное с этим , то можете удалить.
По поводу остального в большинстве это ваши креки, в том числе для вашей винды. Их я и оставил на ваше усмотрение. При желании необходимости, сможете вернуть из карантина.

Все что было отмечено как вредоносное, я удалил, да и то, что было отмечено как подозрительное и не было мне необходимым, тоже. Единственное что осталось из лога МБАМ, это файлы относящиеся к фоллауту и с PUP.Optional.InstallCore, сам не знаю что это, а погуглить как-то не успел.
Касательно моей проблемы: при включении винды уже не появляется сообщение от аваста, что он что-то обнаружил, как и вообще во время работы за компом; в списке процессов вроде бы ничего лишнего нету.
Похоже что все нормально работает.

Поправка: только что снова вылезла та самая бяка.... Malwage-gen в minglw.exe

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   
   Код:

   ---

   ;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
addsgn A7679B23536A4C7261D4C4B12DBDEB5673DD440E24BD1F90DD723D4363162424DAA284575AAAAD2DA2A025C7995149717D374AC0A82583FE781F379A8006468C 8 Multi.Generic [Kaspersky]

zoo %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\MINGW.EXE
bl 21BC279394068568CE65D8002E3B17AE 590336
addsgn A7679B1B91DAB28DF487F8E657089B8095740309007FA7867A3C4C39E4288EB3AA527FDE7B9525556DC0847742E7B6054E1FBD1A4493F02C4988944B4E26E476 64 Graftor.254225 [BitDefender]

zoo %SystemRoot%\SYSWOW64\MSYS1.DLL
bl 0524625C13682C04DA2E4B899212D70C 20992
chklst
delvir

deltmp
czoo
restart

   ---

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   

   Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
8. Подробнее читайте в этом руководстве.

Повторите контрольный Полный образ автозапуска в uVS.

Выполнил скрипт и сделал образ автозапуска, но не могу загрузить его, так как превышен лимит на залив.

Выложите на файлообменник, например, на www.rghost.ru

Готово. http://rghost.ru/68vHHVXBB

MBAM деинсталируйте.

Выполните скрипт в AVZ при наличии доступа в интернет:

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

Скрипт выполнил, ничего не выскочило. Это значит что теперь система чиста и безопасна от той заразы, на которую я жаловался?

Система чиста, это стало ясно ранее. А выполнение последнего скрипта показало, что в Вашей системе отсутствуют уязвимости.
Прочтите и выполните предложенные постом ранее рекомендации.

Удачи!

Огромное спасибо Вам, господа, за помощь. Удачи и всего наилучшего.