Проверить файл cgminer.exe

Процесс cgminer.exe, не относящийся к собирателю биткоинов, и не установленный вручную из исходных кодов, является вирусом и должен быть удален немедленно!

Загружается из скрипта, написанного на Visual Basic, прописанного в папке автозагрузки, и устанавливает соединение с сервером http://37.10.104.2:9332 (могут быть и другие адреса, например, 184.22.1.165). На тот же адрес перенаправляются запросы из браузера к сайтам ВКонтакте, Одноклассники и Mail.Ru. Ради этого поганит файл C:\Windows\System32\drivers\etc\hosts. Там же заблокирован доступ к некоторым сайтам, предоставляющим услуги по разблокировке компьютера.

Для самостоятельного удаления заразы необходимо сделать следующее:
1. Открыть Диспетчер задач, найти в списке активных процессов cgminer.exe и удалить его.
2. Найти в папке %APPDATA%\Flash файл скрипта update.vbs, открыть его в Блокноте и посмотреть, где находится сам cgminer.exe (обычно в той же папке, но кто ж знает, может, поумнеет со временем)
3. Удалить оба файла (cgminer.exe и update.vbs)
4. Удалить ссылку на update.vbs из папки Автозагрузки
5. Проверить файл c:\Windows\System32\drivers\etc\hosts. Открыть его в Блокноте и удалить все строки, кроме 127.0.0.1 localhost и тех, которые начинаются с символа '#' (это комментарии).

Если cgminer.exe сидит в %PROGRAMFILES%/pcdata, дополнительно создается служба ProtectMonitor и задачу в Планировщике - AmiUpdXp

Поэтому для удаления заразы необходимо:
1. Удалить службу. Запустить cmd.exe от имени Администратора и выполнить команды:
sc stop ProtectMonitor
sc delete ProtectMonitor
2. В Планировщике задач удалить задачу AmiUpdXp
3. Удалить папку %PROGRAMFILES%/pcdata
4. Удалить загрузку скрипта start.vbs из ключа реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run