Показано с 1 по 18 из 18.

Помогите зачистить "хвосты" после CoinMiner (заявка № 139300)

  1. #1
    Full Member Репутация
    Регистрация
    14.03.2007
    Сообщений
    64
    Вес репутации
    0

    Помогите зачистить "хвосты" после CoinMiner

    Доброго времени суток.

    Некоторое время назад ноут стал очень сильно нагреваться и тормозить, что для него не характерно. Проверка показала наличие двух троянов - один крал пароли, другой "генерировал" биткоины для своего владельца и, собственно, был причиной тормозов системы. После их удаления работа системы нормализовалась и ноут перестал нагреваться, однако вскоре антивирус отловил еще два вируса:
    Trojan:Win32/CoinMiner.L!bat
    Exploit:Java/CVE-2012-1723
    Они также были удалены, но у меня есть подозрение, что из-за оставленных "хвостов" я могу вновь столкнуться с этими троянами.

    П.С. во вложении отсутствует файл virusinfo_syscure.zip, поскольку исследуемая система - 64-разрядная.


    Заранее спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) AriaL, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    WBR,
    Vadim

  5. #4
    Full Member Репутация
    Регистрация
    14.03.2007
    Сообщений
    64
    Вес репутации
    0
    Готово.
    Вложения Вложения

  6. #5
    Full Member Репутация
    Регистрация
    14.03.2007
    Сообщений
    64
    Вес репутации
    0
    Я извиняюсь, что забыл упомянуть об еще одной проблеме на этом компьютере: в настройках прокси постоянно прописывается URL для его автоматической настройки: _https://relanso.com/queue/redict.rok, причем в Firefox при каждом его запуске настройки сети автоматически устанавливаются на то, чтобы использовать этот URL.
    Версия FF - 20.0.1; IE - 10.0.9, другими браузерами я не пользовался.
    Беглый гуглеж по этому URL ничего не дал.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Выполните скрипт в uVS
    Код:
    ;uVS v3.77.16 script [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    ; C:\PROGRAM FILES\LENOVO\COMMUNICATIONS UTILITY\TPKNRRES.EXE
    addsgn 1A0A639A5583C58CF42B254E3143FE84C9A2FFF689592784C5C34CB1642A314CAA02F3AB7E551454077CC49FCF2361063DDF614F7126F02C4BFBB17F3B462215 8 Trojan-Ransom.Win32.Blocker.uxw [Kasper
    
    delref /C
    exec MSIEXEC.EXE /quiet /I{7148F0A8-6813-11D6-A77B-00B0D0142170}
    exec MSIEXEC.EXE /quiet /I{35A3A4F4-B792-11D6-A78A-00B0D0142170}
    exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216019FF}
    exec MSIEXEC.EXE /quiet /I{32A3A4F4-B792-11D6-A78A-00B0D0160190}
    deltmp
    restart
    Компьютер перезагрузится.
    information

    Уведомление

    Данный скрипт удалит Java, т. к. в установленной версии имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
    Если Java нужна, т.е. без неё не работают какие-либо сайты, онлайн-игры и т. п., скачайте и установите Java 7 Update 21. Для большинства сайтов Java не нужна и является потенциальной дырой в безопасности.



    Сделайте лог полного сканирования МВАМ.
    WBR,
    Vadim

  8. #7
    Full Member Репутация
    Регистрация
    14.03.2007
    Сообщений
    64
    Вес репутации
    0
    После выполнения скрипта в uVS ни архива, ни папки с префиксом ZOO в каталоге uVS не обнаружено, но есть лог-файл выполнения скрипта. Нужно его прикреплять?
    Прикрепляю лог MBAM.

    ПС: какие результаты по логам из первого сообщения этой темы?
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Удалите Malwarebytes Anti-Malware, его использование в качестве антивируса с постоянной защитой не рекомендуется.
    С виду всё чисто.
    WBR,
    Vadim

  10. Это понравилось:


  11. #9
    Full Member Репутация
    Регистрация
    14.03.2007
    Сообщений
    64
    Вес репутации
    0
    ОК. А что насчет этого?
    Цитата Сообщение от AriaL Посмотреть сообщение
    в настройках прокси постоянно прописывается URL для его автоматической настройки: _https://relanso.com/queue/redict.rok, причем в Firefox при каждом его запуске настройки сети автоматически устанавливаются на то, чтобы использовать этот URL.
    Версия FF - 20.0.1; IE - 10.0.9, другими браузерами я не пользовался.

  12. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от AriaL Посмотреть сообщение
    ОК. А что насчет этого?
    пролечитесь утилитой capperkiller лог работы утилиты приложите.

    Что с проблемой ?

  13. Это понравилось:


  14. #11
    Full Member Репутация
    Регистрация
    14.03.2007
    Сообщений
    64
    Вес репутации
    0
    log.txt
    Извиняюсь за долгий ответ.
    Capperkiller ничего не обнаружил, лог прикладываю.
    Затереть значение этого поля нельзя, но поменять можно. FF я переустановил, после переустановки его настройки сети перестали автоматически переключаться на использование этого параметра, а в IE подобного автоматического переключения не было.

  15. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Сделайте лог ComboFix.
    WBR,
    Vadim

  16. Это понравилось:


  17. #13
    Full Member Репутация
    Регистрация
    14.03.2007
    Сообщений
    64
    Вес репутации
    0

  18. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Чисто.
    Проблемы нет, правильно понимаю?
    WBR,
    Vadim

  19. #15
    Full Member Репутация
    Регистрация
    14.03.2007
    Сообщений
    64
    Вес репутации
    0
    Да, проблема ушла, спасибо.

  20. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Удалите ComboFix.

    Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
    WBR,
    Vadim

  21. Это понравилось:


  22. #17
    Full Member Репутация
    Регистрация
    14.03.2007
    Сообщений
    64
    Вес репутации
    0
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Java, Adobe Acrobat/Reader и Adobe Flash Player.
    Да, обнаруженные уязвимости связаны именно с этим ПО.

  23. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Устраняйте, не забудьте старые версии деинсталлировать.

    Выполните рекомендации после лечения.
    WBR,
    Vadim

  • Уважаемый(ая) AriaL, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. "Хвосты" после лечения антивирусами
      От valletta в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 26.06.2011, 18:21
    2. Помогите дочистить "хвосты"
      От Сергей Ю. в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 23.12.2009, 09:35
    3. Помогите дочистить "хвосты"
      От Сергей Ю. в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 11.09.2009, 23:29
    4. Ответов: 1
      Последнее сообщение: 23.07.2009, 10:40
    5. Помогите вычистить "оставшиеся хвосты"
      От АлексейН в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 03:10

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00549 seconds with 20 queries