Junior Member
Вес репутации
47
Помогите убить вирус bitcoin miner
Проблема с вирусом, полностью загружает процессор при запуске системы. Подписан "mamita.exe" в диспетчере задач, после убивания процесса в следующем запуске вылез новый "x11811". В описании пишет "bitcoin miner". Еще есть непоянтные файлы, кажется этого вируса, в автозагрузке (MSConfig, Qolole, Qnlole), названые в дистпетчере как Macro. Пробовал удалить в реестре, но они снова прописываются.
Вложения
Последний раз редактировалось olejah; 21.08.2011 в 14:20 .
Причина: Карантин в теме.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Tirus , спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
-Восстановление системы
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Users\Tirus\AppData\Roaming\Qnlole.exe','');
DeleteFile('C:\Users\Tirus\AppData\Roaming\Qnlole.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Qnlole');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин " наверху темы).
Сделайте повторные логи.
Junior Member
Вес репутации
47
Все сделал по инструкции, выкладываю повторные логи
Вложения
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
47
сделал проверку, нашло, я так понял, остатки вируса
Вложения
Удалите в МВАМ только указанные ниже записи
Код:
Зараженные файлы:
c:\Users\Tirus\AppData\Roaming\1BAA.exe (Trojan.BCMiner) -> No action taken.
c:\Users\Tirus\AppData\Roaming\2FC6.exe (Trojan.Dropper) -> No action taken.
c:\Users\Tirus\AppData\Roaming\3B1C.exe (Trojan.BCMiner) -> No action taken.
c:\Users\Tirus\AppData\Roaming\3FA3.exe (Trojan.BCMiner) -> No action taken.
c:\Users\Tirus\AppData\Roaming\4652.exe (Trojan.BCMiner) -> No action taken.
c:\Users\Tirus\AppData\Roaming\46B0.exe (Trojan.Dropper) -> No action taken.
c:\Users\Tirus\AppData\Roaming\4864.exe (Trojan.Dropper) -> No action taken.
c:\Users\Tirus\AppData\Roaming\50CE.exe (Trojan.BCMiner) -> No action taken.
c:\Users\Tirus\AppData\Roaming\6BDC.exe (Trojan.BCMiner) -> No action taken.
c:\Users\Tirus\AppData\Roaming\84D8.exe (Trojan.BCMiner) -> No action taken.
c:\Users\Tirus\AppData\Roaming\86CB.exe (Trojan.Dropper) -> No action taken.
c:\Users\Tirus\AppData\Roaming\8A35.exe (Trojan.BCMiner) -> No action taken.
c:\Users\Tirus\AppData\Roaming\8CD4.exe (Trojan.BCMiner) -> No action taken.
c:\Users\Tirus\AppData\Roaming\8E5.exe (Trojan.BCMiner) -> No action taken.
c:\Users\Tirus\AppData\Roaming\A784.exe (Trojan.BCMiner) -> No action taken.
c:\Users\Tirus\start menu\Programs\Startup\start1.exe (Trojan.Dropper) -> No action taken.
c:\Users\Tirus\start menu\Programs\Startup\wuT.exe (Trojan.BCMiner) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
47
все удалил, спасибо. прикрепляю лог после удаления
Вложения
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
47
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 3 В ходе лечения обнаружены вредоносные программы:
c:\\users\\tirus\\appdata\\roaming\\qnlole.exe - Trojan-Dropper.Win32.Injector.boy ( DrWEB: Trojan.PWS.Multi.226, BitDefender: Worm.Generic.341212, AVAST4: Win32:Downloader-JUA [Trj] )