Показано с 1 по 18 из 18.

Помогите зачистить "хвосты" после CoinMiner (заявка № 139300)

  1. #1
    Full Member Репутация
    Регистрация
    14.03.2007
    Сообщений
    64
    Вес репутации
    0

    Помогите зачистить "хвосты" после CoinMiner

    Доброго времени суток.

    Некоторое время назад ноут стал очень сильно нагреваться и тормозить, что для него не характерно. Проверка показала наличие двух троянов - один крал пароли, другой "генерировал" биткоины для своего владельца и, собственно, был причиной тормозов системы. После их удаления работа системы нормализовалась и ноут перестал нагреваться, однако вскоре антивирус отловил еще два вируса:
    Trojan:Win32/CoinMiner.L!bat
    Exploit:Java/CVE-2012-1723
    Они также были удалены, но у меня есть подозрение, что из-за оставленных "хвостов" я могу вновь столкнуться с этими троянами.

    П.С. во вложении отсутствует файл virusinfo_syscure.zip, поскольку исследуемая система - 64-разрядная.


    Заранее спасибо.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) AriaL, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,792
    Вес репутации
    779
    WBR,
    Vadim

  5. #4
    Full Member Репутация
    Регистрация
    14.03.2007
    Сообщений
    64
    Вес репутации
    0
    Готово.
    Вложения Вложения

  6. #5
    Full Member Репутация
    Регистрация
    14.03.2007
    Сообщений
    64
    Вес репутации
    0
    Я извиняюсь, что забыл упомянуть об еще одной проблеме на этом компьютере: в настройках прокси постоянно прописывается URL для его автоматической настройки: _https://relanso.com/queue/redict.rok, причем в Firefox при каждом его запуске настройки сети автоматически устанавливаются на то, чтобы использовать этот URL.
    Версия FF - 20.0.1; IE - 10.0.9, другими браузерами я не пользовался.
    Беглый гуглеж по этому URL ничего не дал.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,792
    Вес репутации
    779
    Выполните скрипт в uVS
    Код:
    ;uVS v3.77.16 script [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    ; C:\PROGRAM FILES\LENOVO\COMMUNICATIONS UTILITY\TPKNRRES.EXE
    addsgn 1A0A639A5583C58CF42B254E3143FE84C9A2FFF689592784C5C34CB1642A314CAA02F3AB7E551454077CC49FCF2361063DDF614F7126F02C4BFBB17F3B462215 8 Trojan-Ransom.Win32.Blocker.uxw [Kasper
    
    delref /C
    exec MSIEXEC.EXE /quiet /I{7148F0A8-6813-11D6-A77B-00B0D0142170}
    exec MSIEXEC.EXE /quiet /I{35A3A4F4-B792-11D6-A78A-00B0D0142170}
    exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216019FF}
    exec MSIEXEC.EXE /quiet /I{32A3A4F4-B792-11D6-A78A-00B0D0160190}
    deltmp
    restart
    Компьютер перезагрузится.
    information

    Уведомление

    Данный скрипт удалит Java, т. к. в установленной версии имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
    Если Java нужна, т.е. без неё не работают какие-либо сайты, онлайн-игры и т. п., скачайте и установите Java 7 Update 21. Для большинства сайтов Java не нужна и является потенциальной дырой в безопасности.



    Сделайте лог полного сканирования МВАМ.
    WBR,
    Vadim

  8. #7
    Full Member Репутация
    Регистрация
    14.03.2007
    Сообщений
    64
    Вес репутации
    0
    После выполнения скрипта в uVS ни архива, ни папки с префиксом ZOO в каталоге uVS не обнаружено, но есть лог-файл выполнения скрипта. Нужно его прикреплять?
    Прикрепляю лог MBAM.

    ПС: какие результаты по логам из первого сообщения этой темы?
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,792
    Вес репутации
    779
    Удалите Malwarebytes Anti-Malware, его использование в качестве антивируса с постоянной защитой не рекомендуется.
    С виду всё чисто.
    WBR,
    Vadim

  10. Vvvyg получил(а) благодарность за это сообщение от


  11. #9
    Full Member Репутация
    Регистрация
    14.03.2007
    Сообщений
    64
    Вес репутации
    0
    ОК. А что насчет этого?
    Цитата Сообщение от AriaL Посмотреть сообщение
    в настройках прокси постоянно прописывается URL для его автоматической настройки: _https://relanso.com/queue/redict.rok, причем в Firefox при каждом его запуске настройки сети автоматически устанавливаются на то, чтобы использовать этот URL.
    Версия FF - 20.0.1; IE - 10.0.9, другими браузерами я не пользовался.

  12. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,559
    Вес репутации
    708
    Цитата Сообщение от AriaL Посмотреть сообщение
    ОК. А что насчет этого?
    пролечитесь утилитой capperkiller лог работы утилиты приложите.

    Что с проблемой ?

  13. regist получил(а) благодарность за это сообщение от


  14. #11
    Full Member Репутация
    Регистрация
    14.03.2007
    Сообщений
    64
    Вес репутации
    0
    log.txt
    Извиняюсь за долгий ответ.
    Capperkiller ничего не обнаружил, лог прикладываю.
    Затереть значение этого поля нельзя, но поменять можно. FF я переустановил, после переустановки его настройки сети перестали автоматически переключаться на использование этого параметра, а в IE подобного автоматического переключения не было.

  15. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,792
    Вес репутации
    779
    Сделайте лог ComboFix.
    WBR,
    Vadim

  16. Vvvyg получил(а) благодарность за это сообщение от


  17. #13
    Full Member Репутация
    Регистрация
    14.03.2007
    Сообщений
    64
    Вес репутации
    0

  18. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,792
    Вес репутации
    779
    Чисто.
    Проблемы нет, правильно понимаю?
    WBR,
    Vadim

  19. #15
    Full Member Репутация
    Регистрация
    14.03.2007
    Сообщений
    64
    Вес репутации
    0
    Да, проблема ушла, спасибо.

  20. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,792
    Вес репутации
    779
    Удалите ComboFix.

    Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
    WBR,
    Vadim

  21. Vvvyg получил(а) благодарность за это сообщение от


  22. #17
    Full Member Репутация
    Регистрация
    14.03.2007
    Сообщений
    64
    Вес репутации
    0
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Java, Adobe Acrobat/Reader и Adobe Flash Player.
    Да, обнаруженные уязвимости связаны именно с этим ПО.

  23. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,792
    Вес репутации
    779
    Устраняйте, не забудьте старые версии деинсталлировать.

    Выполните рекомендации после лечения.
    WBR,
    Vadim

  • Уважаемый(ая) AriaL, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. "Хвосты" после лечения антивирусами
      От valletta в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 26.06.2011, 18:21
    2. Помогите дочистить "хвосты"
      От Сергей Ю. в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 23.12.2009, 09:35
    3. Помогите дочистить "хвосты"
      От Сергей Ю. в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 11.09.2009, 23:29
    4. Ответов: 1
      Последнее сообщение: 23.07.2009, 10:40
    5. Помогите вычистить "оставшиеся хвосты"
      От АлексейН в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 03:10

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01264 seconds with 22 queries