формируется файл c:\temp\cm7.exe
после удаления образуется вновь
Поставил KIS после обнаружения заражения вирусом bitcoin miner
В результате вирус выгружает KIS и не даёт ему обновляться
формируется файл c:\temp\cm7.exe
после удаления образуется вновь
Поставил KIS после обнаружения заражения вирусом bitcoin miner
В результате вирус выгружает KIS и не даёт ему обновляться
Уважаемый(ая) Aleksey_P, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
WBR,
Vadim
сделал
Однако, архив не получается upload-ить
Если архив делаю многотомным, то последний том не хочет загружаться
Последний раз редактировалось Aleksey_P; 16.09.2013 в 15:01.
Прикрепите лог к теме.
какой лог?
На Rghost.ru выложите и ссылку сюда.
WBR,
Vadim
спс. Сам не додумался ((
http://rghost.ru/48780974
Выполните скрипт в uVS:На вопросы об удалении программ рекомендую соглашаться.Код:;uVS v3.81.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.2 delref HTTP://YAMBLER.NET/?IQ&UID=3358718E4CF167C7529F68A38A4CBC16&IID=26507455 zoo %SystemDrive%\USERS\DNS-SHOP\APPDATA\LOCAL\SCHEDULE\SCHEDULE.EXE delall %SystemDrive%\USERS\DNS-SHOP\APPDATA\LOCAL\SCHEDULE\SCHEDULE.EXE delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\DEALPLYLIVE\UPDATE\DEALPLYLIVE.EXE delref (X86)\DEALPLY\DEALPLYUPDATE.EXE exec "C:\Program Files (x86)\DealPly\uninst.exe" /uninstall exec "C:\Users\DNS-SHOP\AppData\Roaming\BabSolution\Shared\GUninstaller.exe" -key "Delta Chrome Toolbar" -rmkey -rmbus "Delta Chrome Toolbar" -plgdll enhancedNT -nontfy exec "C:\Program Files (x86)\Delta\delta\1.8.24.5\GUninstaller.exe" -uprtc -rmbus "Delta toolbar" -nontfy -bname=dlt -key "delta" exec C:\Program Files (x86)\Lyrmix\Uninstall.exe uidel "C:\ProgramData\BitGuard\2.6.1673.238\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\uninstall.exe" /Uninstall /{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693} /um exec C:\PROGRA~3\TARMAI~1\{C4ED7~1\Setup.exe /remove /q0 exec "C:\Users\DNS-SHOP\AppData\Local\ConvertAd\uninstall.exe" deltmp restart
Компьютер перезагрузится.
Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый полный образ автозапуска uVS.
Что с проблемами?
WBR,
Vadim
всё сделал. Архив ZOO загрузил по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Полный образ автозапуска uVS там http://rghost.ru/48794991
Проблема осталась. Каспер не обновляется (обновлены не все компоненты). После загрузки компа минуты через 3-4 KIS выгружается из памяти.
Выполните скрипт в uVS:На вопросы об удалении программ рекомендую соглашаться.Код:;uVS v3.81.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.2 exec C:\Program Files (x86)\WebConnect\WebConnectuninstall.exe restart
Компьютер перезагрузится.
Что с bitcoin miner и KIS?
WBR,
Vadim
KIS обновляется. Мне показалось, что инструкция
exec C:\Program Files (x86)\WebConnect\WebConnectuninstall.exe
не успела выполниться и комп ушёл в перезагрузку
файл c:\temp\cm7.exe появился вновь, но его заметил KIS и сам удалил
Запустил пока полную проверку у KIS
Удалил каталог c:\temp\
Однако, c:\temp\cm7.exe появился вновь. Полная проверка KIS будет продолжаться около7 часов ((
Последний раз редактировалось Aleksey_P; 17.09.2013 в 11:28.
Удалите WebConnect через панель управления, если он там остался.
Когда обнаруживается майнер, сразу после загрузки компьютера, после подключения к интернету? С какого времени начала определяться эта проблема. Дело в том, что ни по одному логу следов файла cm7.exe не видно.
Сделайте логи RSIT.
WBR,
Vadim
WebConnect удалил из Панели управления.
Отключил комп от сети. Удалил каталог c:\temp\. Отправился в перезагрузку. После загрузки компа появляется каталог c:\temp Минут через 6 после загрузки подключаю комп к интернету - и появляется c:\temp\cm7.exe
KIS завершил полную проверку. 4 каких-то файла поместил в карантин 2 удалил. Однако, при попытке просмотреть отчёты через интерфейс KIS, KIS виснет и выгружается. Сейчас буду делать логи RSIT...
- - - Добавлено - - -
Проблемы на компе замечены в субботу, 14.09. На нем помимо bitcoin miner сидели ещё вирусы попроще. Что-то удалось удалить DrWeb CureIt. Miner'а заметил либо вечером в сб, либо вечером в вс.
В KIS файрвол включен?
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Сделайте лог полного сканирования МВАМ.
WBR,
Vadim
глюки в работе KIS пока не проявляются...
KIS сам находит и удаляет c:\temp\cm7.exe
удалить бы процесс, который этот файл записывает....
- - - Добавлено - - -
Про файрвол. Это настройка сетей в KIS?
AVZ уязвимостей не нашёл.
MalWare просканировал систему. Несколько раз от него всплывали сообщения о блокированном трафике на IP 195.68.160.186,195.68.160.233,213.186.116.119
Последний раз редактировалось Aleksey_P; 17.09.2013 в 15:12.
не антивирус присвоил. На Вашем форуме увидел схожие по описанию обращения пользователей. Поэтому обратился, будучи уверенным в том, что у меня именно он
Удалите в MBAM всё найденное.
Уведомление
Удалите Malwarebytes Anti-Malware, его использование в качестве антивируса с постоянной защитой не рекомендуется, особенно совместно с другими защитными продуктами.
Попробуйте отключить временно KIS и отловить файл cm7.exe. Упакуйте его с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме. Может, мы боремся не с тем, с чем надо?
WBR,
Vadim
выслал файл по ссылке "Прислать запрошенный карантин"
P.S. Точно ли нужно удалять всё найденное в МВАМ?
- - - Добавлено - - -
к сожалению, лог удаления после перезагрузки утерян.
Файл c:\temp\cm7.exe образуется вновь. KIS его обнаруживает и стирает.
Последний раз редактировалось Aleksey_P; 17.09.2013 в 16:59.
Уважаемый(ая) Aleksey_P, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.