-
Junior Member
- Вес репутации
- 56
ПОМОГИТЕ !!!
Здравствуйте. У меня завелся злой вирус, что не могу ничем избавиться от него. Это биткоин майнер Tool.BtcMine.134 причем - Он создает своих клонов. Компьютер выключяется, когда хочет и 5-10 раз на минуту идет на взлет процессор. Удалял dr weberom (cureit-om) и Nod-om 32. Несколько раз. Он появляеться снова и снова!
помогите пожалуйста. !!!
Последний раз редактировалось A67809R; 20.05.2016 в 10:00.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) A67809R, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
TeamViewer Ваш?
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\romario! )\application data\wmpnetworkacsvc\wmpnetworkacsvc.exe');
StopService('WMPNetworkAcSvc');
StopService('NEWDRIVER');
QuarantineFileF('c:\documents and settings\romario! )\application data\wmpnetworkacsvc', '*.exe', false, '', 0 , 0);
QuarantineFile('c:\documents and settings\romario! )\application data\wmpnetworkacsvc\wmpnetworkacsvc.exe', '');
QuarantineFile('C:\Documents and Settings\RomariO! )\Application Data\WMPNetworkAcSvc\Interface.dll', '');
QuarantineFile('D:\autorun.inf', '');
DeleteFile('c:\documents and settings\romario! )\application data\wmpnetworkacsvc\wmpnetworkacsvc.exe', '32');
DeleteFile('C:\Documents and Settings\RomariO! )\Application Data\WMPNetworkAcSvc\Interface.dll', '32');
DeleteFile('D:\autorun.inf', '32');
DeleteService('WMPNetworkAcSvc');
DeleteFileMask('c:\documents and settings\romario! )\application data\wmpnetworkacsvc', '*', true);
DeleteDirectory('c:\documents and settings\romario! )\application data\wmpnetworkacsvc');
ExecuteRepair(22);
ExecuteRepair(3);
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Выполните в AVZ скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
-
-
Junior Member
- Вес репутации
- 56
Да. TeamViewer мой
- - - - -Добавлено - - - - -
ничего не помогло. тот вирус Tool.BtcMine.134 - вырубает комп как только включаю хром... я сначала думал, что кажется но как тоо так есть. И ничто не помагает. Что мне делать ??? Помогите пожалуйста
-
Выполните то, что я написал выше, пока пользуйтесь другим браузером, Internet Explorer, хотя бы. На следующем этапе, надеюсь, решим проблему.
-
-
Junior Member
- Вес репутации
- 56
Я зашел и сделал образ из безопасного режима . И т.к. работал с браузерами "макстун" и "гуглхром" то при обычной загрузке и включении - вышеописанных -компьютер почти сразу выключается но при тех на которых не работал - опера в данном случае -все нормально.
Еще. Что то не могу в управления вложениями сохранить карантин... ??? хотя при повторной попытке пишет, ч то создало + даже копию... Все вроде сделал как сказали . Спасибо что помогаете!
-
Выполните скрипт в uVS:
Код:
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
delref %Sys32%\BYKESUTE.EXE
delref %Sys32%\NETTCPHANDLER.EXE
delref %Sys32%\PYKUCISO.EXE
delref %Sys32%\WINNETSVC.EXE
delref %SystemDrive%\PROGRAM FILES\BITCOIN\BITCOIN-QT.EXE
deldir %SystemDrive%\PROGRAM FILES\BITCOIN
del %SystemDrive%\DOCUMENTS AND SETTINGS\ROMARIO! )\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\BITCOIN CORE\UNINSTALL BITCOIN CORE (32-BIT).LNK
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\JETSWAP SAFESURF\ДЕИНСТАЛЛИРОВАТЬ JETSWAP SAFESURF.LNK
regt 28
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ROMARIO! )\APPLICATION DATA\REDSURF-CLIENT\REDSURF.EXE
regt 27
delref HTTP://GO.MAIL.RU/DISTIB/EP/?PRODUCT_ID=%7B87ED18CD-6A79-469F-9826-59F8722072C3%7D&GP=821699
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ROMARIO! )\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\SWREPORTER\6.48.6\SOFTWARE_REPORTER_TOOL.EXE
dirzooex %SystemDrive%\DOCUMENTS AND SETTINGS\ROMARIO! )\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\SWREPORTER\6.48.6
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ROMARIO! )\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\SWREPORTER\6.48.6\SOFTWARE_REPORTER_TOOL.EXE
deltmp
czoo
restart
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
-
-
Junior Member
- Вес репутации
- 56
все сделал как вы написали только с оперы комп выключяется уже тоже. А в безопасном как бы не нагружал проц - хочь бычто ему...
Вот файлы которые вы сказали приложить :
Беда прям какая то с этим вирусом, ... ((
-
Удалите программы:
MailBurner
Mask Surf
JetSwap SafeSurf
Country Code SIM Card
RedSurf-client
Rush Extension
Rubserf 1.0
SimpleSurfing Traffic Exchange Tools
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
2016-05-20 10:08 - 2016-05-20 10:08 - 00000000 _____ C:\Program Files\GUM6F.tmp
2015-10-29 15:15 - 2015-10-29 15:15 - 0178814 _____ () C:\Documents and Settings\RomariO! )\Local Settings\Application Data\1032BAA2_stp.CIS
2015-10-29 15:15 - 2015-10-29 15:15 - 0000238 _____ () C:\Documents and Settings\RomariO! )\Local Settings\Application Data\1032BAA2_stp.CIS.part
2015-10-29 15:15 - 2015-10-29 15:15 - 0079872 _____ () C:\Documents and Settings\RomariO! )\Local Settings\Application Data\45402109_stp.CIS
2015-10-29 15:15 - 2015-10-29 15:15 - 0000241 _____ () C:\Documents and Settings\RomariO! )\Local Settings\Application Data\45402109_stp.CIS.part
2015-10-29 15:15 - 2015-10-29 15:15 - 33484800 _____ () C:\Documents and Settings\RomariO! )\Local Settings\Application Data\572E4CDB_stp.EXE
2015-10-29 15:15 - 2015-10-29 15:15 - 0000674 _____ () C:\Documents and Settings\RomariO! )\Local Settings\Application Data\572E4CDB_stp.EXE.part
2015-10-29 15:15 - 2015-10-29 15:15 - 0716920 _____ (Opera Software) C:\Documents and Settings\RomariO! )\Local Settings\Application Data\6F2F75FE_stp.EXE
2015-10-29 15:15 - 2015-10-29 15:15 - 0000196 _____ () C:\Documents and Settings\RomariO! )\Local Settings\Application Data\6F2F75FE_stp.EXE.part
ShortcutWithArgument: C:\Documents and Settings\RomariO! )\Рабочий стол\Yandex.lnk -> C:\Documents and Settings\RomariO! )\Local Settings\Application Data\Yandex\YandexBrowser\Application\browser.exe (YANDEX LLC) -> www.aqovd.com?oem=sunadplv3&uid=080922FB2400LEH3Y9PA_HitachiHTS543232L9A300&tm=1447930916
ShortcutWithArgument: C:\Documents and Settings\RomariO! )\Рабочий стол\Неиспользуемые ярлыки\Копия Панель запуска приложений Chrome.lnk -> D:\Install\браузеры\GoogleChromePortable\App\Chrome-bin\chrome.exe (Google Inc.) -> www.aqovd.com?oem=sunadplv3&uid=080922FB2400LEH3Y9PA_HitachiHTS543232L9A300&tm=1447930916
ShortcutWithArgument: C:\Documents and Settings\RomariO! )\Рабочий стол\Неиспользуемые ярлыки\Панель запуска приложений Chrome.lnk -> D:\Install\браузеры\GoogleChromePortable\App\Chrome-bin\chrome.exe (Google Inc.) -> www.aqovd.com?oem=sunadplv3&uid=080922FB2400LEH3Y9PA_HitachiHTS543232L9A300&tm=1447930916
ShortcutWithArgument: C:\Documents and Settings\RomariO! )\Главное меню\Программы\Приложения Chrome\справедливый AdBlock App (by STANDS).lnk -> D:\Install\браузеры\GoogleChromePortable\App\Chrome-bin\chrome.exe (Google Inc.) -> www.aqovd.com?oem=sunadplv3&uid=080922FB2400LEH3Y9PA_HitachiHTS543232L9A300&tm=1447930916
ShortcutWithArgument: C:\Documents and Settings\RomariO! )\Главное меню\Программы\Yandex\Yandex.lnk -> C:\Documents and Settings\RomariO! )\Local Settings\Application Data\Yandex\YandexBrowser\Application\browser.exe (YANDEX LLC) -> www.aqovd.com?oem=sunadplv3&uid=080922FB2400LEH3Y9PA_HitachiHTS543232L9A300&tm=1447930916
ShortcutWithArgument: C:\Documents and Settings\RomariO! )\Application Data\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk -> C:\Documents and Settings\RomariO! )\Local Settings\Application Data\Yandex\YandexBrowser\Application\browser.exe (YANDEX LLC) -> www.aqovd.com?oem=sunadplv3&uid=080922FB2400LEH3Y9PA_HitachiHTS543232L9A300&tm=1447930916
S3 NLNdisMP; system32\DRIVERS\nlndis.sys [X]
S3 NLNdisPT; system32\DRIVERS\nlndis.sys [X]
S3 tmeter; system32\DRIVERS\tmeter.sys [X]
S3 tmeterMP; system32\DRIVERS\tmeter.sys [X]
EmptyTemp:
Reboot:
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сделайте лог Check Browsers' LNK by Dragokas & regist.
Сделайте лог сканирования МВАМ.
Включите в Eset Smart Security файрволл и последите за его предупреждениями при запуске браузеров.
-
-
Junior Member
- Вес репутации
- 56
Добрый день снова. Я зашел с безрпасного с подключением сетевых дров т.к. просто вырубает комп как только пытаюсь что то сделать а в безопасном проблемм нет. Все сделал. Вот результаты:
-
Удалите в MBAM всё найденное.
Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".
Код:
>>> [MASK] "C:\Documents and Settings\All Users\Главное меню\Программы\Яндекс\Punto Switcher\Puntо Switсhеr.lnk" -> ["C:\Program Files\Yandex\Punto Switcher\puntо.bаt.exe"] -> (1635640 байт) (MD5: 1FE0A4B5CF5BDC16362011FE893BA9FF) -> (PE EXE)
>>> [MASK] "C:\Documents and Settings\RomariO! )\Главное меню\Программы\Yandex\Yаndех.lnk" -> ["C:\DOCUMENTS AND SETTINGS\ROMARIO! )\LOCAL SETTINGS\APPLICATION DATA\YANDEX\YANDEXBROWSER\APPLICATION\BRОWSЕR.BАT.EXE"]
>>> [script][RO] "C:\Documents and Settings\All Users\Главное меню\Программы\Яндекс\Punto Switcher\Новые возможности.lnk" -> ["C:\Program Files\Yandex\Punto Switcher\WelcomeToPunto.bat"] -> start "" /I /B /D"C:\PROGRA~1\Yandex\PUNTOS~1\" "C:\PROGRA~1\Yandex\PUNTOS~1\WELCOM~1.URL" -- "hxxp://pagego.ru/?from=mru1"¶ (MD5:E3ACD8D98BCD876F7AEE527AEBAC65B2)
>>> [script][RO] "C:\Documents and Settings\All Users\Главное меню\Программы\Яндекс\Punto Switcher\Справка.lnk" -> ["C:\Program Files\Yandex\Punto Switcher\ps.bat"] -> start "" /I /B /D"C:\PROGRA~1\Yandex\PUNTOS~1\" "C:\PROGRA~1\Yandex\PUNTOS~1\ps.chm" -- "hxxp://pagego.ru/?from=mru1"¶ (MD5:1C9A3401DF0AC52D4A0220C4D8168325)
- "C:\Documents and Settings\All Users\Избранное\Mail.Ru Агент - используй для общения!.url" -> hxxp://agent.mail.ru/ru/download/agent_windows/download.html?sputnik=1
- "C:\Documents and Settings\All Users\Избранное\Mail.Ru.url" -> hxxp://vvv.mail.ru/cnt/7861
Отчёт о работе прикрепите.
Сообщите, что с проблемой, если осталась - при вызове каких браузеров, с каких именно ярлыков.
-
-
Junior Member
- Вес репутации
- 56
Даю отчет. Вирусов удалило конечно 51 вроде. Серьезно. Спасибо вам сердечное - большое! Но это не изменило главной проблемы. (((... Как только включаю компьютер -температура нормальная но стоит включить мне браузер опера или другой - сразу начинается страшно - сильный вой. Процессор на полную правда только секунд 30... потом нормально (прим. 1 мин) потом снова таже фигня. мощность растет когда хочет... и в конце концов компьютер отключается (наверное за счет перегрева процессора ) я не понимаю, что происходит? такого никогда раньше н было комп мой работал очень тихонечко и все ((( может давайте сначала все повторить - проверить все
?
Я уже думал систему перебить но у меня столько программ для работы, что просто у меня уйдтет на восстановление их дня два три, учитывая рабочее время. Что делать то я не знаю помогите HELP !!!
п.с.: в безопасном проблем нет никаких
-
Проблема во всех браузерах? Opera, FieFox, Chrome?
Какой именно процесс даёт загрузку, посмотрите в диспетчере задач.
-
-
Junior Member
- Вес репутации
- 56
A0102085.EXE выскочил снова в nod32/ А я заметил, что удалял его nodom32 , cureitom, и не один раз и после перезагрузки он успевал себя на копировать. он себя копирует сам добавляя новую цифру.
... Конкретно какой процесс грузит определить не могу. удалял все лишние процессы оставляя только системные - главные, что нельзя удалять, То все равно комп летает когда себе хочет. НО я говорю, что мы все делали правильно простто вирус снова смог себя сам накопировать. Я говорю, что так: проверяю cureitom - находит. Перезагрузка сразу. и снова откуда эта гадость только уже с другими цифрами. Успевает поклонировать себя... Может я снов проделаю все шаги как надо с начало с утилиттой AVZ ... ???
Последний раз редактировалось A67809R; 25.05.2016 в 10:01.
-
-
-
Junior Member
- Вес репутации
- 56
-
Отключите до перезагрузки антивирус и выполните скрипт в uVS:
Код:
;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v388c
dirzooex %SystemDrive%\DOCUMENTS AND SETTINGS\ROMARIO! )\LOCAL SETTINGS\APPLICATION DATA\WEBISIDA
deldir %SystemDrive%\DOCUMENTS AND SETTINGS\ROMARIO! )\LOCAL SETTINGS\APPLICATION DATA\WEBISIDA
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ROMARIO! )\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\SWREPORTER\6.48.6\SOFTWARE_REPORTER_TOOL.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ROMARIO! )\LOCAL SETTINGS\APPLICATION DATA\WEBISID1\WEBISIDA.BROWSER.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\LOCAL SETTINGS\APPLICATION DATA\WEBISIDA\WEBISIDA.BROWSER.EXE
deltmp
czoo
restart
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
-
-
Junior Member
- Вес репутации
- 56
написало, что текст скрипта содержит ошибки либо не содержит команд uvs
Последний раз редактировалось A67809R; 27.05.2016 в 02:13.
-
А Вы точно в UVS скрипт пытались выполнить?
-
-
Junior Member
- Вес репутации
- 56
в uVS сто (100) % не получается. НО! скажу одно, что те програмки , что Вы писали в скрипте удалить через uVS - их удалил с помощью CUREIT в безопасном - при повторной проверке.
А комп вырубался из за того , что пересохла термопаста. НО Биткоин вирус провоцировал поднятие температуры. Поэтому такой круг получился. После того как я с помощью Вашего сервиса удалил все вирусы Все стало супер - Хочу Вас поблагодарить за провявленное терпение и труд. ! Вы мне очень помогли!!! Всего Вам самого лучшего !!! Спасибо Вам! )