Win32/CoinMiner

Printable View

06.11.2011, 13:28
Tetsu

Win32/CoinMiner

Здравствуйте!
Помогите удалить вирус Win32/CoinMiner

[url]http://www.fayloobmennik.net/1141533[/url]
[url]http://www.fayloobmennik.net/1141539[/url]
[url]http://www.fayloobmennik.net/1141544[/url]
06.11.2011, 13:29
Info_bot

Уважаемый(ая) [B]Tetsu[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
06.11.2011, 15:02
Techno

Здравствуйте!!!

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\users\ыацйа\appdata\roaming\46ff.exe');
TerminateProcessByName('c:\users\ыацйа\start menu\programs\startup\winlogos.exe');
QuarantineFile('C:\Windows\system32\kojvclc.dll','');
QuarantineFile('C:\Windows\System32\drivers\etc\file.exe','');
QuarantineFile('C:\Users\ыацйа\appdata\local\temp\x30811.exe','');
QuarantineFile('C:\Users\ыацйа\AppData\Roaming\Lqatae.exe','');
QuarantineFile('c:\users\ыацйа\start menu\programs\startup\winlogos.exe','');
QuarantineFile('c:\users\ыацйа\appdata\roaming\46ff.exe','');
DeleteFile('c:\users\ыацйа\appdata\roaming\46ff.exe');
DeleteFile('c:\users\ыацйа\start menu\programs\startup\winlogos.exe');
DeleteFile('C:\Users\ыацйа\AppData\Roaming\Lqatae.exe');
DeleteFile('C:\Users\ыацйа\appdata\local\temp\x30811.exe');
DeleteFile('C:\Windows\System32\drivers\etc\file.exe');
DeleteFile('C:\Windows\system32\kojvclc.dll');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Lqatae');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

- [URL="http://virusinfo.info/showthread.php?t=4905"]отключите восстановление системы[/URL] и Повторите логи.

Что с проблемой?
06.11.2011, 15:41
Tetsu

quarantine.zip - [url]http://www.fayloobmennik.net/1141858[/url]
Проблема решена, спасибо!
Насчёт, "Повторите логи" (virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.log) после отключения восстановление системы предоставить?
06.11.2011, 15:49
Techno

[quote="Tetsu;839116"]quarantine.zip - [url]http://www.fayloobmennik.net/1141858[/url][/quote]
[quote="Techno;839104"]Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.[/quote]

[quote="Tetsu;839116"]Насчёт, "Повторите логи" (virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.log) после отключения восстановление системы предоставить?[/quote]
Да.
06.11.2011, 19:18
Tetsu

[url]http://www.fayloobmennik.net/1142398[/url]
[url]http://www.fayloobmennik.net/1142408[/url]
[url]http://www.fayloobmennik.net/1142415[/url]
06.11.2011, 20:59
thyrex

Логи прикрепляйте на форуме через кнопку Расширенный режим, пожалуйста

[size="1"][color="#666686"][B][I]Добавлено через 31 секунду[/I][/B][/color][/size]

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
07.11.2011, 20:59
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\users\\ыацйа\\appdata\\local\\temp\\x30811.exe - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.bod[/B] ( DrWEB: Tool.BtcMine.8, BitDefender: Trojan.Generic.7275952, AVAST4: Win32:Malware-gen )[*] c:\\users\\ыацйа\\appdata\\roaming\\lqatae.exe - [B]Trojan.Win32.Buzus.iylw[/B] ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.6828915, AVAST4: Win32:MalOb-IE [Cryp] )[*] c:\\users\\ыацйа\\appdata\\roaming\\46ff.exe - [B]Trojan.Win32.Jorik.Shakblades.czw[/B] ( DrWEB: Trojan.DownLoader4.51992, BitDefender: Trojan.Generic.6943407, NOD32: Win32/Slenfbot.AJ worm, AVAST4: Win32:VBCrypter-A [Cryp] )[*] c:\\users\\ыацйа\\start menu\\programs\\startup\\winlogos.exe - [B]Trojan.Win32.Diple.clcp[/B] ( DrWEB: Trojan.Packed.22157, BitDefender: Worm.Generic.353609, NOD32: Win32/AutoRun.Injector.AM worm, AVAST4: Win32:MalOb-IE [Cryp] )[*] c:\\windows\\system32\\drivers\\etc\\file.exe - [B]Trojan.Win32.Agent.ncod[/B] ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6096787, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:Menti [Trj] )[/LIST][/LIST]