Банеры в IE. coin-miner.exe [not-a-virus:RiskTool.Win32.BitCoinMiner.chl, Trojan.Win32.Agent.xgbq ]

Printable View

23.03.2013, 15:41
Gansik

Банеры в IE. coin-miner.exe [not-a-virus:RiskTool.Win32.BitCoinMiner.chl, Trojan.Win32.Agent.xgbq ]

Добрый день. Нужна помощь. В IE постоянно вываливаются баннеры не непонятные.
[ATTACH=CONFIG]410942[/ATTACH]
А также в диспетчере заметил подозрительные процесс ([B]coin-miner.exe[/B]). Который очень сильно грузит систему.
23.03.2013, 15:43
Info_bot

Уважаемый(ая) [B]Gansik[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
23.03.2013, 16:47
Acidorum

Здравствуйте!

1. Отключите все защитные приложения ([URL="http://virusinfo.info/showthread.php?t=57441"]Чтобы узнать, как это сделать, нажмите здесь.[/URL]).

2. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis[/URL]:
[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{337FBF69-0257-435B-817D-E489E06C399D}: NameServer = 5.199.140.178
O17 - HKLM\System\CS1\Services\Tcpip\..\{337FBF69-0257-435B-817D-E489E06C399D}: NameServer = 5.199.140.178
O17 - HKLM\System\CS3\Services\Tcpip\..\{337FBF69-0257-435B-817D-E489E06C399D}: NameServer = 5.199.140.178
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://dossearch.ru
R3 - URLSearchHook: (no name) - - (no file)
[/CODE]

3. Выполните скрипт в AVZ ([URL="http://virusinfo.info/showthread.php?t=7239"]Чтобы узнать, как это сделать, нажмите здесь.[/URL]):
[CODE]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\documents and settings\user\application data\mining\install2.exe');
TerminateProcessByName('c:\documents and settings\user\application data\mining\coin-miner.exe');
QuarantineFile('C:\WINDOWS\Fonts\ARIALUNI.exe','');
QuarantineFile('C:\Documents and Settings\user\Local Settings\Temp\~DF4E20.tmp','');
QuarantineFile('C:\Documents and Settings\user\Local Settings\Temp\~DF4DD9.tmp','');
QuarantineFile('c:\documents and settings\user\application data\mining\install2.exe','');
QuarantineFile('c:\documents and settings\user\application data\mining\coin-miner.exe','');
DeleteFile('c:\documents and settings\user\application data\mining\coin-miner.exe');
DeleteFile('c:\documents and settings\user\application data\mining\install2.exe');
DeleteFile('C:\Documents and Settings\user\Local Settings\Temp\~DF4DD9.tmp');
DeleteFile('C:\Documents and Settings\user\Local Settings\Temp\~DF4E20.tmp');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Startup');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.

4. Затем выполните ещё один скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

5. Пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).

6. Сделайте повторные логи (hijackthis.log, virusinfo_syscheck.zip, virusinfo_syscure.zip).
25.03.2013, 13:30
Gansik

Спасибо. Готово. Не могу загрузить лог hijackthis. Пишет что размер превысит 10 кб
[ATTACH]411432[/ATTACH]
[ATTACH]411433[/ATTACH]
25.03.2013, 14:22
Acidorum

Что с проблемой?

[QUOTE]Не могу загрузить лог hijackthis. Пишет что размер превысит 10 кб[/QUOTE]

Попробуйте сделать новый лог HijackThis и загрузить его.
25.03.2013, 14:40
Gansik

Лог 13 кб. Но проблема пропала. Спасибо:)
26.03.2013, 14:39
Techno

Загрузите файл на файлообменник и приложите ссылку.
26.03.2013, 19:33
Gansik

Готово. Лог: [url]http://us.ua/1074716/[/url]
26.03.2013, 20:15
Techno

Порядок.

Что с проблемами?

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в AVZ[/URL] скрипт из файла [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]
- Откройте файл [B]avz_log.txt[/B] из под-папки [B]LOG[/B].
- Пройдитесь по ссылкам из файла [B]avz_log.txt[/B] и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
27.03.2013, 15:33
Gansik

Все сделано. Спасибо. Проблемы решены.
27.03.2013, 15:43
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\user\\application data\\mining\\coin-miner.exe - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.chl[/B] ( DrWEB: Tool.BtcMine.84 )[*] c:\\documents and settings\\user\\application data\\mining\\install2.exe - [B]Trojan.Win32.Agent.xgbq[/B] ( DrWEB: Trojan.DownLoad.64647, BitDefender: Gen:Variant.Kazy.147966, AVAST4: Win32:Malware-gen )[/LIST][/LIST]