Добрый день! Помогите избавится от вируса Bitcoinminer. Symantec находит его, но не удаляет. Логи прикладываю.
Добрый день! Помогите избавится от вируса Bitcoinminer. Symantec находит его, но не удаляет. Логи прикладываю.
Уважаемый(ая) [B]BBC[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[QUOTE=BBC;1029384]Логи прикладываю.[/QUOTE]
Где?
не получается приложить логи. управление вложениями не работает. нажимаю на кнопку пустое окно выходит.
На rghost.ru тогда, и сюда ссылки.
[url]http://rghost.ru/48152925[/url]
[url]http://rghost.ru/48152964[/url]
Запускайте AVZ правой кнопкой мыши - "Запуск от имени Администратора".
Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
ClearQuarantine;
TerminateProcessByName('c:\users\chilina.nataliya\tmp\svсhost.exe');
QuarantineFile('C:\Users\Chilina.Nataliya\AdobeChecker.exe','');
QuarantineFile('C:\Users\CHILIN~1.NAT\AppData\Local\Temp\{80FB154D-501F-4B2D-8923-E3021168801A}\fpb.tmp','');
QuarantineFile('C:\Users\Chilina.Nataliya\tmp\zlib1.dll','');
QuarantineFile('C:\Users\Chilina.Nataliya\tmp\SSLEAY32.dll','');
QuarantineFile('C:\Users\Chilina.Nataliya\tmp\pthreadGC2.dll','');
QuarantineFile('C:\Users\Chilina.Nataliya\tmp\OpenCL.dll','');
QuarantineFile('C:\Users\Chilina.Nataliya\tmp\libusb-1.0.dll','');
QuarantineFile('C:\Users\Chilina.Nataliya\tmp\libidn-11.dll','');
QuarantineFile('C:\Users\Chilina.Nataliya\tmp\LIBEAY32.dll','');
QuarantineFile('C:\Users\Chilina.Nataliya\tmp\libcurl-4.dll','');
QuarantineFile('c:\users\chilina.nataliya\tmp\svсhost.exe','');
DeleteFile('c:\users\chilina.nataliya\tmp\svсhost.exe','32');
DeleteFileMask('c:\users\chilina.nataliya\tmp','*', true);
ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Загрузите quarantine.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" в шапке этой темы.
Обновите базы AVZ.
Если базы не обновляются через меню Файл - Обновление баз,
скачайте архив баз [url]http://z-oleg.com/secur/avz_up/avzbase.zip[/url]
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" [URL="http://virusinfo.info/pravila.html"]правил[/URL]) и приложите в теме.
Скрипт выполнился, но файл quarantine.zip не создался.
Пардон, команду забыл вставить...
Выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" в шапке этой темы.
Добрый день! Извиняюсь за задержку с ответом. Файл карантина прикрепил к теме. Логи выложил на [URL]http://rghost.ru/[/URL]
[URL]http://rghost.ru/48264175[/URL]
[URL]http://rghost.ru/48264186[/URL]
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('c:\users\chilina.nataliya\tmp\svсhost.exe');
DeleteFile('c:\users\chilina.nataliya\tmp\svсhost.exe','32');
DeleteFile('C:\Users\Chilina.Nataliya\AdobeChecker.exe','32');
DeleteFileMask('c:\users\chilina.nataliya\tmp','*',false);
ExecuteSysClean;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Выполнил [url]http://rghost.ru/48266527[/url]
Порядок.
Выполните скрипт в AVZ при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Спасибо. Очень помогли. У меня еще есть несколько таких компьютеров на которых сидит данный зловред. По возможности пришлю с них логи.
Для каждого - отдельную тему, пожалуйста.
Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\users\\chilina.nataliya\\adobechecker.exe - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.cva[/B] ( DrWEB: Trojan.BtcMine.120, BitDefender: Gen:Variant.Strictor.5300, AVAST4: Win32:Malware-gen )[/LIST][/LIST]