формируется файл c:\temp\cm7.exe
после удаления образуется вновь
Поставил KIS после обнаружения заражения вирусом bitcoin miner
В результате вирус выгружает KIS и не даёт ему обновляться
Printable View
формируется файл c:\temp\cm7.exe
после удаления образуется вновь
Поставил KIS после обнаружения заражения вирусом bitcoin miner
В результате вирус выгружает KIS и не даёт ему обновляться
Уважаемый(ая) [B]Aleksey_P[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url].
сделал
Однако, архив не получается upload-ить
Если архив делаю многотомным, то последний том не хочет загружаться
Прикрепите лог к теме.
какой лог?
На Rghost.ru выложите и ссылку сюда.
спс. Сам не додумался ((
[url]http://rghost.ru/48780974[/url]
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.81.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
delref HTTP://YAMBLER.NET/?IQ&UID=3358718E4CF167C7529F68A38A4CBC16&IID=26507455
zoo %SystemDrive%\USERS\DNS-SHOP\APPDATA\LOCAL\SCHEDULE\SCHEDULE.EXE
delall %SystemDrive%\USERS\DNS-SHOP\APPDATA\LOCAL\SCHEDULE\SCHEDULE.EXE
delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\DEALPLYLIVE\UPDATE\DEALPLYLIVE.EXE
delref (X86)\DEALPLY\DEALPLYUPDATE.EXE
exec "C:\Program Files (x86)\DealPly\uninst.exe" /uninstall
exec "C:\Users\DNS-SHOP\AppData\Roaming\BabSolution\Shared\GUninstaller.exe" -key "Delta Chrome Toolbar" -rmkey -rmbus "Delta Chrome Toolbar" -plgdll enhancedNT -nontfy
exec "C:\Program Files (x86)\Delta\delta\1.8.24.5\GUninstaller.exe" -uprtc -rmbus "Delta toolbar" -nontfy -bname=dlt -key "delta"
exec C:\Program Files (x86)\Lyrmix\Uninstall.exe
uidel "C:\ProgramData\BitGuard\2.6.1673.238\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\uninstall.exe" /Uninstall /{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693} /um
exec C:\PROGRA~3\TARMAI~1\{C4ED7~1\Setup.exe /remove /q0
exec "C:\Users\DNS-SHOP\AppData\Local\ConvertAd\uninstall.exe"
deltmp
restart[/code]На вопросы об удалении программ рекомендую соглашаться.
Компьютер перезагрузится.
Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата [B].ZIP[/B] с паролем [B]virus[/B] и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый полный образ автозапуска uVS.
Что с проблемами?
всё сделал. Архив ZOO загрузил по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Полный образ автозапуска uVS там [url]http://rghost.ru/48794991[/url]
Проблема осталась. Каспер не обновляется (обновлены не все компоненты). После загрузки компа минуты через 3-4 KIS выгружается из памяти.
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.81.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
exec C:\Program Files (x86)\WebConnect\WebConnectuninstall.exe
restart[/code]На вопросы об удалении программ рекомендую соглашаться.
Компьютер перезагрузится.
Что с bitcoin miner и KIS?
KIS обновляется. Мне показалось, что инструкция
exec C:\Program Files (x86)\WebConnect\WebConnectuninstall.exe
не успела выполниться и комп ушёл в перезагрузку
файл c:\temp\cm7.exe появился вновь, но его заметил KIS и сам удалил
Запустил пока полную проверку у KIS
Удалил каталог c:\temp\
Однако, c:\temp\cm7.exe появился вновь. Полная проверка KIS будет продолжаться около7 часов ((
Удалите WebConnect через панель управления, если он там остался.
Когда обнаруживается майнер, сразу после загрузки компьютера, после подключения к интернету? С какого времени начала определяться эта проблема. Дело в том, что ни по одному логу следов файла cm7.exe не видно.
Сделайте [url=http://virusinfo.info/showthread.php?t=115256]логи RSIT.[/url]
WebConnect удалил из Панели управления.
Отключил комп от сети. Удалил каталог c:\temp\. Отправился в перезагрузку. После загрузки компа появляется каталог c:\temp Минут через 6 после загрузки подключаю комп к интернету - и появляется c:\temp\cm7.exe
KIS завершил полную проверку. 4 каких-то файла поместил в карантин 2 удалил. Однако, при попытке просмотреть отчёты через интерфейс KIS, KIS виснет и выгружается. Сейчас буду делать логи RSIT...
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Проблемы на компе замечены в субботу, 14.09. На нем помимо bitcoin miner сидели ещё вирусы попроще. Что-то удалось удалить DrWeb CureIt. Miner'а заметил либо вечером в сб, либо вечером в вс.
В KIS файрвол включен?
Выполните скрипт в AVZ при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]
глюки в работе KIS пока не проявляются...
KIS сам находит и удаляет c:\temp\cm7.exe
удалить бы процесс, который этот файл записывает....
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Про файрвол. Это настройка сетей в KIS?
AVZ уязвимостей не нашёл.
MalWare просканировал систему. Несколько раз от него всплывали сообщения о блокированном трафике на IP 195.68.160.186,195.68.160.233,213.186.116.119
[quote="Aleksey_P;1039420"]Поставил KIS после обнаружения заражения вирусом bitcoin miner[/quote]
Чем его обнаружили, каким антивирусом, какой антивирус изначально присвоил имя вирусу bitcoin miner ?
не антивирус присвоил. На Вашем форуме увидел схожие по описанию обращения пользователей. Поэтому обратился, будучи уверенным в том, что у меня именно он
[url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Удалите в MBAM[/url] всё найденное.
[NOTICE]Удалите Malwarebytes Anti-Malware, его использование в качестве антивируса с постоянной защитой не рекомендуется, особенно совместно с другими защитными продуктами.[/NOTICE]
Попробуйте отключить временно KIS и отловить файл cm7.exe. Упакуйте его с помощью WinRar, 7-Zip или WinZip в архив формата [B].ZIP[/B] с паролем [B]virus[/B] и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме. Может, мы боремся не с тем, с чем надо? ;)
выслал файл по ссылке "Прислать запрошенный карантин"
P.S. Точно ли нужно удалять всё найденное в МВАМ?
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
к сожалению, лог удаления после перезагрузки утерян.
Файл c:\temp\cm7.exe образуется вновь. KIS его обнаруживает и стирает.