dbgen.exe - 100% загрузкапроцессора [not-a-virus:RiskTool.Win64.BitCoinMiner.dp ]

Printable View

30.06.2014, 21:09
xgoodwin

dbgen.exe - 100% загрузкапроцессора [not-a-virus:RiskTool.Win64.BitCoinMiner.dp ]

Добрый вечер эксперты,

Win7 Prof 64bit.

Пытаясь найти в сети видеотрансляцию матча ЧМ2014, скачал flash_player. Внешне он похож был на Flash_Player от Adobe, я заподозрил конечно подвох, но уж очень хотелось побыстрее футбол посмотреть :)

Впоследствии обнаружились следы действия зловреда: в C:\Windows\Temp при загрузке создается набор файлов, один из них dbgen.exe. Он грузит процессор на 100% постоянно. Простая очистка C:\Windows\Temp, конечно, не дает результата - при загрузке файлы появляются вновь.

Вот эти файлы:
[QUOTE]
C:\Windows\Temp\DFFFBA18D57E9F84A92FF9A68DC3CB68-Sigs\ <Ïàïêà> 30.06.14 14:07 ----
C:\Windows\Temp\Low\ <Ïàïêà> 07.06.14 21:22 ----
C:\Windows\Temp\VPN_8D84\ <Ïàïêà> 30.06.14 10:02 ----
C:\Windows\Temp\VPN_017A\ <Ïàïêà> 30.06.14 10:02 ----
C:\Windows\Temp\.unicode_cache_d495c078.dat 1 637 485 29.06.14 22:16 -a--
C:\Windows\Temp\dgen.exe 765 952 30.06.14 10:02 -a--
C:\Windows\Temp\libcurl-4.dll 603 763 12.01.14 01:01 -a--
C:\Windows\Temp\crpt.exe 144 384 30.06.14 10:02 -a--
C:\Windows\Temp\starter.exe 77 713 16.06.14 22:27 -a--
C:\Windows\Temp\pthreadGC2-w64.dll 42 496 06.06.10 03:00 -a--
C:\Windows\Temp\MpCmdRun.log 7 078 30.06.14 14:07 -a--
C:\Windows\Temp\MpSigStub.log 5 324 30.06.14 14:07 -a--
C:\Windows\Temp\lpksetup-20140629-221651-0.log 2 682 29.06.14 22:16 -a--
C:\Windows\Temp\lpksetup-20140630-100249-0.log 2 682 30.06.14 10:02 -a--
C:\Windows\Temp\dbg.log 134 30.06.14 10:02 -a--
C:\Windows\Temp\cstart.bat 83 04.06.14 21:39 -a--
[/QUOTE]

содержимое dbg.log:
[QUOTE]
"C:\Windows\TEMP\cstart.bat" stratum+tcp://jun2.dgensvc.com:6210
"C:\Windows\TEMP\cstart.bat" stratum+tcp://jun9.dgensvc.com:6209
[/QUOTE]

содержимое cstart.bat:
[QUOTE]
cd %~dp0
start /low /B "" "%~dp0dgen.exe" -o %1 -R 5 -a X11 > nul 2>&1
[/QUOTE]
30.06.2014, 21:10
Info_bot

Уважаемый(ая) [B]xgoodwin[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
30.06.2014, 21:16
thyrex

Логи переделать версией 4.43, предварительно обновив ее базы
30.06.2014, 22:17
xgoodwin

Не понял, почему Вы указали именно на версию 4.43, т.к. я предварительно только что ее скачал с сайта и обновил базы. Логи выполнены были именно в этой версии.

Но спорить смысла нет. Скачал AVZ заново, распаковал в чистый каталог, обновил базы, выполнил скрипты. Но на этот раз AVZ сформировал только 1 файл.
30.06.2014, 23:02
regist

[CODE]H:\temp\ZTE_ZXDSL_931WII.exe[/CODE]
Вам знаком? А также остальное содержимое папки H:\temp\

Выполните скрипт в AVZ

[CODE]begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
end.[/CODE]

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

- Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

+ посмотрите такой файл есть ?
[CODE]C:\Windows\Temp\dgen.exe[/CODE]
Если есть
Пришлите в карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
01.07.2014, 00:47
xgoodwin

[QUOTE=regist;1132106][CODE]H:\temp\ZTE_ZXDSL_931WII.exe[/CODE]
Вам знаком? А также остальное содержимое папки H:\temp\
[/QUOTE]

Да, сам скачивал. Это инсталятор для роутера от Ростелекома. Ну и весь TEMP сам годами собирал по файлику :)

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Лог сканирования от AdwCleaner (by Xplode)

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Такой файл есть:
[QUOTE]
C:\Windows\Temp\dgen.exe
[/QUOTE]
Загрузил его через карантин.
01.07.2014, 08:04
regist

[quote="xgoodwin;1132142"]Ну и весь TEMP сам годами собирал по файлику[/quote]
ну, видно все файлы там собирали вы ;).

[quote="xgoodwin;1132142"]Такой файл есть:
C:\Windows\Temp\dgen.exe
Загрузил его через карантин.[/quote]
Это и есть ваш майнер который грузит вашу систему. Удалите его и просмотрите папку на наличие его "друзей" - других незнакомых вам файлов.

- [url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё).

что с проблемой?
01.07.2014, 22:51
xgoodwin

Вот лог полного сканирования МВАМ.

Проблема осталась. Само собой, что простым удалением файлов проблема не решается. Они при загрузке заново появляются. Только не пойму пока откуда.
01.07.2014, 23:22
thyrex

Удалите в МВА (поместите в Карантин) всё, [B]кроме[/B]
[CODE]Trojan.Downloader, A:\Program Files\Total Commander Podarok Edition\Programm\DameWare NT Utilities\keygen.exe, , [940eb8c62b5090a669c779dd6a96e31d],
Trojan.Downloader, A:\Program Files\Total Commander Podarok Edition\Programm\EVEREST Ultimate Edition\Keymaker - Ultimate.exe, , [336fbec02457ad896cc44b0b00005ba5],
Trojan.Agent.CK, A:\Program Files\Total Commander Podarok Edition\Programm\Hide IP Platinum\keygen.exe, , [adf5ff7fbebd9d993a4a974457aacf31],
Trojan.Dropper, A:\Program Files\Total Commander Podarok Edition\Programm\Mpr\patch.exe, , [158d542a8fec8caa93c2d086fa06d22e],
PUP.Optional.Amonetize, C:\Program Files (x86)\AmiExt\flashEnhancer\uninstall.exe, , [cad81b637209f73fa1689cb5728ffb05],
Hacktool.Patcher, C:\Program Files (x86)\Wondershare\MobileGo for Android\wondershare.mobilego.for.android.4.2.0.249-patch.exe, , [069cbcc26516e74f316e1405af55d927],
Riskware.BitcoinMiner, C:\ProgramData\Auslogics\BoostSpeed\6.x\Rescue\BoostSpeed\140627225704025.rsc, , [5e441866adce6ec8580c1433f40d33cd],
PUP.Optional.V9.A, D:\Program Files\trademanager\AliAppLoader.exe, , [772b304e2754d561edd4c78142be5fa1],
PUP.Optional.OpenCandy, E:\Utils\MediaInfo_GUI_0.7.37_Windows_i386.exe, , [643e3f3f3843bc7afc77e9c83acaa25e],
Trojan.Agent, E:\Utils\Coyote\Coyote.exe, , [564c601e502bdf571003bb0d6d942cd4],
RiskWare.Tool.CK, E:\Utils\NeuroShell Trader 4\patch.exe, , [851d5c229cdfb87e18ee98d1847cba46],
Trojan.Downloader, E:\Utils\Total Commander Podarok Edition\Programm\DameWare NT Utilities\keygen.exe, , [2082bcc25724ff373ff18ccaf10f16ea],
Trojan.Downloader, E:\Utils\Total Commander Podarok Edition\Programm\EVEREST Ultimate Edition\Keymaker - Ultimate.exe, , [c2e029555526ec4aaa8672e47d83fd03],
Trojan.Agent.CK, E:\Utils\Total Commander Podarok Edition\Programm\Hide IP Platinum\keygen.exe, , [0b97b4ca0a7196a0493b924933ce58a8],
Trojan.Dropper, E:\Utils\Total Commander Podarok Edition\Programm\Mpr\patch.exe, , [e1c1c2bcb7c4cd695df8b89e916f5ba5],
RiskWare.Tool.CK, E:\Distr\Forex\Neuroshell\NeuroShell DayTrader Professional 4.4\Crack\patch.exe, , [0999e29c5e1d7fb71fe7c9a09868f808],
RiskWare.Tool.CK, E:\Distr\??N?N??????°N???N?N?\WinRar 3.51\winrar.rar, , [2b77f28c99e21c1a0a59391556aab64a],
RiskWare.Tool.CK, E:\Distr\???±???»??N?????\WinNC 3000\patch.exe, , [f1b1e995e29960d6ef175b0e6f91748c],
RiskWare.Tool.CK, E:\??N? ????N?N?N??????° ??\TuneUp.Utilities.2011.v10.0.2011.65.Incl.KeyGen.rar, , [fda5ccb2d0ab33035a26905cec15a25e],
RiskWare.Tool.HCK, E:\??N? ????N?N?N??????° ??\TuneUp_Utilities_2010_9.0.4100.12_Rus.rar, , [3c666e10a3d80630193a0dba38c9a65a],
RiskWare.Tool.HCK, E:\??N? ????N?N?N??????° ??\TuneUp Utilities 2010 9.0.4100.12 Rus\Keygen.exe, , [b0f2daa45e1d5fd7361dfccbef1221df],
RiskWare.Tool.CK, E:\??N? ????N?N?N??????° ??\TuneUp.Utilities.2011.v10.0.2011.65.Incl.KeyGen\keygen.exe, , [7b2788f6710af6402f51c428b15021df],
RiskWare.Tool.CK, E:\??N? ????N?N?N??????° ??\TuneUp.Utilities.2011.v10.0.2011.65.Incl.KeyGen\KeyGen.rar, , [eeb4017dcead2016e59b5894808148b8],
PUP.Hacktool.Patcher, H:\!complete_dowload\StreetWars\street.wars-patch.exe, , [f1b1582619625cda5e4e49bc8f716a96],
Backdoor.Agent.Gen, H:\???°???° USB\N??»?µN?\SysInfo.exe, , [980a67175427bd79fc2d701ce02039c7],
CrackTool.Agent, H:\temp\MGo_4.2.1.249+++Rus.rar, , [7c263648eb9075c11160f53029d8f30d],
PUP.Hacktool, H:\temp\mKMSAct.exe, , [d2d0c3bb2d4efc3a19a8d5a946ba5fa1],
PUP.Optional.OpenCandy, H:\temp\attsetup.exe, , [3f638df1fc7fcf67f97aa9080ff5b34d],
PUP.Optional.OpenCandy, H:\temp\winamp5622_full_bundle_emusic-7plus_ru-ru.exe, , [4a58146aadce310595de822f986c4eb2],
PUP.Optional.OpenCandy, H:\temp\MediaInfo_GUI_0.7.44_Windows_i386.exe, , [d8cac9b590eb989e94dff1c027ddc43c],
Hacktool.Patcher, H:\temp\MobileGo.4.2.0.249.rar, , [f0b21b63fc7f71c5247b81980afaa858],
CrackTool.Agent, H:\temp\MGo_4.2.1.249 + Rus\Patch.rar, , [fca67a0496e583b389e8e93ca1602bd5],
PUP.Hacktool.Patcher, H:\temp\N?N??°N?N??? D\proxifier 2.0.rar.rar, , [554da8d66912e1556349010429d79868],
RiskWare.Tool.HCK, H:\temp\usb\Utils\TuneUp Utilities 2010 9.0.4100.12 Rus\Keygen.exe, , [4161c1bdadcecd690e45d0f76998659b],
PUP.AdvancedPRecovery, H:\temp\usb\Utils\???????°?»???? ???°N????»?µ??\edp2009\archpr450.zip, , [673b423c7506a393859d7d6d946dc43c], [/CODE]
01.07.2014, 23:28
regist

+

[CODE]C:\ProgramData\Auslogics\BoostSpeed\6.x\Rescue\BoostSpeed\140627225704025.rsc[/CODE]также пришлите в карантин + проверьте [url]http://www.virustotal.com/[/url] ссылку на результат проверки напишите здесь.

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

сделайте новый лог сканирования MBAM.
02.07.2014, 23:44
xgoodwin

[QUOTE=thyrex;1132542]Удалите в МВА (поместите в Карантин) всё, [B]кроме[/B]
[CODE]Trojan.Downloader,
.....
.....
.....
[/CODE][/QUOTE]

Все переместил в карантин.

Сделал еще раз сканирование через AdwCleaner (by Xplode). Удалил найденные объекты. Перезагрузил.
Зловред при старте не запустился, хотя в папке TEMP остался. Могу сказать, что проблема устранена!

Большое спасибо, уважаемые эксперты! Каждому плюс в репутацию.
02.07.2014, 23:55
regist

MBAM деинсталируйте.

Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
03.07.2014, 22:11
xgoodwin

Сделал проверку, обновил Java. Спасибо за помощь!
03.07.2014, 22:21
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\temp\dgen.exe - [B]not-a-virus:RiskTool.Win64.BitCoinMiner.dp[/B] ( DrWEB: Tool.BtcMine.318 )[/LIST][/LIST]