minerd.exe грузит процессор [not-a-virus:RiskTool.Win32.BitCoinMiner.xdq ]

Printable View

10.12.2014, 21:39
Mazmen

minerd.exe грузит процессор [not-a-virus:RiskTool.Win32.BitCoinMiner.xdq ]

Всем приветы.Как оформить заявку и кому можно отправить подозрительные файлы? Спасибо.
10.12.2014, 21:40
Info_bot

Уважаемый(ая) [B]Mazmen[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
10.12.2014, 21:41
thyrex

[url]http://virusinfo.info/pravila.html[/url]
10.12.2014, 21:46
Mazmen

Я выслал все на как написано в инструкции
10.12.2014, 22:08
thyrex

Нам нужны логи. А карантин пока никто не просил
11.12.2014, 01:01
Mazmen

Вот лог пожалуйста
11.12.2014, 01:35
mike 1

Логи AVZ где?
11.12.2014, 12:21
Mazmen

Подскажите где они находяться,есть папка LOG в АВЗ на там нет логов
11.12.2014, 13:41
mike 1

Значит что-то делайте не так. Архив с AVZ распаковали или прямо из архива AVZ запускаете?
11.12.2014, 14:21
Mazmen

распаковал,но там только virusinfo_syscure.htm и virusinfo_syscure.xml ,но и зип архив

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

есть такой лог

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

делал все как описано тут: http://virusinfo.info/pravila.html

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

вот все что выдал АВЗ:
11.12.2014, 19:01
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Алексей\AppData\Roaming\newSI_8\s_inst.exe','');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\newSI_2\s_inst.exe','');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\newSI_10\s_inst.exe','');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\update_pgghklagldlfffkakhlegbpaagfihech\plinst.exe','');
QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');
QuarantineFile('C:\Windows\system32\drivers\{7012eec1-4f37-42d4-a2cd-26727494d248}w.sys','');
SetServiceStart('Minerd', 4);
DeleteService('Minerd');
SetServiceStart('Hardlink', 4);
DeleteService('Hardlink');
TerminateProcessByName('c:\program files\coingeek\nssm.exe');
QuarantineFile('c:\program files\coingeek\nssm.exe','');
TerminateProcessByName('c:\program files\coingeek\vtc\minerd.exe');
QuarantineFile('c:\program files\coingeek\vtc\minerd.exe','');
DeleteFile('c:\program files\coingeek\vtc\minerd.exe','32');
DeleteFile('c:\program files\coingeek\nssm.exe','32');
DeleteFile('C:\Windows\system32\drivers\{7012eec1-4f37-42d4-a2cd-26727494d248}w.sys','32');
DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Schedule');
DeleteFile('C:\Users\Алексей\AppData\Roaming\update_pgghklagldlfffkakhlegbpaagfihech\plinst.exe','32');
DeleteFile('C:\Users\Алексей\AppData\Roaming\newSI_10\s_inst.exe','32');
DeleteFile('C:\Windows\Tasks\newSI_10.job','32');
DeleteFile('C:\Users\Алексей\AppData\Roaming\newSI_2\s_inst.exe','32');
DeleteFile('C:\Windows\Tasks\newSI_2.job','32');
DeleteFile('C:\Users\Алексей\AppData\Roaming\newSI_8\s_inst.exe','32');
DeleteFile('C:\Windows\Tasks\newSI_8.job','32');
DeleteFile('C:\Windows\system32\Tasks\newSI_10','32');
DeleteFile('C:\Windows\system32\Tasks\newSI_2','32');
DeleteFile('C:\Windows\system32\Tasks\newSI_8','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
11.12.2014, 23:07
Mazmen

MBAM подвис не закончив сканироваие,что сделать?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

RSIT логи
12.12.2014, 01:27
mike 1

[QUOTE]MBAM подвис не закончив сканироваие,что сделать?
[/QUOTE]
Попробуйте сделать лог этой [url]http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe[/url] версией MBAM.
12.12.2014, 10:30
Mazmen

Пробую др. версию сейчас,а предыдущая нашла около 25к красных в папке : Program Files\Coingeek

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Лог MBAM

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Вот лог MBAM
12.12.2014, 11:05
thyrex

Папку C:\Program Files\Coingeek удалите со всем содержимым

Сделайте новое сканирование МВАМ (можно отметить только диск С)
12.12.2014, 12:32
Mazmen

Вот лог
12.12.2014, 18:41
thyrex

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные ниже записи[/b] [code]Обнаруженные ключи в реестре: 5
HKCU\Software\InstallCore\1I1T1Q1S (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKCU\Software\systweak\ssd (PUP.Optional.SystemSpeedup) -> Действие не было предпринято.
HKLM\SOFTWARE\systweak\ssd (PUP.Optional.SystemSpeedup) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\{7012eec1-4f37-42d4-a2cd-26727494d248}w (PUP.Optional.Sanbreel.A) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 1
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0Q1O1J1S -> Действие не было предпринято.

Обнаруженные папки: 3
C:\Users\Алексей\AppData\Roaming\Systweak\ssd (PUP.Optional.SystemSpeedup) -> Действие не было предпринято.

Обнаруженные файлы: 5
C:\Users\Алексей\Downloads\rcpsetupst_RC1_RU_F_1.exe (PUP.Optional.RegCleanerPro) -> Действие не было предпринято.
C:\Users\Алексей\Downloads\avz4\Quarantine\2014-12-11\avz00006.dta (PUP.Optional.BitcoinMiner) -> Действие не было предпринято.
C:\Users\Алексей\AppData\Roaming\Systweak\ssd\SSDPTstub.exe (PUP.Optional.SystemSpeedup) -> Действие не было предпринято.[/code]
13.12.2014, 18:25
Mazmen

Удалить: ключи в реестре 5,параметры в реестре 1,обнаруженные папки 3 ,обнаруженные файлы 5. Я правильно Вас понял?
13.12.2014, 19:14
mike 1

Да.
13.12.2014, 19:49
Mazmen

[QUOTE=mike 1;1199380]Да.[/QUOTE]

вот MBAM выдал лог после удаления :

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Все? Больше ничего делать не нужно?
13.12.2014, 19:52
thyrex

Что с проблемой?
14.12.2014, 07:56
Mazmen

Проблема решена ,спасибо!
14.12.2014, 12:35
thyrex

Удалите МВАМ
14.12.2014, 12:45
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]24[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\coingeek\vtc\minerd.exe - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.xdq[/B] ( DrWEB: Tool.BtcMine.258, BitDefender: Application.BitCoinMiner.FH, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]