Brontok и какие-то остатки [not-a-virus:RiskTool.Win64.BitCoinMiner.cls, Trojan.Win32.Genome.amred ]

**chaun2017** · 11.10.2017, 08:07

Добрый день!

На ноутбуке обнаружился Brontok, попытались полечить, но такое ощущение, что не до конца или причина "тормозов" не только в нём.
CollectionLog в аттаче.

Заранее спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 11.10.2017, 08:08

Уважаемый(ая) chaun2017, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 12.10.2017, 21:24

Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\Users\днс\appdata\local\csrss.exe', '');
 QuarantineFile('C:\Users\днс\appdata\local\lsass.exe', '');
 QuarantineFile('C:\Users\днс\appdata\local\services.exe', '');
 QuarantineFile('C:\Users\днс\appdata\local\winlogon.exe', '');
 QuarantineFile('C:\Users\днс\appdata\roaming\system\libs\svchost.exe', '');
 QuarantineFile('C:\Users\днс\шаблоны\brengkolang.com', '');
 DeleteFile('C:\Users\днс\appdata\local\csrss.exe', '32');
 DeleteFile('C:\Users\днс\appdata\local\lsass.exe', '32');
 DeleteFile('C:\Users\днс\appdata\local\services.exe', '32');
 DeleteFile('C:\Users\днс\appdata\local\winlogon.exe', '32');
 DeleteFile('C:\Users\днс\appdata\roaming\system\libs\svchost.exe', '32');
 DeleteFile('C:\Users\днс\шаблоны\brengkolang.com', '32');
 DeleteService('NetworkX');
 DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
 DelBHO('{9BFBA68E-E21B-458E-AE12-FE85E903D2C0}');
 DelBHO('{E33FF41E-53CB-4D93-885A-FFEFA04CD804}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mrupdsrv', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tok-Cirrhatus', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'AlterGeoUpdater');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(2);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Запустите avz.exe, Файл -> Стандартные скрипты, отметьте 3-й стандартный скрипт и выполните его. После завершения файл virusinfo_syscure.zip из папки LOG прикрепите к своему сообщению.

Сделайте лог Malwarebytes AdwCleaner.

**chaun2017** · 13.10.2017, 00:32

Выполнено

**Vvvyg** · 13.10.2017, 07:09

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O4 - MSConfig\startupreg: [Tok-Cirrhatus] C:\Users\днс\AppData\Local\smss.exe  (file missing) (HKCU) (2017/10/11)
O4 - MSConfig\startupreg: [mrupdsrv] C:\Users\днс\AppData\Local\Mail.Ru\Update Service\mrupdsrv.exe --u (file missing) (HKCU) (2017/10/11)

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.
Бронток на диске C: дочистили, да он и неактивен был.

**chaun2017** · 17.10.2017, 00:59

Теперь вроде всё ок
Спасибо!

**Vvvyg** · 17.10.2017, 06:59

Запустите AdwCleaner и нажмите Файл -> Деинсталлировать (Uninstall).

Выполните рекомендации после лечения.

**CyberHelper** · 17.10.2017, 07:09

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 6
В ходе лечения обнаружены вредоносные программы:
1. c:\users\днс\appdata\local\csrss.exe - Trojan.Win32.Genome.amred ( DrWEB: Win32.HLLM.Generic.440, BitDefender: Worm.Generic.372076, NOD32: Win32/Brontok.CV worm, AVAST4: Win32:Brontok-BG [Wrm] )
2. c:\users\днс\appdata\local\lsass.exe - Trojan.Win32.Genome.amred ( DrWEB: Win32.HLLM.Generic.440, BitDefender: Worm.Generic.372076, NOD32: Win32/Brontok.CV worm, AVAST4: Win32:Brontok-BG [Wrm] )
3. c:\users\днс\appdata\local\services.exe - Trojan.Win32.Genome.amred ( DrWEB: Win32.HLLM.Generic.440, BitDefender: Worm.Generic.372076, NOD32: Win32/Brontok.CV worm, AVAST4: Win32:Brontok-BG [Wrm] )
4. c:\users\днс\appdata\local\winlogon.exe - Trojan.Win32.Genome.amred ( DrWEB: Win32.HLLM.Generic.440, BitDefender: Worm.Generic.372076, NOD32: Win32/Brontok.CV worm, AVAST4: Win32:Brontok-BG [Wrm] )
5. c:\users\днс\appdata\roaming\system\libs\svchost.e xe - not-a-virus:RiskTool.Win64.BitCoinMiner.cls
6. c:\users\днс\шаблоны\brengkolang.com - Trojan.Win32.Genome.amred ( DrWEB: Win32.HLLM.Generic.440, BitDefender: Worm.Generic.372076, NOD32: Win32/Brontok.CV worm, AVAST4: Win32:Brontok-BG [Wrm] )

Brontok и какие-то остатки [not-a-virus:RiskTool.Win64.BitCoinMiner.cls, Trojan.Win32.Genome.amred ] (заявка № 215691)

Опции темы