-
Junior Member
- Вес репутации
- 47
bitcoin-miner и его друзья
Прицепился треклятый бот-клиент, никак не отделаюсь. Плохо маскируется под svchost. При включенном инете загружает проц на 50%, если отключить - продолжает висеть, но не ест ресурсы. После ручного удаления файлов и вычищения из автозагрузки, прохода CureIt'ом в безопасном режиме, на старте ОС всё начинается по новой. Притом пихает себя в "корень" всех доступных ему папок учётной записи (в Users, Documents and Settings и ещё в один какой-то). Каждый раз имя распаковщика новое, хотя описание процесса одно и тот же - One.
Вдобавок, еспокоит какая-то странно огромная длина Application Data, притом как в Users, так и в Documents and Settings. Клонов-вложений от десятка до "бесконечности". Это норма для семерки или всё же какой-то вредитель поработал?
Заранее благодарю за помощь в Избавлении и Очищении. 
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Icipher, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Александр\appdata\local\temp\svchost.exe','');
QuarantineFile('C:\Users\Александр\clage.exe','');
QuarantineFile('C:\Users\Александр\AppData\Roaming\Bvkgkh.exe','');
QuarantineFile('c:\users\8523~1\appdata\local\temp\svchost.exe','');
TerminateProcessByName('c:\users\8523~1\appdata\local\temp\svchost.exe');
DeleteFile('c:\users\8523~1\appdata\local\temp\svchost.exe');
DeleteFile('C:\Users\Александр\AppData\Roaming\Bvkgkh.exe');
BC_DeleteFile('C:\Users\Александр\AppData\Roaming\Bvkgkh.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Bvkgkh');
DeleteFile('C:\Users\Александр\clage.exe');
BC_DeleteFile('C:\Users\Александр\clage.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
DeleteFile('C:\Users\Александр\appdata\local\temp\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=105048
4. Сделайте повторный лог virusinfo_syscure.
-
-
Junior Member
- Вес репутации
- 47
Готово. Вроде не проявляется больше, но кто его знает.
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\users\\александр\\appdata\\local\\temp\\svchos t.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.a ( DrWEB: Tool.BtcMine.1 )
- c:\\users\\александр\\appdata\\roaming\\bvkgkh.exe - Backdoor.Win32.Ruskill.aai ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KDV.277367, AVAST4: Win32:Ruskill-BD [Trj] )
- c:\\users\\александр\\clage.exe - Packed.Win32.Katusha.o ( DrWEB: BackDoor.Tofsee.7, BitDefender: Gen:Variant.Kazy.7882, NOD32: Win32/Tofsee.AA trojan, AVAST4: Win32:MalOb-FJ [Cryp] )
- c:\\users\\8523~1\\appdata\\local\\temp\\svchost.e xe - not-a-virus:RiskTool.Win32.BitCoinMiner.a ( DrWEB: Tool.BtcMine.1 )
- \\miner2.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.a ( DrWEB: Tool.BtcMine.1 )
-
