Показано с 1 по 15 из 15.

Вирусы insomnia, f4448e25, х30811 (заявка № 109345)

  1. #1
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    19
    Вес репутации
    36

    Вирусы insomnia, f4448e25, х30811

    Доброго времени суток.
    Имеется компьютер который очень давно не чистился, достоверно известно что есть вирусы которые поражают флеш и превращают там папки в ярлыки. на флешках (изначально чистых, не зараженных) появляется f4448e25.exe

    В диспетчере задач присутствует процесс х30811.exe запускается C:\Users\USER\AppData\Local\Temp\x30811.exe и имеет такое содержание (x30811.exe -a 60 -g yes -o /y.bethyname.info:8332/ -u redem_guild -p redemxxx5x2 -t 2)

    Так же браузер самопроизвольно отсылает запрос на непонятные сайты jpezmbatty/, nwjlqbucal/ и т.п.

    Сканирование последними базами KAV6 ничего не выявили. CuretIT тоже вирусов не выявил.

    возможно это не все проблемы которые заметил.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) dReaMer, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Здравствуйте.

    Отключите Восстановление системы.

    Выполните скрипт в AVZ (как выполнить):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\users\user\appdata\local\temp\x30811.exe');
     QuarantineFile('C:\Users\USER\AppData\Roaming\Eytuty.exe','');
     QuarantineFile('c:\users\user\appdata\local\temp\x30811.exe','');
     DeleteFile('c:\users\user\appdata\local\temp\x30811.exe');
     DeleteFile('C:\Users\USER\AppData\Roaming\Eytuty.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Eytuty');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,2,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Повторите пункт "Диагностика" правил и приложите получившиеся логи в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    19
    Вес репутации
    36
    сделано
    Вложения Вложения

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Выполните эту процедуру и загрузите там получившийся файл:
    http://virusinfo.info/showthread.php?t=3519
    Информацию о загрузке приложите здесь.

    C:\Users\USER\AppData\Roaming\Eytuty.exe - KIS 2011=Зловред Trojan.Win32.Inject.bkiu - уничтожен.

    c:\users\user\appdata\local\temp\x30811.exe - KIS 2011= not-a-virus:RiskTool.Win32.BitCoinMiner.are - не зловред, но после попытки удаления опять восстановился.

    Не припоминаете - при установке каких либо программ за последние пару месяцев, не устанавливали чего-нибудь, в соглашениях которых упоминалось о распределенных вычислениях?

    Что сейчас с проблемой?
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  8. #6
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    19
    Вес репутации
    36
    Флешки продолжают заражаться. т.е: папки превращаются в ярлыки.
    файл x30811.exe продолжает беспокоить. на компьютер ставилось: Megafon modem, Handycache, Chrome. Skype.
    попытки браузера зайти на странные сайты (urbtbfeqrs/, oyfueunpuc/,cgjnuyqphu/) продолжаются.

    AVZ начинает зависать на выполнении скриптов.

    Файл сохранён как 110922_165821_virusinfo_files_DEPRO-PC_4e7b692d2ddd2.zip
    Размер файла 45077692
    MD5 f93fccd9729fe45d8a7fa55ceb0aab1d

    Результаты обработки
    Архив 110922_165821_virusinfo_files_DEPRO-PC_4e7b692d2ddd2.zip, загружен 22.09.2011 21:10:15, размер 45077692 байт
    Всего файлов: 80 (исполняемых 7, из них:
    зловреды или опасные объекты: 2
    подозрительные: 0
    занесены в базу безопасных AVZ: 18
    В очереди на добавление в базу безопасных:
    высокий приоритет: 3
    обычный приоритет: 57
    Внимание, в архиве обнаружены опасные или вредоносные объекты:
    c:\\users\\user\\appdata\\local\\temp\\x30811.exe: not-a-virus:RiskTool.Win32.BitCoinMiner.are
    C:\\Users\\USER\\AppData\\Roaming\\Microsoft\\Wind ows\\Start Menu\\Programs\\Startup\\stepx2.exe: Trojan.BAT.Miner.i
    Последний раз редактировалось dReaMer; 22.09.2011 в 20:15.

  9. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,559
    Вес репутации
    3022
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    + к этому:
    Выполните скрипт в AVZ (как выполнить):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\stepx2.exe','');
     QuarantineFile('C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.exe','');
     DeleteFile('C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\stepx2.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Загрузитесь в безопасном режиме.
    Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  11. Это понравилось:


  12. #9
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    19
    Вес репутации
    36
    Возможности просканировать систему сразу и всю нет, программа зависает, 2 лога, 1 - на весь компьютер+съемные носители(кроме диска D) 2- сканирование диска D

    Карантин отправил
    Вложения Вложения
    Последний раз редактировалось dReaMer; 25.09.2011 в 07:55.

  13. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,559
    Вес репутации
    3022
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\Users\USER\AppData\Roaming\4E1C.exe', 'MBAM: Trojan.BCMiner');
    QuarantineFile('c:\Users\USER\AppData\Roaming\5DAB.exe', 'MBAM: Trojan.BCMiner');
    QuarantineFile('c:\Users\USER\AppData\Roaming\Eytuty.exe', 'MBAM: Trojan.Agent');
    QuarantineFile('c:\Users\USER\AppData\Roaming\F198.exe', 'MBAM: Trojan.BCMiner');
    QuarantineFile('c:\Windows\pss\stepx2.exe.startup', 'MBAM: Trojan.BCMiner');
    QuarantineFile('g:\RECYCLER\f4448e25.exe', 'MBAM: Trojan.Agent');
    QuarantineFile('c:\Users\USER\AppData\Roaming\edil6ktltgd6', 'MBAM: Malware.Trace');
    QuarantineFile('c:\Users\USER\AppData\Local\Temp\x30811.exe', 'MBAM: PUP.BCMiner');
    DeleteFile('c:\Users\USER\AppData\Roaming\4E1C.exe');
    DeleteFile('c:\Users\USER\AppData\Roaming\5DAB.exe');
    DeleteFile('c:\Users\USER\AppData\Roaming\Eytuty.exe');
    DeleteFile('c:\Users\USER\AppData\Roaming\F198.exe');
    DeleteFile('c:\Windows\pss\stepx2.exe.startup');
    DeleteFile('g:\RECYCLER\f4448e25.exe');
    DeleteFile('c:\Users\USER\AppData\Roaming\edil6ktltgd6');
    DeleteFile('c:\Users\USER\AppData\Local\Temp\x30811.exe'); 
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новый лог МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. Это понравилось:


  15. #11
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    19
    Вес репутации
    36
    Карантин выслал.
    Вложения Вложения
    Последний раз редактировалось dReaMer; 25.09.2011 в 14:38.

  16. #12
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    19
    Вес репутации
    36
    Ув. Хелперы, на всякий случай хотелось бы напомнить о себе, а то мало-ли)

  17. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,559
    Вес репутации
    3022
    Удалите в МВАМ только указанные строки
    Код:
    c:\program files\Cache\Cache\s330.hotfile.com\get\6c6a19eba50a80f1cfb0437742ab37ba284bba7c\4e79e6d4\2\c2926f42a3e662eb\7bf0a23\xdxx3.jpeg (Extension.Mismatch) -> No action taken.
    c:\Users\USER\Desktop\avz4\avz4\quarantine\2011-09-22\avz00079.dta (Trojan.BCMiner) -> No action taken.
    c:\Users\USER\Desktop\avz4\avz4\quarantine\2011-09-25\avz00001.dta (Trojan.BCMiner) -> No action taken.
    c:\Users\USER\Desktop\avz4\avz4\quarantine\2011-09-25\avz00002.dta (Trojan.BCMiner) -> No action taken.
    c:\Users\USER\Desktop\avz4\avz4\quarantine\2011-09-25\avz00003.dta (Trojan.Agent) -> No action taken.
    c:\Users\USER\Desktop\avz4\avz4\quarantine\2011-09-25\avz00004.dta (Trojan.BCMiner) -> No action taken.
    c:\Users\USER\Desktop\avz4\avz4\quarantine\2011-09-25\avz00005.dta (Trojan.BCMiner) -> No action taken.
    c:\Users\USER\Desktop\avz4\avz4\quarantine\2011-09-25\avz00006.dta (Trojan.Agent) -> No action taken.
    i:\RECYCLER\f4448e25.exe (Trojan.Agent) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #14
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    19
    Вес репутации
    36
    Флешки вроде перестал заражать, браузер все еще посылает странные запросы..
    Проблема с баузером - только с Хромом(14.0.835.186 m)
    Последний раз редактировалось dReaMer; 29.09.2011 в 10:24.

  19. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 29
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\users\\user\\appdata\\local\\temp\\x30811.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.are ( DrWEB: Tool.BtcMine.8, BitDefender: Application.CoinMiner.A, AVAST4: Win32:Malware-gen )
      2. c:\\users\\user\\appdata\\roaming\\eytuty.exe - Trojan.Win32.Inject.bkiu ( DrWEB: BackDoor.IRC.NgrBot.8, BitDefender: Trojan.Generic.KDV.362733, NOD32: Win32/Dorkbot.B worm, AVAST4: Win32:Dorkbot-E [Trj] )
      3. c:\\users\\user\\appdata\\roaming\\f198.exe - Trojan.BAT.Miner.i ( DrWEB: archive: archive: Tool.BtcMine.8, BitDefender: Dropped:Application.CoinMiner.A, NOD32: Win32/CoinMiner.J trojan )
      4. c:\\users\\user\\appdata\\roaming\\4e1c.exe - Trojan.BAT.Miner.i ( DrWEB: archive: archive: Tool.BtcMine.8, BitDefender: Dropped:Application.CoinMiner.A, NOD32: Win32/CoinMiner.J trojan )
      5. c:\\users\\user\\appdata\\roaming\\5dab.exe - Trojan.BAT.Miner.i ( DrWEB: archive: archive: Tool.BtcMine.8, BitDefender: Dropped:Application.CoinMiner.A, NOD32: Win32/CoinMiner.J trojan )
      6. c:\\windows\\pss\\stepx2.exe.startup - Trojan.BAT.Miner.i ( DrWEB: archive: Tool.BtcMine.8, BitDefender: Dropped:Application.CoinMiner.A, NOD32: Win32/CoinMiner.J trojan )
      7. g:\\recycler\\f4448e25.exe - Trojan.Win32.Inject.bkiu ( DrWEB: BackDoor.IRC.NgrBot.8, BitDefender: Trojan.Generic.KDV.362733, NOD32: Win32/Dorkbot.B worm, AVAST4: Win32:Dorkbot-E [Trj] )


  • Уважаемый(ая) dReaMer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. f4448e25 на портативном жестком диске
      От Surex в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 28.01.2012, 17:58
    2. Обнаружил вирусы f4448e25.exe и x30811.exe
      От Feverman в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 03.10.2011, 11:53
    3. Как избавиться от f4448e25.exe (RECYCLER)
      От NikeShek в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 10.09.2011, 12:21
    4. f4448e25.exe испортил плеер
      От Lirique в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.08.2011, 07:35
    5. mhvmon и insomnia
      От Стрежевой в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.01.2011, 15:22

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00321 seconds with 17 queries