Вирусы insomnia, f4448e25, х30811

[dReaMer]

Доброго времени суток.
Имеется компьютер который очень давно не чистился, достоверно известно что есть вирусы которые поражают флеш и превращают там папки в ярлыки. на флешках (изначально чистых, не зараженных) появляется f4448e25.exe

В диспетчере задач присутствует процесс х30811.exe запускается C:\Users\USER\AppData\Local\Temp\x30811.exe и имеет такое содержание (x30811.exe -a 60 -g yes -o /y.bethyname.info:8332/ -u redem_guild -p redemxxx5x2 -t 2)

Так же браузер самопроизвольно отсылает запрос на непонятные сайты jpezmbatty/, nwjlqbucal/ и т.п.

Сканирование последними базами KAV6 ничего не выявили. CuretIT тоже вирусов не выявил.

возможно это не все проблемы которые заметил.

[Info_bot]

Уважаемый(ая) dReaMer, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Nikkollo]

Здравствуйте.

Отключите Восстановление системы.

Выполните скрипт в AVZ (как выполнить):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\users\user\appdata\local\temp\x30811.exe');
 QuarantineFile('C:\Users\USER\AppData\Roaming\Eytuty.exe','');
 QuarantineFile('c:\users\user\appdata\local\temp\x30811.exe','');
 DeleteFile('c:\users\user\appdata\local\temp\x30811.exe');
 DeleteFile('C:\Users\USER\AppData\Roaming\Eytuty.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Eytuty');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Повторите пункт "Диагностика" правил и приложите получившиеся логи в теме.

[dReaMer]

сделано

[Nikkollo]

Выполните эту процедуру и загрузите там получившийся файл:
http://virusinfo.info/showthread.php?t=3519
Информацию о загрузке приложите здесь.

C:\Users\USER\AppData\Roaming\Eytuty.exe - KIS 2011=Зловред Trojan.Win32.Inject.bkiu - уничтожен.

c:\users\user\appdata\local\temp\x30811.exe - KIS 2011= not-a-virus:RiskTool.Win32.BitCoinMiner.are - не зловред, но после попытки удаления опять восстановился.

Не припоминаете - при установке каких либо программ за последние пару месяцев, не устанавливали чего-нибудь, в соглашениях которых упоминалось о распределенных вычислениях?

Что сейчас с проблемой?

[dReaMer]

Флешки продолжают заражаться. т.е: папки превращаются в ярлыки.
файл x30811.exe продолжает беспокоить. на компьютер ставилось: Megafon modem, Handycache, Chrome. Skype.
попытки браузера зайти на странные сайты (urbtbfeqrs/, oyfueunpuc/,cgjnuyqphu/) продолжаются.

AVZ начинает зависать на выполнении скриптов.

Файл сохранён как 110922_165821_virusinfo_files_DEPRO-PC_4e7b692d2ddd2.zip
Размер файла 45077692
MD5 f93fccd9729fe45d8a7fa55ceb0aab1d

Результаты обработки
Архив 110922_165821_virusinfo_files_DEPRO-PC_4e7b692d2ddd2.zip, загружен 22.09.2011 21:10:15, размер 45077692 байт
Всего файлов: 80 (исполняемых 7, из них:
зловреды или опасные объекты: 2
подозрительные: 0
занесены в базу безопасных AVZ: 18
В очереди на добавление в базу безопасных:
высокий приоритет: 3
обычный приоритет: 57
Внимание, в архиве обнаружены опасные или вредоносные объекты:
c:\\users\\user\\appdata\\local\\temp\\x30811.exe: not-a-virus:RiskTool.Win32.BitCoinMiner.are
C:\\Users\\USER\\AppData\\Roaming\\Microsoft\\Wind ows\\Start Menu\\Programs\\Startup\\stepx2.exe: Trojan.BAT.Miner.i

[thyrex]

Сделайте лог полного сканирования МВАМ

[Nikkollo]

+ к этому:
Выполните скрипт в AVZ (как выполнить):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\stepx2.exe','');
 QuarantineFile('C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.exe','');
 DeleteFile('C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\stepx2.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Загрузитесь в безопасном режиме.
Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.

[dReaMer]

Возможности просканировать систему сразу и всю нет, программа зависает, 2 лога, 1 - на весь компьютер+съемные носители(кроме диска D) 2- сканирование диска D

Карантин отправил

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\Users\USER\AppData\Roaming\4E1C.exe', 'MBAM: Trojan.BCMiner');
QuarantineFile('c:\Users\USER\AppData\Roaming\5DAB.exe', 'MBAM: Trojan.BCMiner');
QuarantineFile('c:\Users\USER\AppData\Roaming\Eytuty.exe', 'MBAM: Trojan.Agent');
QuarantineFile('c:\Users\USER\AppData\Roaming\F198.exe', 'MBAM: Trojan.BCMiner');
QuarantineFile('c:\Windows\pss\stepx2.exe.startup', 'MBAM: Trojan.BCMiner');
QuarantineFile('g:\RECYCLER\f4448e25.exe', 'MBAM: Trojan.Agent');
QuarantineFile('c:\Users\USER\AppData\Roaming\edil6ktltgd6', 'MBAM: Malware.Trace');
QuarantineFile('c:\Users\USER\AppData\Local\Temp\x30811.exe', 'MBAM: PUP.BCMiner');
DeleteFile('c:\Users\USER\AppData\Roaming\4E1C.exe');
DeleteFile('c:\Users\USER\AppData\Roaming\5DAB.exe');
DeleteFile('c:\Users\USER\AppData\Roaming\Eytuty.exe');
DeleteFile('c:\Users\USER\AppData\Roaming\F198.exe');
DeleteFile('c:\Windows\pss\stepx2.exe.startup');
DeleteFile('g:\RECYCLER\f4448e25.exe');
DeleteFile('c:\Users\USER\AppData\Roaming\edil6ktltgd6');
DeleteFile('c:\Users\USER\AppData\Local\Temp\x30811.exe'); 
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новый лог МВАМ

[dReaMer]

Карантин выслал.

[dReaMer]

Ув. Хелперы, на всякий случай хотелось бы напомнить о себе, а то мало-ли)

[thyrex]

Удалите в МВАМ только указанные строки

Код:

c:\program files\Cache\Cache\s330.hotfile.com\get\6c6a19eba50a80f1cfb0437742ab37ba284bba7c\4e79e6d4\2\c2926f42a3e662eb\7bf0a23\xdxx3.jpeg (Extension.Mismatch) -> No action taken.
c:\Users\USER\Desktop\avz4\avz4\quarantine\2011-09-22\avz00079.dta (Trojan.BCMiner) -> No action taken.
c:\Users\USER\Desktop\avz4\avz4\quarantine\2011-09-25\avz00001.dta (Trojan.BCMiner) -> No action taken.
c:\Users\USER\Desktop\avz4\avz4\quarantine\2011-09-25\avz00002.dta (Trojan.BCMiner) -> No action taken.
c:\Users\USER\Desktop\avz4\avz4\quarantine\2011-09-25\avz00003.dta (Trojan.Agent) -> No action taken.
c:\Users\USER\Desktop\avz4\avz4\quarantine\2011-09-25\avz00004.dta (Trojan.BCMiner) -> No action taken.
c:\Users\USER\Desktop\avz4\avz4\quarantine\2011-09-25\avz00005.dta (Trojan.BCMiner) -> No action taken.
c:\Users\USER\Desktop\avz4\avz4\quarantine\2011-09-25\avz00006.dta (Trojan.Agent) -> No action taken.
i:\RECYCLER\f4448e25.exe (Trojan.Agent) -> No action taken.

[dReaMer]

Флешки вроде перестал заражать, браузер все еще посылает странные запросы..
Проблема с баузером - только с Хромом(14.0.835.186 m)

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 29
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\users\\user\\appdata\\local\\temp\\x30811.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.are ( DrWEB: Tool.BtcMine.8, BitDefender: Application.CoinMiner.A, AVAST4: Win32:Malware-gen )
  2. c:\\users\\user\\appdata\\roaming\\eytuty.exe - Trojan.Win32.Inject.bkiu ( DrWEB: BackDoor.IRC.NgrBot.8, BitDefender: Trojan.Generic.KDV.362733, NOD32: Win32/Dorkbot.B worm, AVAST4: Win32:Dorkbot-E [Trj] )
  3. c:\\users\\user\\appdata\\roaming\\f198.exe - Trojan.BAT.Miner.i ( DrWEB: archive: archive: Tool.BtcMine.8, BitDefender: Dropped:Application.CoinMiner.A, NOD32: Win32/CoinMiner.J trojan )
  4. c:\\users\\user\\appdata\\roaming\\4e1c.exe - Trojan.BAT.Miner.i ( DrWEB: archive: archive: Tool.BtcMine.8, BitDefender: Dropped:Application.CoinMiner.A, NOD32: Win32/CoinMiner.J trojan )
  5. c:\\users\\user\\appdata\\roaming\\5dab.exe - Trojan.BAT.Miner.i ( DrWEB: archive: archive: Tool.BtcMine.8, BitDefender: Dropped:Application.CoinMiner.A, NOD32: Win32/CoinMiner.J trojan )
  6. c:\\windows\\pss\\stepx2.exe.startup - Trojan.BAT.Miner.i ( DrWEB: archive: Tool.BtcMine.8, BitDefender: Dropped:Application.CoinMiner.A, NOD32: Win32/CoinMiner.J trojan )
  7. g:\\recycler\\f4448e25.exe - Trojan.Win32.Inject.bkiu ( DrWEB: BackDoor.IRC.NgrBot.8, BitDefender: Trojan.Generic.KDV.362733, NOD32: Win32/Dorkbot.B worm, AVAST4: Win32:Dorkbot-E [Trj] )