Прошу помощи в убиении зловредного bitcoin-miner'а.
В AVZ удается выполнить только стандартный скрипт № 2 сбора информации, его прилагаю.
При попытке выполнить скрипт № 3 AVZ вылетает.
С уважением,
Tush_kan
Прошу помощи в убиении зловредного bitcoin-miner'а.
В AVZ удается выполнить только стандартный скрипт № 2 сбора информации, его прилагаю.
При попытке выполнить скрипт № 3 AVZ вылетает.
С уважением,
Tush_kan
Уважаемый(ая) Tush_kan, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Отключите восстановление системы!
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); TerminateProcessByName('c:\users\86a9~1\appdata\local\temp\x30811.exe'); QuarantineFile('C:\Users\Андрей\AppData\Roaming\Duowoz.exe',''); QuarantineFile('c:\users\86a9~1\appdata\local\temp\x30811.exe',''); DeleteFile('c:\users\86a9~1\appdata\local\temp\x30811.exe'); DeleteFile('C:\Users\Андрей\AppData\Roaming\Duowoz.exe'); DelBHO('{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}'); DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}'); DelBHO('{91397D20-1446-11D4-8AF4-0040CA1127B6}'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Duowoz'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','Duowoz'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,3,true); RebootWindows(true); end.
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Добавлено через 42 секунды
Этот скрипт не надо делать.При попытке выполнить скрипт № 3 AVZ вылетает
Последний раз редактировалось Шапельский Александр; 29.09.2011 в 23:47. Причина: Добавлено
Доброго времени суток!
Восстановление системы отключено. Карантин загружен. Логи прилагаю.
С уважением,
Tush_kan
Выполните скрипт
После выполнения скрипта компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); QuarantineFile('C:\Users\Андрей\AppData\Roaming\Duowoz.exe',''); QuarantineFile('C:\Windows\System32\Drivers\webjpbvl.sys',''); DeleteService('webjpbvl'); DeleteFile('C:\Windows\System32\Drivers\webjpbvl.sys'); DeleteFile('C:\Users\Андрей\AppData\Roaming\Duowoz.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Duowoz'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте лог МВАМ
Спасибо!
Скрипт выполнил. Лог МВАМ прилагаю.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('c:\Users\Андрей\AppData\Roaming\1969.exe', 'MBAM: Trojan.BCMiner'); QuarantineFile('c:\Users\Андрей\AppData\Roaming\22F0.exe', 'MBAM: Trojan.BCMiner'); QuarantineFile('c:\Users\Андрей\AppData\Roaming\4F5B.exe', 'MBAM: Trojan.BCMiner'); QuarantineFile('c:\Users\Андрей\AppData\Roaming\6A9C.exe', 'MBAM: Trojan.BCMiner'); QuarantineFile('c:\Users\Андрей\AppData\Roaming\9FB7.exe', 'MBAM: Trojan.BCMiner'); QuarantineFile('c:\Users\Андрей\AppData\Roaming\B450.exe', 'MBAM: Trojan.BCMiner'); QuarantineFile('c:\Users\Андрей\AppData\Roaming\C3EA.exe', 'MBAM: Trojan.BCMiner'); QuarantineFile('c:\Users\Андрей\AppData\Roaming\C7B1.exe', 'MBAM: Trojan.BCMiner'); QuarantineFile('c:\Users\Андрей\AppData\Roaming\D114.exe', 'MBAM: Trojan.BCMiner'); QuarantineFile('c:\Users\Андрей\AppData\Roaming\D5A5.exe', 'MBAM: Trojan.BCMiner'); QuarantineFile('c:\Users\Андрей\AppData\Roaming\DAB5.tmp', 'MBAM: Worm.Palevo'); QuarantineFile('c:\Users\Андрей\AppData\Roaming\DE8C.exe', 'MBAM: Trojan.BCMiner'); QuarantineFile('c:\Users\Андрей\AppData\Roaming\ED79.exe', 'MBAM: Trojan.BCMiner'); QuarantineFile('c:\Users\Андрей\AppData\Roaming\F2E5.exe', 'MBAM: Trojan.BCMiner'); QuarantineFile('c:\Users\Андрей\AppData\Roaming\FAE2.tmp', 'MBAM: Backdoor.Bot.WPM'); QuarantineFile('c:\Users\Андрей\AppData\Roaming\FE5B.exe', 'MBAM: Trojan.BCMiner'); QuarantineFile('c:\Users\Андрей\start menu\Programs\Startup\stepx2.exe', 'MBAM: Trojan.BCMiner'); QuarantineFile('g:\RECYCLER\f4448e25.exe', 'MBAM: Worm.Palevo'); DeleteFile('c:\Users\Андрей\AppData\Roaming\1969.exe'); DeleteFile('c:\Users\Андрей\AppData\Roaming\22F0.exe'); DeleteFile('c:\Users\Андрей\AppData\Roaming\4F5B.exe'); DeleteFile('c:\Users\Андрей\AppData\Roaming\6A9C.exe'); DeleteFile('c:\Users\Андрей\AppData\Roaming\9FB7.exe'); DeleteFile('c:\Users\Андрей\AppData\Roaming\B450.exe'); DeleteFile('c:\Users\Андрей\AppData\Roaming\C3EA.exe'); DeleteFile('c:\Users\Андрей\AppData\Roaming\C7B1.exe'); DeleteFile('c:\Users\Андрей\AppData\Roaming\D114.exe'); DeleteFile('c:\Users\Андрей\AppData\Roaming\D5A5.exe'); DeleteFile('c:\Users\Андрей\AppData\Roaming\DAB5.tmp'); DeleteFile('c:\Users\Андрей\AppData\Roaming\DE8C.exe'); DeleteFile('c:\Users\Андрей\AppData\Roaming\ED79.exe'); DeleteFile('c:\Users\Андрей\AppData\Roaming\F2E5.exe'); DeleteFile('c:\Users\Андрей\AppData\Roaming\FAE2.tmp'); DeleteFile('c:\Users\Андрей\AppData\Roaming\FE5B.exe'); DeleteFile('c:\Users\Андрей\start menu\Programs\Startup\stepx2.exe'); DeleteFile('g:\RECYCLER\f4448e25.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо!
Скрипт выполнил, карантин прилагаю.
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
похоже, исчезла :-) Спасибо!
Добры день!
К сожалению, проблема опять возродилась, создал новую тему в соответствии с Правилами.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- c:\\users\\андрей\\appdata\\roaming\\b450.exe - Trojan.BAT.Miner.i ( DrWEB: Tool.BtcMine.8, BitDefender: Dropped:Application.CoinMiner.A, NOD32: Win32/CoinMiner.J trojan, AVAST4: Win32:IRCBot-EIY [Trj] )
- c:\\users\\андрей\\appdata\\roaming\\c3ea.exe - Trojan.BAT.Miner.i ( DrWEB: Tool.BtcMine.8, BitDefender: Dropped:Application.CoinMiner.A, NOD32: Win32/CoinMiner.J trojan, AVAST4: Win32:IRCBot-EIY [Trj] )
- c:\\users\\андрей\\appdata\\roaming\\c7b1.exe - Trojan.BAT.Miner.i ( DrWEB: Tool.BtcMine.8, BitDefender: Dropped:Application.CoinMiner.A, AVAST4: Win32:IRCBot-EIY [Trj] )
- c:\\users\\андрей\\appdata\\roaming\\dab5.tmp - P2P-Worm.Win32.Palevo.drvc ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.6733131, AVAST4: Win32:Kryptik-FAV [Trj] )
- c:\\users\\андрей\\appdata\\roaming\\de8c.exe - Trojan.BAT.Miner.i ( DrWEB: Tool.BtcMine.8, BitDefender: Dropped:Application.CoinMiner.A, NOD32: Win32/CoinMiner.J trojan, AVAST4: Win32:IRCBot-EIY [Trj] )
- c:\\users\\андрей\\appdata\\roaming\\duowoz.exe - P2P-Worm.Win32.Palevo.drvc ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.6733131, AVAST4: Win32:Kryptik-FAV [Trj] )
- c:\\users\\андрей\\appdata\\roaming\\d114.exe - Trojan.BAT.Miner.i ( DrWEB: Tool.BtcMine.8, BitDefender: Dropped:Application.CoinMiner.A, NOD32: Win32/CoinMiner.J trojan, AVAST4: Win32:IRCBot-EIY [Trj] )
- c:\\users\\андрей\\appdata\\roaming\\d5a5.exe - Trojan.BAT.Miner.i ( DrWEB: Tool.BtcMine.8, BitDefender: Dropped:Application.CoinMiner.A, NOD32: Win32/CoinMiner.J trojan, AVAST4: Win32:IRCBot-EIY [Trj] )
- c:\\users\\андрей\\appdata\\roaming\\ed79.exe - Trojan.BAT.Miner.i ( DrWEB: Tool.BtcMine.8, BitDefender: Dropped:Application.CoinMiner.A, AVAST4: Win32:IRCBot-EIY [Trj] )
- c:\\users\\андрей\\appdata\\roaming\\fae2.tmp - Worm.Win32.Ngrbot.ftp ( DrWEB: BackDoor.IRC.Bot.872, BitDefender: Worm.Generic.346500, NOD32: Win32/Dorkbot.B worm, AVAST4: Win32:Dropper-gen [Drp] )
- c:\\users\\андрей\\appdata\\roaming\\fe5b.exe - Trojan.BAT.Miner.i ( DrWEB: Tool.BtcMine.8, BitDefender: Dropped:Application.CoinMiner.A, AVAST4: Win32:IRCBot-EIY [Trj] )
- c:\\users\\андрей\\appdata\\roaming\\f2e5.exe - Trojan.BAT.Miner.i ( DrWEB: Tool.BtcMine.8, BitDefender: Dropped:Application.CoinMiner.A, NOD32: Win32/CoinMiner.J trojan, AVAST4: Win32:IRCBot-EIY [Trj] )
- c:\\users\\андрей\\appdata\\roaming\\1969.exe - Trojan.BAT.Miner.i ( DrWEB: Tool.BtcMine.8, BitDefender: Dropped:Application.CoinMiner.A, AVAST4: Win32:IRCBot-EIY [Trj] )
- c:\\users\\андрей\\appdata\\roaming\\22f0.exe - not-a-virus:RiskTool.Win32.HideExec.r ( DrWEB: archive: Program.HiddenStart, BitDefender: Trojan.Generic.6684940 )
- c:\\users\\андрей\\appdata\\roaming\\4f5b.exe - not-a-virus:RiskTool.Win32.HideExec.r ( DrWEB: archive: Program.HiddenStart, BitDefender: Trojan.Generic.6706364 )
- c:\\users\\андрей\\appdata\\roaming\\6a9c.exe - Trojan.BAT.Miner.i ( DrWEB: Tool.BtcMine.8, BitDefender: Dropped:Application.CoinMiner.A, NOD32: Win32/CoinMiner.J trojan, AVAST4: Win32:IRCBot-EIY [Trj] )
- c:\\users\\андрей\\appdata\\roaming\\9fb7.exe - Trojan.BAT.Miner.i ( DrWEB: archive: archive: Tool.BtcMine.8, BitDefender: Dropped:Trojan.Antiminer.C, AVAST4: Win32:IRCBot-EIY [Trj] )
- c:\\users\\андрей\\start menu\\programs\\startup\\stepx2.exe - Trojan.BAT.Miner.i ( DrWEB: archive: Tool.BtcMine.8, BitDefender: Dropped:Application.CoinMiner.A )
- c:\\users\\86a9~1\\appdata\\local\\temp\\x30811.ex e - not-a-virus:RiskTool.Win32.BitCoinMiner.ben ( DrWEB: Tool.BtcMine.8, BitDefender: Application.CoinMiner.A, AVAST4: Win32:Malware-gen )
- g:\\recycler\\f4448e25.exe - P2P-Worm.Win32.Palevo.drvc ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.6733131, AVAST4: Win32:Kryptik-FAV [Trj] )
Уважаемый(ая) Tush_kan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.