Добрый день! Помогите избавится от вируса Bitcoinminer. Symantec находит его, но не удаляет. Логи прикладываю.
Добрый день! Помогите избавится от вируса Bitcoinminer. Symantec находит его, но не удаляет. Логи прикладываю.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) BBC, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Где?Сообщение от BBC
WBR,
Vadim
не получается приложить логи. управление вложениями не работает. нажимаю на кнопку пустое окно выходит.
На rghost.ru тогда, и сюда ссылки.
WBR,
Vadim
Запускайте AVZ правой кнопкой мыши - "Запуск от имени Администратора".
Выполните скрипт в AVZ (как выполнить):
Компьютер перезагрузится.Код:begin ClearQuarantine; TerminateProcessByName('c:\users\chilina.nataliya\tmp\svсhost.exe'); QuarantineFile('C:\Users\Chilina.Nataliya\AdobeChecker.exe',''); QuarantineFile('C:\Users\CHILIN~1.NAT\AppData\Local\Temp\{80FB154D-501F-4B2D-8923-E3021168801A}\fpb.tmp',''); QuarantineFile('C:\Users\Chilina.Nataliya\tmp\zlib1.dll',''); QuarantineFile('C:\Users\Chilina.Nataliya\tmp\SSLEAY32.dll',''); QuarantineFile('C:\Users\Chilina.Nataliya\tmp\pthreadGC2.dll',''); QuarantineFile('C:\Users\Chilina.Nataliya\tmp\OpenCL.dll',''); QuarantineFile('C:\Users\Chilina.Nataliya\tmp\libusb-1.0.dll',''); QuarantineFile('C:\Users\Chilina.Nataliya\tmp\libidn-11.dll',''); QuarantineFile('C:\Users\Chilina.Nataliya\tmp\LIBEAY32.dll',''); QuarantineFile('C:\Users\Chilina.Nataliya\tmp\libcurl-4.dll',''); QuarantineFile('c:\users\chilina.nataliya\tmp\svсhost.exe',''); DeleteFile('c:\users\chilina.nataliya\tmp\svсhost.exe','32'); DeleteFileMask('c:\users\chilina.nataliya\tmp','*', true); ExecuteSysClean; ExecuteWizard('SCU',2,2,true); RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" в шапке этой темы.
Обновите базы AVZ.
Если базы не обновляются через меню Файл - Обновление баз,
скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил) и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Скрипт выполнился, но файл quarantine.zip не создался.
Пардон, команду забыл вставить...
Выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" в шапке этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Добрый день! Извиняюсь за задержку с ответом. Файл карантина прикрепил к теме. Логи выложил на http://rghost.ru/
http://rghost.ru/48264175
http://rghost.ru/48264186
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin TerminateProcessByName('c:\users\chilina.nataliya\tmp\svсhost.exe'); DeleteFile('c:\users\chilina.nataliya\tmp\svсhost.exe','32'); DeleteFile('C:\Users\Chilina.Nataliya\AdobeChecker.exe','32'); DeleteFileMask('c:\users\chilina.nataliya\tmp','*',false); ExecuteSysClean; RebootWindows(true); end.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
WBR,
Vadim
Выполнил http://rghost.ru/48266527
Порядок.
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
WBR,
Vadim
Спасибо. Очень помогли. У меня еще есть несколько таких компьютеров на которых сидит данный зловред. По возможности пришлю с них логи.
Для каждого - отдельную тему, пожалуйста.
Выполните рекомендации после лечения.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\\users\\chilina.nataliya\\adobechecker.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.cva ( DrWEB: Trojan.BtcMine.120, BitDefender: Gen:Variant.Strictor.5300, AVAST4: Win32:Malware-gen )
Уважаемый(ая) BBC, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
