Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

Помогите удалить bitcoin miner (заявка № 145724)

  1. #1
    Junior Member Репутация
    Регистрация
    15.09.2013
    Сообщений
    14
    Вес репутации
    16

    Помогите удалить bitcoin miner

    формируется файл c:\temp\cm7.exe
    после удаления образуется вновь
    Поставил KIS после обнаружения заражения вирусом bitcoin miner
    В результате вирус выгружает KIS и не даёт ему обновляться
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) Aleksey_P, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,850
    Вес репутации
    843
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    15.09.2013
    Сообщений
    14
    Вес репутации
    16
    сделал
    Однако, архив не получается upload-ить
    Если архив делаю многотомным, то последний том не хочет загружаться
    Вложения Вложения
    Последний раз редактировалось Aleksey_P; 16.09.2013 в 14:01.

  6. #5
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    Прикрепите лог к теме.

  7. #6
    Junior Member Репутация
    Регистрация
    15.09.2013
    Сообщений
    14
    Вес репутации
    16
    какой лог?

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,850
    Вес репутации
    843
    На Rghost.ru выложите и ссылку сюда.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    15.09.2013
    Сообщений
    14
    Вес репутации
    16
    спс. Сам не додумался ((
    http://rghost.ru/48780974

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,850
    Вес репутации
    843
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.81.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.2
    
    delref HTTP://YAMBLER.NET/?IQ&UID=3358718E4CF167C7529F68A38A4CBC16&IID=26507455
    zoo %SystemDrive%\USERS\DNS-SHOP\APPDATA\LOCAL\SCHEDULE\SCHEDULE.EXE
    delall %SystemDrive%\USERS\DNS-SHOP\APPDATA\LOCAL\SCHEDULE\SCHEDULE.EXE
    delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
    delref %SystemDrive%\PROGRAM FILES (X86)\DEALPLYLIVE\UPDATE\DEALPLYLIVE.EXE
    delref (X86)\DEALPLY\DEALPLYUPDATE.EXE
    exec "C:\Program Files (x86)\DealPly\uninst.exe" /uninstall
    exec "C:\Users\DNS-SHOP\AppData\Roaming\BabSolution\Shared\GUninstaller.exe" -key "Delta Chrome Toolbar" -rmkey -rmbus "Delta Chrome Toolbar" -plgdll enhancedNT -nontfy
    exec "C:\Program Files (x86)\Delta\delta\1.8.24.5\GUninstaller.exe" -uprtc -rmbus "Delta toolbar" -nontfy -bname=dlt -key "delta"
    exec C:\Program Files (x86)\Lyrmix\Uninstall.exe
    uidel "C:\ProgramData\BitGuard\2.6.1673.238\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\uninstall.exe" /Uninstall /{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693} /um
    exec C:\PROGRA~3\TARMAI~1\{C4ED7~1\Setup.exe /remove /q0
    exec "C:\Users\DNS-SHOP\AppData\Local\ConvertAd\uninstall.exe"
    deltmp
    restart
    На вопросы об удалении программ рекомендую соглашаться.
    Компьютер перезагрузится.

    Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Сделайте новый полный образ автозапуска uVS.

    Что с проблемами?
    WBR,
    Vadim

  11. Это понравилось:


  12. #10
    Junior Member Репутация
    Регистрация
    15.09.2013
    Сообщений
    14
    Вес репутации
    16
    всё сделал. Архив ZOO загрузил по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
    Полный образ автозапуска uVS там http://rghost.ru/48794991
    Проблема осталась. Каспер не обновляется (обновлены не все компоненты). После загрузки компа минуты через 3-4 KIS выгружается из памяти.

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,850
    Вес репутации
    843
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.81.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.2
    
    exec C:\Program Files (x86)\WebConnect\WebConnectuninstall.exe
    restart
    На вопросы об удалении программ рекомендую соглашаться.
    Компьютер перезагрузится.

    Что с bitcoin miner и KIS?
    WBR,
    Vadim

  14. #12
    Junior Member Репутация
    Регистрация
    15.09.2013
    Сообщений
    14
    Вес репутации
    16
    KIS обновляется. Мне показалось, что инструкция
    exec C:\Program Files (x86)\WebConnect\WebConnectuninstall.exe
    не успела выполниться и комп ушёл в перезагрузку
    файл c:\temp\cm7.exe появился вновь, но его заметил KIS и сам удалил
    Запустил пока полную проверку у KIS
    Удалил каталог c:\temp\
    Однако, c:\temp\cm7.exe появился вновь. Полная проверка KIS будет продолжаться около7 часов ((
    Последний раз редактировалось Aleksey_P; 17.09.2013 в 10:28.

  15. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,850
    Вес репутации
    843
    Удалите WebConnect через панель управления, если он там остался.
    Когда обнаруживается майнер, сразу после загрузки компьютера, после подключения к интернету? С какого времени начала определяться эта проблема. Дело в том, что ни по одному логу следов файла cm7.exe не видно.

    Сделайте логи RSIT.
    WBR,
    Vadim

  16. #14
    Junior Member Репутация
    Регистрация
    15.09.2013
    Сообщений
    14
    Вес репутации
    16
    WebConnect удалил из Панели управления.
    Отключил комп от сети. Удалил каталог c:\temp\. Отправился в перезагрузку. После загрузки компа появляется каталог c:\temp Минут через 6 после загрузки подключаю комп к интернету - и появляется c:\temp\cm7.exe
    KIS завершил полную проверку. 4 каких-то файла поместил в карантин 2 удалил. Однако, при попытке просмотреть отчёты через интерфейс KIS, KIS виснет и выгружается. Сейчас буду делать логи RSIT...

    - - - Добавлено - - -

    Проблемы на компе замечены в субботу, 14.09. На нем помимо bitcoin miner сидели ещё вирусы попроще. Что-то удалось удалить DrWeb CureIt. Miner'а заметил либо вечером в сб, либо вечером в вс.
    Изображения Изображения
    Вложения Вложения
    • Тип файла: zip info.zip (32.0 Кб, 4 просмотров)

  17. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,850
    Вес репутации
    843
    В KIS файрвол включен?

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

    Сделайте лог полного сканирования МВАМ.
    WBR,
    Vadim

  18. #16
    Junior Member Репутация
    Регистрация
    15.09.2013
    Сообщений
    14
    Вес репутации
    16
    глюки в работе KIS пока не проявляются...
    KIS сам находит и удаляет c:\temp\cm7.exe
    удалить бы процесс, который этот файл записывает....

    - - - Добавлено - - -

    Про файрвол. Это настройка сетей в KIS?
    AVZ уязвимостей не нашёл.
    MalWare просканировал систему. Несколько раз от него всплывали сообщения о блокированном трафике на IP 195.68.160.186,195.68.160.233,213.186.116.119
    Вложения Вложения
    Последний раз редактировалось Aleksey_P; 17.09.2013 в 14:12.

  19. #17
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    Цитата Сообщение от Aleksey_P Посмотреть сообщение
    Поставил KIS после обнаружения заражения вирусом bitcoin miner
    Чем его обнаружили, каким антивирусом, какой антивирус изначально присвоил имя вирусу bitcoin miner ?

  20. #18
    Junior Member Репутация
    Регистрация
    15.09.2013
    Сообщений
    14
    Вес репутации
    16
    не антивирус присвоил. На Вашем форуме увидел схожие по описанию обращения пользователей. Поэтому обратился, будучи уверенным в том, что у меня именно он

  21. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,850
    Вес репутации
    843
    Удалите в MBAM всё найденное.

    information

    Уведомление

    Удалите Malwarebytes Anti-Malware, его использование в качестве антивируса с постоянной защитой не рекомендуется, особенно совместно с другими защитными продуктами.



    Попробуйте отключить временно KIS и отловить файл cm7.exe. Упакуйте его с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме. Может, мы боремся не с тем, с чем надо?
    WBR,
    Vadim

  22. Это понравилось:


  23. #20
    Junior Member Репутация
    Регистрация
    15.09.2013
    Сообщений
    14
    Вес репутации
    16
    выслал файл по ссылке "Прислать запрошенный карантин"
    P.S. Точно ли нужно удалять всё найденное в МВАМ?

    - - - Добавлено - - -

    к сожалению, лог удаления после перезагрузки утерян.
    Файл c:\temp\cm7.exe образуется вновь. KIS его обнаруживает и стирает.
    Последний раз редактировалось Aleksey_P; 17.09.2013 в 15:59.

  • Уважаемый(ая) Aleksey_P, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. помогите с Bitcoin miner trojan
      От roman655 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 13.09.2013, 21:00
    2. bitcoin-miner
      От Tush_kan в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 08.09.2011, 04:19
    3. Помогите убить вирус bitcoin miner
      От Tirus в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 06.09.2011, 21:58
    4. Помогите пожалуйста! Bitcoin miner!! :(
      От aksined92 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.08.2011, 21:42

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01164 seconds with 17 queries