Показано с 1 по 16 из 16.

Опасный файл jh1d.exe [not-a-virus:RiskTool.Win64.BitCoinMiner.j ] (заявка № 149892)

  1. #1
    Junior Member Репутация
    Регистрация
    19.11.2013
    Сообщений
    8
    Вес репутации
    16

    Опасный файл jh1d.exe [not-a-virus:RiskTool.Win64.BitCoinMiner.j ]

    Здравствуйте. У меня стоит антивирус Kaspersky Internet Security (пробная версия, каюсь...но надеюсь, что она рабочая). На днях начал обнаруживать вирусы в папке C:\temp (windows 7). Несколько раз "лечил с перезагрузкой". И все равно какие-то два файла появлялись. Постоянно удалял эту папку, а они снова. Теперь процессор иногда начал грузиться на 100 процентов. Спасался пару раз перезагрузкой. Потом посмотрел через диспетчер в мониторе ресурсов - 99 процентов загрузки от файла jh1d.exe, который находится в той же папке C:\temp. Я его удалял, снова появляется. Проверял антивирусом, пишет "Информация из KSN - файлом пользовались более 1000 пользователей, файл стал известен менее двух недель назад. Репутация программы - доверенная"... Естественно, касперский ничего не хочет с ней делать. Додумался только то того, что в настройках активности программ сделал этот процесс недоверенным. А что дальше делать? Надеюсь на вашу помощь. Относить ноутбук на ремонт не могу - очень много работы. Нужно своими силами выяснить, откуда этот файл появляется. Да еще и антивирусы вообще его не замечают, в доверенные ставят...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,464
    Вес репутации
    343
    Уважаемый(ая) TbgRiddle, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    19.11.2013
    Сообщений
    8
    Вес репутации
    16
    Я сейчас сделаю логи. Извините, не прочитал правила, сразу создал тему. Волнуюсь немного Скачал уже программки, процесс идет.

    - - - Добавлено - - -

    virusinfo_syscheck.zip

    hijackthis.log


    Вот логи. Почему-то только два получилось. Не знаю, где взять AVZ - virusinfo_syscure.zip. Пропустил, правда, первый пункт. Написано "Если у Вас 64-разрядная или серверная операционная система, выполнять п.1 данного раздела не следует. Переходите сразу к п.2.". У меня 64-разрядная система.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,840
    Вес репутации
    842
    Выполните скрипт в AVZ:
    Код:
    begin
     StopService('Mutual Monitor');
     DeleteService('Mutual Monitor');
     QuarantineFile('C:\Program Files\mutualpublic\Monitor.exe','');
     DeleteFile('C:\Program Files\mutualpublic\Monitor.exe','32');
    DeleteFileMask('C:\Program Files\mutualpublic','*',true);
    DeleteDirectory('C:\Program Files\mutualpublic');
    QuarantineFileF('C:\temp', '*.exe', false,'', 0, 0, '', '', '');
    ExecuteWizard('SCU',2,2,true);
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
    WBR,
    Vadim

  6. #5
    Junior Member Репутация
    Регистрация
    19.11.2013
    Сообщений
    8
    Вес репутации
    16
    Здравствуйте. Карантин отправил. Теперь прикрепляю образ автозапуска:

    USER-ПК_2013-11-19_13-08-25.7z

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,840
    Вес репутации
    842
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.81.7 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.0
    
    offsgnsave
    adddir C:\temp
    
    addsgn BA6F9BB2BDD176720B9C2D754C2144FBDA75303AC171DB300C9BD5F4D9BE6904AA67E3DE765DCA01A86CA4D7CDDC0171A7378E5255DA3B67353FC7DF31C7A006 24 W32.Clodf58.Trojan.7895 [Bkav]
    chklst
    delvir
    exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217025FF} /quiet
    uidel C:\Program Files\mutualpublic\uninst.exe
    exec C:\PROGRA~2\Yahoo!\Common\unyt.exe
    
    deltmp
    restart
    На вопросы об удалении программ рекомендую соглашаться.
    Компьютер перезагрузится.

    information

    Уведомление

    Данный скрипт удалит все устаревшие версии Java, т. к. в них имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
    Скачайте и установите Java 7 Update 45. Уязвимости Java являются частой причиной взлома и заражения системы и поэтому это потенциальная дыра в безопасности.




    Проверьте, что с проблемой.
    WBR,
    Vadim

  8. #7
    Junior Member Репутация
    Регистрация
    19.11.2013
    Сообщений
    8
    Вес репутации
    16
    Скрипт выполнил. В процессе предложило удалить какой-то тулбар. Нажал "Да". Потом перезагрузка.

    В папке с программой появился только вот этот текстовик:

    2013-11-19_14-31-32_log.txt


    После этого скачал Java 7 Update 45, установил, подтвердил "Congratulations! You have the recommended Java installed (Version 7 Update 45)."

    В папке C:\temp больше нет никаких exe файлов. Теперь все будет в порядке? Проблема решена?

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,840
    Вес репутации
    842
    Последите за обстановкой некоторое время.

    Сделайте лог полного сканирования МВАМ.
    WBR,
    Vadim

  10. #9
    Junior Member Репутация
    Регистрация
    19.11.2013
    Сообщений
    8
    Вес репутации
    16

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,840
    Вес репутации
    842
    information

    Уведомление

    Удалите Malwarebytes Anti-Malware, его использование в качестве антивируса с постоянной защитой не рекомендуется, особенно совместно с другими защитными продуктами.



    Выполните рекомендации после лечения.
    Последний раз редактировалось Vvvyg; 20.11.2013 в 12:36.
    WBR,
    Vadim

  12. #11
    Junior Member Репутация
    Регистрация
    19.11.2013
    Сообщений
    8
    Вес репутации
    16
    Все. Удалил. Пока все в порядке. Злосчастный exe файл больше не появляется Спасибо огромное за помощь!

    А тот файл jh1d.exe - это что-то совершенно новое, раз касперский его даже в доверенные поставил?

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,840
    Вес репутации
    842
    Это не зловред, а биткойн-майнер, кто-то за Ваш счёт себе криптовалюту добывал. А вот установлен он был в систему, видимо, приложением mutualpublic.
    Кстати, если включить в антивирусе Касперского защиту от потенциально нежелательных программ (PUP) - будет и этот майнер блокировать.
    WBR,
    Vadim

  14. Это понравилось:


  15. #13
    Junior Member Репутация
    Регистрация
    19.11.2013
    Сообщений
    8
    Вес репутации
    16
    Так у меня по умолчанию все это включено. Сейчас специально проверил - все галочки стоят. Да и я напрямую касперским проверял этот файл несколько раз - писал, что порядок. Этот процесс даже в доверенных стоял, хотя антивирус и не спрашивал меня об этом... Тем не менее, двумя днями ранее несколько раз проводил лечение с перезагрузкой. Значит, было что-то еще. После этого лечения полную проверку ставил на ночь - никаких вирусов не было найдено. Странно даже. Наверное, что-то новенькое.

  16. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,840
    Вес репутации
    842
    Новый вариант, на днях попадался чуть другой - он уже и Касперским, и Eset ловился.
    WBR,
    Vadim

  17. #15
    Junior Member Репутация
    Регистрация
    19.11.2013
    Сообщений
    8
    Вес репутации
    16
    Понятно. Здорово, что все обошлось. Спасибо еще раз за помощь

  18. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\mutualpublic\\monitor.exe - Trojan-Downloader.Win64.BitMin.a
      2. c:\\temp\\jh1d.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.j


  • Уважаемый(ая) TbgRiddle, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 15.01.2013, 00:45
    2. опасный сайт
      От borona в разделе Спам и мошенничество в сети
      Ответов: 6
      Последнее сообщение: 03.06.2011, 05:35
    3. опасный вирус win 32
      От Нюта в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 24.04.2009, 09:23
    4. Подозрения на опасный руткит
      От moskalionov в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 03:03
    5. Опасный вирус?
      От галяяя в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 16.01.2008, 20:51

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00835 seconds with 17 queries