-
Junior Member
- Вес репутации
- 39
Опасный файл jh1d.exe [not-a-virus:RiskTool.Win64.BitCoinMiner.j
]
Здравствуйте. У меня стоит антивирус Kaspersky Internet Security (пробная версия, каюсь...но надеюсь, что она рабочая). На днях начал обнаруживать вирусы в папке C:\temp (windows 7). Несколько раз "лечил с перезагрузкой". И все равно какие-то два файла появлялись. Постоянно удалял эту папку, а они снова. Теперь процессор иногда начал грузиться на 100 процентов. Спасался пару раз перезагрузкой. Потом посмотрел через диспетчер в мониторе ресурсов - 99 процентов загрузки от файла jh1d.exe, который находится в той же папке C:\temp. Я его удалял, снова появляется. Проверял антивирусом, пишет "Информация из KSN - файлом пользовались более 1000 пользователей, файл стал известен менее двух недель назад. Репутация программы - доверенная"... Естественно, касперский ничего не хочет с ней делать. Додумался только то того, что в настройках активности программ сделал этот процесс недоверенным. А что дальше делать? Надеюсь на вашу помощь. Относить ноутбук на ремонт не могу - очень много работы. Нужно своими силами выяснить, откуда этот файл появляется. Да еще и антивирусы вообще его не замечают, в доверенные ставят...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) TbgRiddle, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 39
Я сейчас сделаю логи. Извините, не прочитал правила, сразу создал тему. Волнуюсь немного Скачал уже программки, процесс идет.
- - - Добавлено - - -
virusinfo_syscheck.zip
hijackthis.log
Вот логи. Почему-то только два получилось. Не знаю, где взять AVZ - virusinfo_syscure.zip. Пропустил, правда, первый пункт. Написано "Если у Вас 64-разрядная или серверная операционная система, выполнять п.1 данного раздела не следует. Переходите сразу к п.2.". У меня 64-разрядная система.
-
Выполните скрипт в AVZ:
Код:
begin
StopService('Mutual Monitor');
DeleteService('Mutual Monitor');
QuarantineFile('C:\Program Files\mutualpublic\Monitor.exe','');
DeleteFile('C:\Program Files\mutualpublic\Monitor.exe','32');
DeleteFileMask('C:\Program Files\mutualpublic','*',true);
DeleteDirectory('C:\Program Files\mutualpublic');
QuarantineFileF('C:\temp', '*.exe', false,'', 0, 0, '', '', '');
ExecuteWizard('SCU',2,2,true);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(false);
end.
Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
-
-
Junior Member
- Вес репутации
- 39
Здравствуйте. Карантин отправил. Теперь прикрепляю образ автозапуска:
USER-ПК_2013-11-19_13-08-25.7z
-
Выполните скрипт в uVS:
Код:
;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.0
offsgnsave
adddir C:\temp
addsgn BA6F9BB2BDD176720B9C2D754C2144FBDA75303AC171DB300C9BD5F4D9BE6904AA67E3DE765DCA01A86CA4D7CDDC0171A7378E5255DA3B67353FC7DF31C7A006 24 W32.Clodf58.Trojan.7895 [Bkav]
chklst
delvir
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217025FF} /quiet
uidel C:\Program Files\mutualpublic\uninst.exe
exec C:\PROGRA~2\Yahoo!\Common\unyt.exe
deltmp
restart
На вопросы об удалении программ рекомендую соглашаться.
Компьютер перезагрузится.
Проверьте, что с проблемой.
-
-
Junior Member
- Вес репутации
- 39
Скрипт выполнил. В процессе предложило удалить какой-то тулбар. Нажал "Да". Потом перезагрузка.
В папке с программой появился только вот этот текстовик:
2013-11-19_14-31-32_log.txt
После этого скачал Java 7 Update 45, установил, подтвердил "Congratulations! You have the recommended Java installed (Version 7 Update 45)."
В папке C:\temp больше нет никаких exe файлов. Теперь все будет в порядке? Проблема решена?
-
Последите за обстановкой некоторое время.
Сделайте лог полного сканирования МВАМ.
-
-
Junior Member
- Вес репутации
- 39
-
Последний раз редактировалось Vvvyg; 20.11.2013 в 13:36.
WBR,
Vadim
-
-
Junior Member
- Вес репутации
- 39
Все. Удалил. Пока все в порядке. Злосчастный exe файл больше не появляется Спасибо огромное за помощь!
А тот файл jh1d.exe - это что-то совершенно новое, раз касперский его даже в доверенные поставил?
-
Это не зловред, а биткойн-майнер, кто-то за Ваш счёт себе криптовалюту добывал. А вот установлен он был в систему, видимо, приложением mutualpublic.
Кстати, если включить в антивирусе Касперского защиту от потенциально нежелательных программ (PUP) - будет и этот майнер блокировать.
-
-
Junior Member
- Вес репутации
- 39
Так у меня по умолчанию все это включено. Сейчас специально проверил - все галочки стоят. Да и я напрямую касперским проверял этот файл несколько раз - писал, что порядок. Этот процесс даже в доверенных стоял, хотя антивирус и не спрашивал меня об этом... Тем не менее, двумя днями ранее несколько раз проводил лечение с перезагрузкой. Значит, было что-то еще. После этого лечения полную проверку ставил на ночь - никаких вирусов не было найдено. Странно даже. Наверное, что-то новенькое.
-
Новый вариант, на днях попадался чуть другой - он уже и Касперским, и Eset ловился.
-
-
Junior Member
- Вес репутации
- 39
Понятно. Здорово, что все обошлось. Спасибо еще раз за помощь
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\mutualpublic\\monitor.exe - Trojan-Downloader.Win64.BitMin.a
- c:\\temp\\jh1d.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.j
-