Показано с 1 по 14 из 14.

dbgen.exe - 100% загрузкапроцессора [not-a-virus:RiskTool.Win64.BitCoinMiner.dp ] (заявка № 162337)

  1. #1
    Junior Member Репутация
    Регистрация
    13.06.2007
    Сообщений
    47
    Вес репутации
    62

    Thumbs up dbgen.exe - 100% загрузкапроцессора [not-a-virus:RiskTool.Win64.BitCoinMiner.dp ]

    Добрый вечер эксперты,

    Win7 Prof 64bit.

    Пытаясь найти в сети видеотрансляцию матча ЧМ2014, скачал flash_player. Внешне он похож был на Flash_Player от Adobe, я заподозрил конечно подвох, но уж очень хотелось побыстрее футбол посмотреть

    Впоследствии обнаружились следы действия зловреда: в C:\Windows\Temp при загрузке создается набор файлов, один из них dbgen.exe. Он грузит процессор на 100% постоянно. Простая очистка C:\Windows\Temp, конечно, не дает результата - при загрузке файлы появляются вновь.

    Вот эти файлы:
    C:\Windows\Temp\DFFFBA18D57E9F84A92FF9A68DC3CB68-Sigs\ <&#207;&#224;&#239;&#234;&#224;> 30.06.14 14:07 ----
    C:\Windows\Temp\Low\ <&#207;&#224;&#239;&#234;&#224;> 07.06.14 21:22 ----
    C:\Windows\Temp\VPN_8D84\ <&#207;&#224;&#239;&#234;&#224;> 30.06.14 10:02 ----
    C:\Windows\Temp\VPN_017A\ <&#207;&#224;&#239;&#234;&#224;> 30.06.14 10:02 ----
    C:\Windows\Temp\.unicode_cache_d495c078.dat 1 637 485 29.06.14 22:16 -a--
    C:\Windows\Temp\dgen.exe 765 952 30.06.14 10:02 -a--
    C:\Windows\Temp\libcurl-4.dll 603 763 12.01.14 01:01 -a--
    C:\Windows\Temp\crpt.exe 144 384 30.06.14 10:02 -a--
    C:\Windows\Temp\starter.exe 77 713 16.06.14 22:27 -a--
    C:\Windows\Temp\pthreadGC2-w64.dll 42 496 06.06.10 03:00 -a--
    C:\Windows\Temp\MpCmdRun.log 7 078 30.06.14 14:07 -a--
    C:\Windows\Temp\MpSigStub.log 5 324 30.06.14 14:07 -a--
    C:\Windows\Temp\lpksetup-20140629-221651-0.log 2 682 29.06.14 22:16 -a--
    C:\Windows\Temp\lpksetup-20140630-100249-0.log 2 682 30.06.14 10:02 -a--
    C:\Windows\Temp\dbg.log 134 30.06.14 10:02 -a--
    C:\Windows\Temp\cstart.bat 83 04.06.14 21:39 -a--
    содержимое dbg.log:
    "C:\Windows\TEMP\cstart.bat" stratum+tcp://jun2.dgensvc.com:6210
    "C:\Windows\TEMP\cstart.bat" stratum+tcp://jun9.dgensvc.com:6209
    содержимое cstart.bat:
    cd %~dp0
    start /low /B "" "%~dp0dgen.exe" -o %1 -R 5 -a X11 > nul 2>&1

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,285
    Вес репутации
    377
    Уважаемый(ая) xgoodwin, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Логи переделать версией 4.43, предварительно обновив ее базы
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    13.06.2007
    Сообщений
    47
    Вес репутации
    62
    Не понял, почему Вы указали именно на версию 4.43, т.к. я предварительно только что ее скачал с сайта и обновил базы. Логи выполнены были именно в этой версии.

    Но спорить смысла нет. Скачал AVZ заново, распаковал в чистый каталог, обновил базы, выполнил скрипты. Но на этот раз AVZ сформировал только 1 файл.

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Код:
    H:\temp\ZTE_ZXDSL_931WII.exe
    Вам знаком? А также остальное содержимое папки H:\temp\

    Выполните скрипт в AVZ

    Код:
    begin
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
    end.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.


    - Сделайте лог полного сканирования МВАМ.

    - - - Добавлено - - -

    + посмотрите такой файл есть ?
    Код:
    C:\Windows\Temp\dgen.exe
    Если есть
    Пришлите в карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    13.06.2007
    Сообщений
    47
    Вес репутации
    62
    Цитата Сообщение от regist Посмотреть сообщение
    Код:
    H:\temp\ZTE_ZXDSL_931WII.exe
    Вам знаком? А также остальное содержимое папки H:\temp\
    Да, сам скачивал. Это инсталятор для роутера от Ростелекома. Ну и весь TEMP сам годами собирал по файлику

    - - - Добавлено - - -

    Лог сканирования от AdwCleaner (by Xplode)

    - - - Добавлено - - -

    Такой файл есть:
    C:\Windows\Temp\dgen.exe
    Загрузил его через карантин.

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от xgoodwin Посмотреть сообщение
    Ну и весь TEMP сам годами собирал по файлику
    ну, видно все файлы там собирали вы .

    Цитата Сообщение от xgoodwin Посмотреть сообщение
    Такой файл есть:
    C:\Windows\Temp\dgen.exe
    Загрузил его через карантин.
    Это и есть ваш майнер который грузит вашу систему. Удалите его и просмотрите папку на наличие его "друзей" - других незнакомых вам файлов.

    - Удалите в AdwCleaner всё кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё).


    что с проблемой?

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    13.06.2007
    Сообщений
    47
    Вес репутации
    62
    Вот лог полного сканирования МВАМ.

    Проблема осталась. Само собой, что простым удалением файлов проблема не решается. Они при загрузке заново появляются. Только не пойму пока откуда.

  13. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Удалите в МВА (поместите в Карантин) всё, кроме
    Код:
    Trojan.Downloader, A:\Program Files\Total Commander Podarok Edition\Programm\DameWare NT Utilities\keygen.exe, , [940eb8c62b5090a669c779dd6a96e31d], 
    Trojan.Downloader, A:\Program Files\Total Commander Podarok Edition\Programm\EVEREST Ultimate Edition\Keymaker - Ultimate.exe, , [336fbec02457ad896cc44b0b00005ba5], 
    Trojan.Agent.CK, A:\Program Files\Total Commander Podarok Edition\Programm\Hide IP Platinum\keygen.exe, , [adf5ff7fbebd9d993a4a974457aacf31], 
    Trojan.Dropper, A:\Program Files\Total Commander Podarok Edition\Programm\Mpr\patch.exe, , [158d542a8fec8caa93c2d086fa06d22e], 
    PUP.Optional.Amonetize, C:\Program Files (x86)\AmiExt\flashEnhancer\uninstall.exe, , [cad81b637209f73fa1689cb5728ffb05], 
    Hacktool.Patcher, C:\Program Files (x86)\Wondershare\MobileGo for Android\wondershare.mobilego.for.android.4.2.0.249-patch.exe, , [069cbcc26516e74f316e1405af55d927], 
    Riskware.BitcoinMiner, C:\ProgramData\Auslogics\BoostSpeed\6.x\Rescue\BoostSpeed\140627225704025.rsc, , [5e441866adce6ec8580c1433f40d33cd], 
    PUP.Optional.V9.A, D:\Program Files\trademanager\AliAppLoader.exe, , [772b304e2754d561edd4c78142be5fa1], 
    PUP.Optional.OpenCandy, E:\Utils\MediaInfo_GUI_0.7.37_Windows_i386.exe, , [643e3f3f3843bc7afc77e9c83acaa25e], 
    Trojan.Agent, E:\Utils\Coyote\Coyote.exe, , [564c601e502bdf571003bb0d6d942cd4], 
    RiskWare.Tool.CK, E:\Utils\NeuroShell Trader 4\patch.exe, , [851d5c229cdfb87e18ee98d1847cba46], 
    Trojan.Downloader, E:\Utils\Total Commander Podarok Edition\Programm\DameWare NT Utilities\keygen.exe, , [2082bcc25724ff373ff18ccaf10f16ea], 
    Trojan.Downloader, E:\Utils\Total Commander Podarok Edition\Programm\EVEREST Ultimate Edition\Keymaker - Ultimate.exe, , [c2e029555526ec4aaa8672e47d83fd03], 
    Trojan.Agent.CK, E:\Utils\Total Commander Podarok Edition\Programm\Hide IP Platinum\keygen.exe, , [0b97b4ca0a7196a0493b924933ce58a8], 
    Trojan.Dropper, E:\Utils\Total Commander Podarok Edition\Programm\Mpr\patch.exe, , [e1c1c2bcb7c4cd695df8b89e916f5ba5], 
    RiskWare.Tool.CK, E:\Distr\Forex\Neuroshell\NeuroShell DayTrader Professional 4.4\Crack\patch.exe, , [0999e29c5e1d7fb71fe7c9a09868f808], 
    RiskWare.Tool.CK, E:\Distr\??N?N??????°N???N?N?\WinRar 3.51\winrar.rar, , [2b77f28c99e21c1a0a59391556aab64a], 
    RiskWare.Tool.CK, E:\Distr\???±???»??N?????\WinNC 3000\patch.exe, , [f1b1e995e29960d6ef175b0e6f91748c], 
    RiskWare.Tool.CK, E:\??N? ????N?N?N??????° ??\TuneUp.Utilities.2011.v10.0.2011.65.Incl.KeyGen.rar, , [fda5ccb2d0ab33035a26905cec15a25e], 
    RiskWare.Tool.HCK, E:\??N? ????N?N?N??????° ??\TuneUp_Utilities_2010_9.0.4100.12_Rus.rar, , [3c666e10a3d80630193a0dba38c9a65a], 
    RiskWare.Tool.HCK, E:\??N? ????N?N?N??????° ??\TuneUp Utilities 2010 9.0.4100.12 Rus\Keygen.exe, , [b0f2daa45e1d5fd7361dfccbef1221df], 
    RiskWare.Tool.CK, E:\??N? ????N?N?N??????° ??\TuneUp.Utilities.2011.v10.0.2011.65.Incl.KeyGen\keygen.exe, , [7b2788f6710af6402f51c428b15021df], 
    RiskWare.Tool.CK, E:\??N? ????N?N?N??????° ??\TuneUp.Utilities.2011.v10.0.2011.65.Incl.KeyGen\KeyGen.rar, , [eeb4017dcead2016e59b5894808148b8], 
    PUP.Hacktool.Patcher, H:\!complete_dowload\StreetWars\street.wars-patch.exe, , [f1b1582619625cda5e4e49bc8f716a96], 
    Backdoor.Agent.Gen, H:\???°???° USB\N??»?µN?\SysInfo.exe, , [980a67175427bd79fc2d701ce02039c7], 
    CrackTool.Agent, H:\temp\MGo_4.2.1.249+++Rus.rar, , [7c263648eb9075c11160f53029d8f30d], 
    PUP.Hacktool, H:\temp\mKMSAct.exe, , [d2d0c3bb2d4efc3a19a8d5a946ba5fa1], 
    PUP.Optional.OpenCandy, H:\temp\attsetup.exe, , [3f638df1fc7fcf67f97aa9080ff5b34d], 
    PUP.Optional.OpenCandy, H:\temp\winamp5622_full_bundle_emusic-7plus_ru-ru.exe, , [4a58146aadce310595de822f986c4eb2], 
    PUP.Optional.OpenCandy, H:\temp\MediaInfo_GUI_0.7.44_Windows_i386.exe, , [d8cac9b590eb989e94dff1c027ddc43c], 
    Hacktool.Patcher, H:\temp\MobileGo.4.2.0.249.rar, , [f0b21b63fc7f71c5247b81980afaa858], 
    CrackTool.Agent, H:\temp\MGo_4.2.1.249 + Rus\Patch.rar, , [fca67a0496e583b389e8e93ca1602bd5], 
    PUP.Hacktool.Patcher, H:\temp\N?N??°N?N??? D\proxifier 2.0.rar.rar, , [554da8d66912e1556349010429d79868], 
    RiskWare.Tool.HCK, H:\temp\usb\Utils\TuneUp Utilities 2010 9.0.4100.12 Rus\Keygen.exe, , [4161c1bdadcecd690e45d0f76998659b], 
    PUP.AdvancedPRecovery, H:\temp\usb\Utils\???????°?»???? ???°N????»?µ??\edp2009\archpr450.zip, , [673b423c7506a393859d7d6d946dc43c],
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. Это понравилось:


  15. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    +

    Код:
    C:\ProgramData\Auslogics\BoostSpeed\6.x\Rescue\BoostSpeed\140627225704025.rsc
    также пришлите в карантин + проверьте http://www.virustotal.com/ ссылку на результат проверки напишите здесь.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.


    сделайте новый лог сканирования MBAM.

  16. Это понравилось:


  17. #11
    Junior Member Репутация
    Регистрация
    13.06.2007
    Сообщений
    47
    Вес репутации
    62
    Цитата Сообщение от thyrex Посмотреть сообщение
    Удалите в МВА (поместите в Карантин) всё, кроме
    Код:
    Trojan.Downloader,  
    .....
    .....
    .....
    Все переместил в карантин.

    Сделал еще раз сканирование через AdwCleaner (by Xplode). Удалил найденные объекты. Перезагрузил.
    Зловред при старте не запустился, хотя в папке TEMP остался. Могу сказать, что проблема устранена!

    Большое спасибо, уважаемые эксперты! Каждому плюс в репутацию.

  18. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    MBAM деинсталируйте.

    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Советы и рекомендации после лечения компьютера

  19. Это понравилось:


  20. #13
    Junior Member Репутация
    Регистрация
    13.06.2007
    Сообщений
    47
    Вес репутации
    62
    Сделал проверку, обновил Java. Спасибо за помощь!

  21. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\temp\dgen.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.dp ( DrWEB: Tool.BtcMine.318 )


  • Уважаемый(ая) xgoodwin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Карантин C74354F4E366174AEBA76FBE7359643E [not-a-virus:RiskTool.Win64.BitCoinMiner.a]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 10.01.2019, 07:30
    2. Карантин 6E452BEEFD378FF494C01291C4DC112B [UDS:DangerousObject.Multi.Generic, not-a-virus:RiskTool.Win32.BitCoinM= iner.mxx]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 12.02.2017, 13:09
    3. dcore.exe [not-a-virus:RiskTool.Win64.BitCoinMiner.hc, not-a-virus:RiskTool.Win32.BitCoinMiner.mxx ]
      От Александр Маркс в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 19.06.2014, 22:11
    4. Ответов: 9
      Последнее сообщение: 01.06.2014, 15:12
    5. Карантин EAB07ADF96691CFE236291993F50AC53 [UDS:DangerousObject.Multi.Generic]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 27.11.2013, 16:14

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01387 seconds with 19 queries