Прошу помочь с решением проблемы вируса Tool.BtcMine.390 и Tool.BtcMine.431. [not-a-virus:RiskTool.Win64.BitCoinMiner.ng, not-a-virus:RiskTool.Win32.BitCoinMiner.xou ]

[sharki182]

Столкнулся с такой проблемой: по пути C:\Users\Sharik\AppData\Local\Temp поселилась папка msupdate71. В ней находятся два .exe файла dwm и indexer, так же архив msupdate, файлы с расширением .dl1 (например libcurl-4.dl1), еще пару других файлов и куча файлов с расширением _log (которые постоянно увеличиваются в количестве). Антивирус (лицензионный Dr.Web) определяет экзешники, как вирусы Tool.BtcMine.390 и Tool.BtcMine.431. Проводил полную проверку компьютера антивирусом, так же пробовал утилиту Dr.Web CureIt!. Пробовал чистить реестр через утилиту CCleaner. Ничего не помогает. Папка восстанавливается заново. Др.Веб опять обнаруживает .exe как вирус, но все равно, все файлы из папки msupdate71, да и сама папка опять на месте. Еще заметил (хотя возможно просто совпадение), что курсор мыши стал передвигаться дергано, часто подвисает, такого не помню, до появления вируса. А если быстро шевелить мышкой туда-сюда, в диспетчере задач ЦП поднимается до 70-85%, а если сделать так мышкой при просмотре фильма онлайн, фильм начинает ужасно лагать. Помогите решить проблему. Заранее благодарен!

[Info_bot]

Уважаемый(ая) sharki182, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mrak74]

Здравствуйте !!!

Пофиксите в HijackThis:

Код:

O4 - HKCU\..\Run: [tsiVideo] rundll32.exe C:\Users\Sharik\AppData\Local\Temp\\mdi564.dll,asdasd

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  TerminateProcessByName('c:\users\sharik\appdata\local\temp\msupdate71\indexer.exe');
  QuarantineFile('C:\Users\Sharik\appdata\local\temp\msupdate71\dwm.exe','');
  QuarantineFile('C:\Users\Sharik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Internet Ехрlоrеr Вrоwser.lnk','');
  QuarantineFile('C:\Users\Sharik\AppData\Roaming\Browsers\exe.erolpxei.bat','');
  QuarantineFile('C:\Users\Sharik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооgle Chrоme.ln','');
  QuarantineFile('C:\Users\Sharik\AppData\Roaming\Browsers\exe.emorhc.bat','');
  QuarantineFile('C:\Windows\TEMP\69E8777.sys','');
  QuarantineFile('C:\Windows\TEMP\682EE6C.sys','');
  QuarantineFile('C:\Windows\TEMP\5A28CA3.sys','');
  QuarantineFile('C:\Users\Sharik\AppData\Local\Temp\mdi564.dll','');
  QuarantineFile('c:\users\sharik\appdata\local\temp\msupdate71\indexer.exe','');
  DeleteFile('C:\Users\Sharik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Internet Ехрlоrеr Вrоwser.lnk');
  DeleteFile('C:\Users\Sharik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооgle Chrоme.ln');
  DeleteFile('C:\Users\Sharik\AppData\Roaming\Browsers\exe.emorhc.bat','32');
  DeleteFile('C:\Users\Sharik\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
  DeleteFile('C:\Users\Sharik\appdata\local\temp\msupdate71\indexer.exe','32');
  DeleteFile('C:\Users\Sharik\appdata\local\temp\msupdate71\dwm.exe','32');
  DeleteFile('c:\users\sharik\appdata\local\temp\mdi564.dll','32');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tsiVideo');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,2,true);
 ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log

[sharki182]

Извините, что не смог оперативно ответить, вот логи и карантин.

[mrak74]

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Что с проблемой ?

[sharki182]

Скрипт выполнил, обновил по ссылке Flash Player, после этого написало, что уязвимостей не найдено.
Насчет проблемы, папка msupdate71 больше не появлялась, после вчерашних скриптов. Так же, ушла и проблема с мышью, теперь ЦП и видео онлайн не реагируют на движения курсора, исчезли подлагивания. Я, так понимаю, проблема устранена окончательно? Если так, огромнейшее Вам спасибо, добрые люди! =))

[mrak74]

Советы и рекомендации после лечения компьютера

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 24
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\sharik\appdata\local\temp\mdi564.dll - Trojan.Win32.CoinMiner.ap ( BitDefender: Gen:Variant.Symmi.47902, AVAST4: Win32:Malware-gen )
  2. c:\users\sharik\appdata\local\temp\msupdate71\dwm. exe - not-a-virus:RiskTool.Win64.BitCoinMiner.ng ( DrWEB: Tool.BtcMine.390 )
  3. c:\users\sharik\appdata\local\temp\msupdate71\inde xer.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.xou ( DrWEB: Tool.BtcMine.431, BitDefender: Trojan.Generic.12071848 )