Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

помогите почистить компьютер от подозрительных объектов. [Trojan.Win64.BitMin.b ] (заявка № 180780)

  1. #1
    Junior Member Репутация
    Регистрация
    08.01.2010
    Адрес
    Россия
    Сообщений
    74
    Вес репутации
    29

    помогите почистить компьютер от подозрительных объектов. [Trojan.Win64.BitMin.b ]

    прилагаю все логи которые получились.
    стали возникать различные ошибки, в т.ч. ошибка dllname, антивирус стал часто ругаться на подозрения на троянов, так же стал пропадать трафик.
    Последний раз редактировалось mike 1; 30.03.2015 в 15:42. Причина: Карантин в теме

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,460
    Вес репутации
    342
    Уважаемый(ая) vozd, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    08.01.2010
    Адрес
    Россия
    Сообщений
    74
    Вес репутации
    29
    добавлю.
    комп win 7 64
    стоит NOD 5021263
    стоят так же средстав для etoken и vipnet monitor
    пользуюсь хром браузером

    перед сканированием для логов все выгружал и отключал.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

    Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
     QuarantineFile('C:\Program Files\mutualpublic\Monitor.exe','');
     QuarantineFile('C:\Users\73B5~1\AppData\Local\Temp\wiupdat.exe','');
     DeleteService('wincompute');
     QuarantineFile('c:\temp\zcompute.exe','');
     DeleteFile('c:\temp\zcompute.exe','32');
     DeleteFile('C:\Users\73B5~1\AppData\Local\Temp\wiupdat.exe','32');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код:
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  6. #5
    Junior Member Репутация
    Регистрация
    08.01.2010
    Адрес
    Россия
    Сообщений
    74
    Вес репутации
    29
    во время выполнения первого пункта вышла ошибка dllname
    прилагаю скриншот.
    прилагаю карантин.
    Вложение 550680

    вот лог с малваре.

    готов к дальнейшим действиям.
    Последний раз редактировалось vozd; 30.03.2015 в 18:57. Причина: правка текста

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Повторите сканирование в MBAM (можно сделать быстрое сканирование) если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

    Код:
    Обнаруженные ключи в реестре:  1
    HKLM\SYSTEM\CurrentControlSet\Services\Mutual Monitor (Trojan.Bitminer.MPM) -> Действие не было предпринято.
    
    Обнаруженные файлы:  2
    C:\Program Files\mutualpublic\monitor.exe (Trojan.Bitminer.MPM) -> Действие не было предпринято.
    Удалите папку C:\Program Files\mutualpublic.

    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  8. #7
    Junior Member Репутация
    Регистрация
    08.01.2010
    Адрес
    Россия
    Сообщений
    74
    Вес репутации
    29

    результаты

    ошибка в AVZ осталась. никуда не делась. скрин прилагаю. Вложение 550868
    папка удалилась. результат сканирования малваре прилагаю.
    сканирование AVZ логи прилагаю.
    так же сделал проверку по этому скрипту "ScanVuln", лог прилагаю.

    вот. как бы избавиться от этой ошибки и удостовериться в отсутствии опасностей?

    например строки вызывают сомнение:
    C:\Users\73B5~1\AppData\Local\Temp\wiupdat.exe
    C:\Users\73B5~1\AppData\Local\Temp\NOSEventMessage s.dll
    а удалить их AVZ не может из за ошибки DLLNAME

    и вот эти строки мне так же не понятны:
    c:\users\Пользователь\appdata\local\temp\D714D3C8-38FA3D2C-68522442-673AF106\479mb177.exe
    c:\users\Пользователь\appdata\local\temp\D714D3C8-38FA3D2C-68522442-673AF106\a3w42wau.exe
    напротив них отсылка к Doctor Web

    так же просьба: сделать скриптик что бы удалить все следы huawei из системы. (использовался 4G модем, теперь не используется).
    Последний раз редактировалось vozd; 31.03.2015 в 10:04. Причина: текстовые правки

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  10. #9
    Junior Member Репутация
    Регистрация
    08.01.2010
    Адрес
    Россия
    Сообщений
    74
    Вес репутации
    29

    новые логи

    прикрепляю.

    убрать бы вот эти тоже:

    Install MegaFon Internet.exe
    Последний раз редактировалось vozd; 31.03.2015 в 14:11. Причина: текстовые правки

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    1. Скачайте архив с утилитой Registry Search и распакуйте его в отдельную папку на рабочем столе.
    2. Запустите утилиту.
    3. В верхнем окне, предназначенном для поиска введите:
      Код:
      wiupdat.exe
    4. Нажмите кнопку "OK".
    5. В блокноте откроется текст, скопируйте его и вставьте в следующее сообщение.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  12. #11
    Junior Member Репутация
    Регистрация
    08.01.2010
    Адрес
    Россия
    Сообщений
    74
    Вес репутации
    29
    Windows Registry Editor Version 5.00

    ; Registry Search 2.0 by Bobbi Flekman © 2005
    ; Version: 2.0.6.0

    ; Results at 31.03.2015 16:21:18 for strings:
    ; 'wiupdat.exe'
    ; Strings excluded from search:
    ; (None)
    ; Search in:
    ; Registry Keys Registry Values Registry Data
    ; HKEY_LOCAL_MACHINE HKEY_USERS


    [HKEY_USERS\S-1-5-21-71113186-1414245751-3070873425-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "UIHost"="C:\\Users\\73B5~1\\AppData\\Local\\Temp\ \wiupdat.exe"

    ; End Of The Log...
    Последний раз редактировалось vozd; 01.04.2015 в 10:37. Причина: текстовые правки

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Откройте редактор реестра, в нем найдите ключ реестра:

    [HKEY_USERS\S-1-5-21-71113186-1414245751-3070873425-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

    Найдите параметр:

    UIHost

    Щелкните дважды по нему и исправьте значение на logonui.exe. Сохраните изменения, перезагрузите компьютер.

    Выполните еще раз рекомендации из 10 сообщения.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  14. #13
    Junior Member Репутация
    Регистрация
    08.01.2010
    Адрес
    Россия
    Сообщений
    74
    Вес репутации
    29
    Windows Registry Editor Version 5.00

    ; Registry Search 2.0 by Bobbi Flekman © 2005
    ; Version: 2.0.6.0

    ; Results at 31.03.2015 16:43:01 for strings:
    ; 'wiupdat.exe'
    ; Strings excluded from search:
    ; (None)
    ; Search in:
    ; Registry Keys Registry Values Registry Data
    ; HKEY_LOCAL_MACHINE HKEY_USERS


    ; End Of The Log...

    - - - - -Добавлено - - - - -

    а мы подбираемся к решению проблемы с dllname при работе с avz?
    и хочется удалить драйвера на huawei и попытки инсталляции мегафона.
    и вот логи из AVZ
    меня все же еще смущают вот:

    C:\Users\73B5~1\AppData\Local\Temp\NOSEventMessage s.dll
    c:\users\Пользователь\appdata\local\temp\D714D3C8-38FA3D2C-68522442-673AF106\479mb177.exe
    c:\users\Пользователь\appdata\local\temp\D714D3C8-38FA3D2C-68522442-673AF106\a3w42wau.exe

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    C:\Users\73B5~1\AppData\Local\Temp\NOSEventMessage s.dll
    Это компонент от Nokia.

    c:\users\Пользователь\appdata\local\temp\D714D3C8-38FA3D2C-68522442-673AF106\479mb177.exe
    c:\users\Пользователь\appdata\local\temp\D714D3C8-38FA3D2C-68522442-673AF106\a3w42wau.exe
    Это от DrWeb Cureit.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  16. #15
    Junior Member Репутация
    Регистрация
    08.01.2010
    Адрес
    Россия
    Сообщений
    74
    Вес репутации
    29
    все компоненты nokia и DrWeb Cureit и Мегафон и Huawei надо удалить. какой скрипт надо ввести, подскажите?

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    А чем они вам мешают?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  18. #17
    Junior Member Репутация
    Регистрация
    08.01.2010
    Адрес
    Россия
    Сообщений
    74
    Вес репутации
    29
    просто люблю когда все чисто и в системе нету хвостов от ненужных программ.
    и мне кажется, что в папках temp не должно быть exe. как то это не так...
    можно я их удалю? я бы вообще хотел очистить систему до первоначального уровня, с сохранением установленных программ на сегодняшний день.
    все хвосты от установок удалений, все журналы, все временные файлы и пр. пользовался всегда ccleaner но видимо он не все убирает.

    да и ошибка при работе AVZ (dllname) так же не дает мне покоя.
    Последний раз редактировалось vozd; 01.04.2015 в 08:39. Причина: текстовые правки.

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Чрезмерная чистка системы может сделать так, что система будет работать некорректно.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  20. Это понравилось:


  21. #19
    Junior Member Репутация
    Регистрация
    08.01.2010
    Адрес
    Россия
    Сообщений
    74
    Вес репутации
    29
    но эти exe висят в темпе уже оч. давно. зачем они там?
    так же когда выполняю в AVZ чистку системы выводит вот что:
    Вложение 551288
    Вложение 551289

    п.с. почти закончилось место для загрузки логов.

    хочется что бы AVZ проводило очистку без ошибок. и что бы в папках temp не висело мертвых exe (nokia уж точно тут больше использоваться не будет)


    так же прикладываю логи из регистри сеч по словам megafon/HUAWEI Modem/Nokia
    Последний раз редактировалось vozd; 01.04.2015 в 13:00. Причина: текстовые правки

  22. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    так же прикладываю логи из регистри сеч по словам megafon/HUAWEI Modem/Nokia
    Удаление этих записей на ваше усмотрение, но перед удалением чего-либо сделайте резервную копию реестра.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  • Уважаемый(ая) vozd, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помогите очистить компьютер
      От DeathGRom в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 15.03.2015, 17:47
    2. помогите очистить компьютер
      От кондратенков в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 18.01.2014, 13:41
    3. Несколько подозрительных объектов.
      От M3HTos в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 24.09.2010, 12:04
    4. куча подозрительных объектов
      От KEN1 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 07.12.2009, 19:46
    5. Ответов: 7
      Последнее сообщение: 05.12.2009, 08:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00574 seconds with 16 queries