Показано с 1 по 15 из 15.

Вирус Steam [not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen] (заявка № 225617)

  1. #1
    Junior Member Репутация
    Регистрация
    13.09.2020
    Сообщений
    6
    Вес репутации
    13

    Вирус Steam [not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen]

    Здравствуйте!
    Неделю пытаюсь удалить вирус с пк (где подхватил не знаю)

    как работает вирус: при запуске Steam в диспетчере появляется "обработчик команд Windows" (cmd) и стим может сразу или через некоторое время закрыться. Помимо этого вирус подменяет файлы steam.exe и steamupdate.exe + создает папки в c:/programdata/Network и c:/programdata/Steam

    пробывал стандартный защитник windows, dr.web, Kaspersky Virus Removal Tool, Malwarebytes и еще несколько. Они находят его но при лечении или удалении после перезапуска пк вирус возвращается, в авто запуске ничего подозрительного не нашел (как в реестре так и в обычном диспетчере)


    Прикрепить файлы не могу (не загружаются как написано в инструкции), поэтому использовал яндекс.диск
    https://yadi.sk/d/FHGJCRTSjKpgpg

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,285
    Вес репутации
    377
    Уважаемый(ая) FJlashe, спасибо за обращение на наш форум!

    Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,454
    Вес репутации
    1057
    Деинсталлируйте Malwarebytes.

    Выполните скрипт в AVZ из папки Autologger:
    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     TerminateProcessByName('c:\programdata\network\steam.exe');
     TerminateProcessByName('c:\programdata\network\steamsync.exe');
     QuarantineFile('C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe', '');
     QuarantineFile('c:\programdata\network\steam.exe', '');
     QuarantineFile('c:\programdata\network\steamsync.exe', '');
     QuarantineFileF('c:\program files\malwarebytes', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
     QuarantineFileF('c:\programdata\network', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
     DeleteFile('C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe', '64');
     DeleteFile('c:\programdata\network\steam.exe', '');
     DeleteFile('c:\programdata\network\steamsync.exe', '');
     DeleteService('MBAMService');
     DeleteFileMask('c:\program files\malwarebytes', '*', true);
     DeleteDirectory('c:\program files\malwarebytes');
     DeleteSchedulerTask('OneDrive Standalone Update Task-S-1-5-21-2526903601-1676998607-2379031470-1001');
     DeleteSchedulerTask('Opera GX scheduled Autoupdate 1580489860');
     DeleteSchedulerTask('RainwayService');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    13.09.2020
    Сообщений
    6
    Вес репутации
    13
    FRST - FRST64
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,454
    Вес репутации
    1057
    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    Start::
    CreateRestorePoint:
    2020-09-14 13:21 - 2020-09-14 13:34 - 000000000 ____D C:\ProgramData\Network
    2020-09-13 11:25 - 2020-09-13 11:25 - 000000000 ____D C:\ProgramData\Task
    AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [134]
    AlternateDataStreams: C:\Users\FJlashe\AppData\Local\Temp:$DATA​ [16]
    FirewallRules: [{32F52F6D-E8C7-45A1-BF2E-F56B2F80E81B}] => (Allow) C:\steam\bin\cef\cef.win7x64\steamwebhelper.exe => No File
    FirewallRules: [{FAE45684-3957-4D94-AE4D-420508CEA19E}] => (Allow) C:\steam\bin\cef\cef.win7x64\steamwebhelper.exe => No File
    FirewallRules: [{6E504F9E-CA42-409A-9605-4ED265A7E8C5}] => (Allow) C:\Users\FJlashe\AppData\Roaming\uTorrent Web\utweb.exe => No File
    FirewallRules: [{05594602-86B4-420C-8784-2D16C61BF0DF}] => (Allow) C:\Users\FJlashe\AppData\Roaming\uTorrent Web\utweb.exe => No File
    FirewallRules: [{A55AF33C-8AF1-4499-96A5-6612E0FC5B43}] => (Allow) C:\steam\steamapps\common\Dying Light\DevTools\DyingLightPlayer.exe => No File
    FirewallRules: [{C9BD0508-B234-4FBE-92C6-C75BE831EC8B}] => (Allow) C:\steam\steamapps\common\Dying Light\DevTools\DyingLightPlayer.exe => No File
    FirewallRules: [{891C4302-B7EE-42B6-93F9-F048F2F51A98}] => (Allow) C:\steam\steamapps\common\Death Stranding\ds.exe => No File
    FirewallRules: [{4E233B15-B516-49A3-960F-3E426CB98E7C}] => (Allow) C:\steam\steamapps\common\Death Stranding\ds.exe => No File
    FirewallRules: [{CBC15CFF-14A9-4F07-8448-149ABFD37D50}] => (Allow) C:\steam\steamapps\common\Marc Ecko's Getting Up 2\_Bin\launcher.exe => No File
    FirewallRules: [{433FBD92-FA5D-4A42-9973-46BFE204812A}] => (Allow) C:\steam\steamapps\common\Marc Ecko's Getting Up 2\_Bin\launcher.exe => No File
    FirewallRules: [{FCF99B5F-6829-4236-8BD2-E6AD8AE77C2B}] => (Allow) C:\steam\steamapps\common\Warframe\Tools\Launcher.exe => No File
    FirewallRules: [{C96FC491-DF75-423F-9AAD-BAEA11D0F23E}] => (Allow) C:\steam\steamapps\common\Warframe\Tools\Launcher.exe => No File
    FirewallRules: [{F21CAE4D-2BFE-4AA2-BA68-10DBD260DADF}] => (Allow) C:\Games\Don't Starve Together\bin\dontstarve_steam.exe => No File
    FirewallRules: [{E7D488C4-817D-4197-8A47-CC18688A9772}] => (Allow) C:\Games\Don't Starve Together\bin\dontstarve_steam.exe => No File
    FirewallRules: [{2B013124-BDF8-4F95-9D17-129C6E757D55}] => (Allow) C:\steam\steamapps\common\Euro Truck Simulator 2\bin\win_x64\eurotrucks2.exe => No File
    FirewallRules: [{B3984499-190F-430A-BA3D-58DE00D337B5}] => (Allow) C:\steam\steamapps\common\Euro Truck Simulator 2\bin\win_x64\eurotrucks2.exe => No File
    FirewallRules: [{B688F67A-E9DA-496B-BF0C-691C7A995795}] => (Allow) C:\steam\steamapps\common\Euro Truck Simulator 2\bin\win_x86\eurotrucks2.exe => No File
    FirewallRules: [{9DAFDDC6-C649-4574-B7F7-1C48B7A81592}] => (Allow) C:\steam\steamapps\common\Euro Truck Simulator 2\bin\win_x86\eurotrucks2.exe => No File
    FirewallRules: [{087A1CF7-163C-4C7C-9684-73353194CCCF}] => (Allow) C:\Новая папка\Steam.exe => No File
    FirewallRules: [{E1371BB5-AA30-4904-BE4D-4AFD213EE9F0}] => (Allow) C:\Новая папка\Steam.exe => No File
    FirewallRules: [{77A6F6FE-AB48-4976-BA45-A27086FB21D7}] => (Allow) C:\Program Files\Rainway\Rainway.Common.dll => No File
    Reboot:
    End::
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Сообщите, что с проблемой.

    - - - - -Добавлено - - - - -

    Да, имейте ввиду, с HDD нелады:
    Error: (09/13/2020 09:11:09 PM) (Source: disk) (EventID: 7) (User: )
    Description: Неверный блок на устройстве \Device\Harddisk1\DR1.

    Error: (09/13/2020 09:10:30 PM) (Source: disk) (EventID: 154) (User: )
    Description: Сбой операции ввода-вывода по адресу логического блока 0x0 для диска 1 (имя PDO: \Device\0000003b) из-за ошибки оборудования.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    13.09.2020
    Сообщений
    6
    Вес репутации
    13
    hdd сыпется знаю, пока другого нет

    - - - - -Добавлено - - - - -

    лог
    Вложения Вложения
    Последний раз редактировалось FJlashe; 14.09.2020 в 17:08.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,454
    Вес репутации
    1057
    Проблема решена?
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    13.09.2020
    Сообщений
    6
    Вес репутации
    13
    вроде да, понаблюдаю пару дней (если не трудно скажите где сидел вирус?)
    спасибо за помощь
    Последний раз редактировалось FJlashe; 14.09.2020 в 19:00.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,454
    Вес репутации
    1057
    В c:\programdata\network
    А фальшивый Malwarebytes его восстанавливал, скорее всего.

    Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
    Компьютер перезагрузится.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    13.09.2020
    Сообщений
    6
    Вес репутации
    13
    Malwarebytes качал с офф сайта https://ru.malwarebytes.com/

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,454
    Вес репутации
    1057
    Значит, его подменили в процессе.
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    13.09.2020
    Сообщений
    6
    Вес репутации
    13
    ок. большое спасибо за помощь

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    У автора темы дубль на SZ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. Это понравилось:


  16. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    information

    Уведомление

    Закрыто. ТС решил продолжать лечение на SZ.


  17. Это понравилось:


  18. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    =C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF

    =D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
    =E5=F7=E5=ED=E8=FF:
    • =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
    • =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 2
    • =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
      =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
      1. c:\programdata\network\steamsync.exe - not-a-virus:HEUR:Risk=
        Tool.Win32.BitMiner.gen

  • Уважаемый(ая) FJlashe, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус mvd.ru, сторонняя реклама в Steam.
      От Zuk в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 28.11.2014, 09:12
    2. Ответов: 2
      Последнее сообщение: 25.11.2014, 20:29
    3. Вирус steam.exe
      От egorka2 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 30.10.2014, 10:49
    4. Ответов: 8
      Последнее сообщение: 11.09.2014, 21:16
    5. Avast находит в steam'е вирус
      От Bladegnat в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 02.08.2012, 00:55

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01625 seconds with 17 queries