Перейти к содержанию

Подхватил tool.btcmine.569


Рекомендуемые сообщения

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Users\ПК\AppData\Roaming\Temp\updateHost\updatehost.exe');
 QuarantineFileF('C:\ProgramData\GameConfig\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Users\ПК\AppData\Roaming\Temp\updateHost\updatehost.exe', '');
 QuarantineFile('C:\Users\Public\Desktop\Opera.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk', '');
 DeleteFile('C:\Users\ПК\AppData\Roaming\Temp\updateHost\updatehost.exe', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Удалите Ace Stream Media 3.1.2 и расширение Ace Stream Web Extension.

 

hola - уже удалили? Тогда "пофиксите" в HijackThis:

O15 - Trusted Zone: http://*.hola.org

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь

http://virusinfo.info/virusdetector/report.php?md5=B4A1ECAAF882A01C7EE1C762EFF33AC8

Удалите Ace Stream Media 3.1.2 и расширение Ace Stream Web Extension.

Сделано

hola - уже удалили? Тогда "пофиксите" в HijackThis:

Сделано

 

 

Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 

ClearLNK-29.08.2017_23-21.log

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger

 

CollectionLog-2017.08.29-23.25.zip

Ссылка на комментарий
Поделиться на другие сайты

c:\program files\wpposter\

Эта прога вам знакома?

quarantine.zip ещё продублируйте на почту 6fe17320c989.jpg, укажите в письме ссылку на тему, в которой просили прислать файлы.

Ссылка на комментарий
Поделиться на другие сайты

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

KLAN-6728615374

quarantine.zip ещё продублируйте на почту , укажите в письме ссылку на тему, в которой просили прислать файлы.

Сделано

Эта прога вам знакома?

Да, использую. 

Ссылка на комментарий
Поделиться на другие сайты

Сделано

Ничего не получил, дайте тогда просто закачайте архив на любой файлообменник, не требующий ввода капчи (например:  Zippyshare, My-Files.RU, File.Karelia) ссылку на скачивание пришлите мне в ЛС.

 

C:\ProgramData\GameConfig\Gameconfig.exe

А эта прога знакома? https://virustotal.com/ru/file/63d1f21d17760420b22010767c205369d4b3e7d8e7cb9b5f5ef25961e546698d/analysis/

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Users\Default\AppData\Roaming\Temp\updateHost\updatehost.exe');
 QuarantineFile('C:\Users\Default\AppData\Roaming\Temp\updateHost\updatehost.exe', '');
 QuarantineFileF('C:\ProgramData\GameConfig\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\Default\AppData\Roaming\Temp\updateHost\updatehost.exe', '32');
 DeleteFileMask('C:\ProgramData\GameConfig\', '*', true);
 DeleteDirectory('C:\ProgramData\GameConfig\');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
 

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

Ссылка на комментарий
Поделиться на другие сайты

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Re: quarantine.zip [KLAN-6730761687]

 

The files have been scanned in automatic mode.

 

No information about the specified files can be found in the antivirus databases:

updatehost.exe

Gameconfig.exe

 

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

 

This is an automatically generated message. Please do not reply to it.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger

 

 

CollectionLog-2017.08.30-11.38.zip

Ссылка на комментарий
Поделиться на другие сайты

В завершение:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • w0r9en
      Автор w0r9en
      Добрый день! Нашел и обезвредил с помощь cureit, потом сделал лог CollectionLog-2025.07.13-15.39.zip
    • Turpal
      Автор Turpal
      Доброго времени суток.
      Проблема с найденным майнером tool.btcmine.2812. При удалении/обезвреживании файла (winaijservice.exe в одноименной папке), в котором он находится, он создается снова после перезагрузки компьютера. Прикладываю архив с логами сканирования от автологгера.
      CollectionLog-2025.06.26-15.13.zip
    • Waldo
      Автор Waldo
      Добрый день!
      Резко возросла нагрузка на ГПУ до 100%, в диспетчере задач обнаружил WinServiceNetworking, который и выдает всю эту нагрузку.
      При снятии задачи автоматически появляется снова несколько минут спустя.
      "Открыть расположение файла" привело в папку "C:\ProgramData\WinAIHServiceProgram Data"
      В ней 4 файла:
      OpenCL.dll
      WinNetService.dat
      WinAIHService
      WinServiceNetworking
       
      В двух последних CureIT обнаружил трояна и майнера (tool.btcmine.2794) соответственно.
       
      Лог от Autologger во вложении.
       
      CollectionLog-2025.06.26-19.28.zip
    • Jemimma
      Автор Jemimma
      Доброго дня!
      Сложно сказать, когда система заразилась, но после внезапного отключения интернета (исключительно в браузерах) решила проверить систему через CureIt.
      После "лечения" и "удаления", и следующей перезагрузки трояны все равно на своих местах.
      Логи прикладываю и заранее спасибо за помощь!
      CollectionLog-2025.07.13-23.24.zip
    • Karasik3412
      Автор Karasik3412
      Удаляю с помощью dr web cureit, но после перезаугрзки снова появляется
      AYLI_2025-06-27_02-19-11_v5.0.RC2.v x64.7z
×
×
  • Создать...