Подхватил tool.btcmine.569

[fanta]

Здравствуйте. Поймал tool.btcmine.569 при этом присутствует процесс sync_f.exe, грузящий процессор.

CollectionLog-2017.08.29-10.25.zip

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Users\ПК\AppData\Roaming\Temp\updateHost\updatehost.exe');
 QuarantineFileF('C:\ProgramData\GameConfig\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Users\ПК\AppData\Roaming\Temp\updateHost\updatehost.exe', '');
 QuarantineFile('C:\Users\Public\Desktop\Opera.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk', '');
 DeleteFile('C:\Users\ПК\AppData\Roaming\Temp\updateHost\updatehost.exe', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Удалите Ace Stream Media 3.1.2 и расширение Ace Stream Web Extension.

 

hola - уже удалили? Тогда "пофиксите" в HijackThis:

O15 - Trusted Zone: http://*.hola.org

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

Изменено 29 августа, 2017 пользователем regist

[fanta]

Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь

http://virusinfo.info/virusdetector/report.php?md5=B4A1ECAAF882A01C7EE1C762EFF33AC8

Удалите Ace Stream Media 3.1.2 и расширение Ace Stream Web Extension.

Сделано

hola - уже удалили? Тогда "пофиксите" в HijackThis:

Сделано

 

 

Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 

ClearLNK-29.08.2017_23-21.log

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger

 

CollectionLog-2017.08.29-23.25.zip

[regist]

c:\program files\wpposter\

Эта прога вам знакома?

quarantine.zip ещё продублируйте на почту , укажите в письме ссылку на тему, в которой просили прислать файлы.

[fanta]

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

KLAN-6728615374

quarantine.zip ещё продублируйте на почту , укажите в письме ссылку на тему, в которой просили прислать файлы.

Сделано

Эта прога вам знакома?

Да, использую. 

[regist]

Сделано

Ничего не получил, дайте тогда просто закачайте архив на любой файлообменник, не требующий ввода капчи (например:  Zippyshare, My-Files.RU, File.Karelia) ссылку на скачивание пришлите мне в ЛС.

 

C:\ProgramData\GameConfig\Gameconfig.exe

А эта прога знакома? https://virustotal.com/ru/file/63d1f21d17760420b22010767c205369d4b3e7d8e7cb9b5f5ef25961e546698d/analysis/

Изменено 30 августа, 2017 пользователем regist

[fanta]

regist

Происхождение Gameconfig.exe мне неизвестно.

 

Check_Browsers_LNK.log


 

Изменено 30 августа, 2017 пользователем fanta

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Users\Default\AppData\Roaming\Temp\updateHost\updatehost.exe');
 QuarantineFile('C:\Users\Default\AppData\Roaming\Temp\updateHost\updatehost.exe', '');
 QuarantineFileF('C:\ProgramData\GameConfig\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\Default\AppData\Roaming\Temp\updateHost\updatehost.exe', '32');
 DeleteFileMask('C:\ProgramData\GameConfig\', '*', true);
 DeleteDirectory('C:\ProgramData\GameConfig\');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
 

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

[fanta]

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Re: quarantine.zip [KLAN-6730761687]

 

The files have been scanned in automatic mode.

 

No information about the specified files can be found in the antivirus databases:

updatehost.exe

Gameconfig.exe

 

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

 

This is an automatically generated message. Please do not reply to it.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger

 

 

CollectionLog-2017.08.30-11.38.zip

[regist]

Что с проблемой?
 

[fanta]

regist

tool.btcmine.569 больше не обнаруживается, лишних процессов нет. Судя по всему проблема решена, спасибо.

[Sandor]

В завершение:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО