Сервер 2007 не удаляется MinerGate.exe

[Sandor]

Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog.

[KZMZ]

прилагаю новый лог

кстати майнергейт после 5 го удаления ручным методом больше не устанавливался само

исчез

CollectionLog-2018.03.21-09.51.zip

[Sandor]

В завершение:

1. Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

2. Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

Рекомендации после удаления вредоносного ПО

[KZMZ]

В завершение:

1. Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

2. Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

Рекомендации после удаления вредоносного ПО

 

братан а этот MinerGate опять вышел установился мне заново просканировать да

пока его не удалил ручной

заново сделал этот вирус опять установился пока что не удалял спецом

Файл успешно загружен

MD5 карантина: EBD0DCAF41BC7E57BF589A10D4F8DF06

Размер файла: 10398614 байт

Ссылка на результаты анализа:Результаты анализа карантина

Тема для обсуждения результатов анализа: Результаты анализа карантина

Результаты анализа будут доступны через 20-30 минут. Если Вы указали свой email при загрузке, то по указанному адресу при завершении анализа будет выслано информационное сообщение.

тоже создал тему и на сайте https://virusinfo.info/showthread.php?t=218218&p=1478006#post1478006

CollectionLog-2018.03.22-20.51.zip

[KZMZ]

из уязвимости нашелся только отключенный UAC его включил но все равно этот гад майнер гейт выходит каждый раз после удаления

[Sandor]

тоже создал тему и на сайте https://virusinfo.in...006#post1478006

Тогда определитесь, где будете продолжать? Лечить следует только в одном месте.

в блокноте откроется файл avz_log.txt

Этот файл покажите, пожалуйста.

[KZMZ]

тут лечит буду

прилагаю лог

avz_log.txt

[Sandor]

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

[KZMZ]

заново сделал логи

CollectionLog-2018.03.23-12.41.zip

[Sandor]

@KZMZ, внимательно перечитайте мое предыдущее сообщение и сделайте то, что там описано.

[KZMZ]

сделал прилагаю лог

(uVS)

AutorunsVTchecker. просканировал и никакого лога не выдал

вот как оно выглядит в установках и удалений программ

NOR5-DC_2018-03-23_12-47-36.7z

[Sandor]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.0.10 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.0
  v400c
  BREG
  exec C:\Program Files\MinerGate\Uninstall.exe
  zoo %SystemDrive%\PROGRAM FILES\MINERGATE\MINERGATE.EXE
  bl 1C3D264EA8552BD24EC2EC9282B4D9EA 18762240
  addsgn 1A647B9A55834C720BD4C4A50C38D1852562EAFF89FA2C8E0CB6213525368E5913368C5731E245C05E7CE03E5E1649FAF68FECF9AB646C1CAE772FE5F4C6D27C 8 Win32.BitCoinMiner.ieqe [Kaspersky] 7
  
  zoo %SystemDrive%\USERS\NOR5.ADMIN\APPDATA\LOCAL\TEMP\1\~NSU.TMP\AU_.EXE
  bl CCFB52C6FF4710997BC70300D5337679 455855
  addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D49C108506CA82 8 Win32.BitCoinMiner.ieqe [Kaspersky] 7
  
  zoo %SystemDrive%\USERS\NET.ASP\DESKTOP\MINERGATE-5.19-WIN32.EXE
  bl 2E0277B3CFF3C3AE21DA5A504C4EDA69 10759798
  zoo %SystemDrive%\PROGRAM FILES\MINERGATE\UNINSTALL.EXE
  chklst
  delvir
  
  czoo
  
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер следует перезагрузить вручную.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

  Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

• Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.

 

 

Соберите и прикрепите свежий лог uVS (также, как в сообщении №26

[KZMZ]

прилагаю новый лог UvS

 

Это письмо создано автоматически сервером Mail.Ru, отвечать на него не нужно.

К сожалению, Ваше письмо не может быть доставлено одному или нескольким получателям:

  quarantine@safezone.cc
    SMTP error from remote mail server after end of data:
    host aspmx.l.google.com [64.233.162.26]: 552-5.7.0 This message was blocked because its content presents a potential
    552-5.7.0 security issue. Please visit
    552-5.7.0 https://support.google.com/mail/?p=BlockedMessage to review our
    552 5.7.0 message content and attachment content guidelines. v25si2870094lja.18 - gsmtp

Рекомендуем Вам проверить корректность указания адресов получателей.

й мыши скопируйте следующий скрипт в буфер обмена:
 

 

почта quarantine@safezone.cc не рабочяя или надо отправлять только с гугл почты?

архив не пропускает обнаруженов вирус пишет что гугл что майл ру

которая хочу отправить на quarantine@safezone.cc

NOR5-DC_2018-03-23_14-54-06.7z

Изменено 23 марта, 2018 пользователем KZMZ

[Sandor]

Не цитируйте, пожалуйста, полностью предыдущее сообщение. Используйте форму быстрого ответа внизу.

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.0.10 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.0
  v400c
  BREG
  ;---------command-block---------
  delref %SystemDrive%\PROGRAM FILES\MINERGATE\MINERGATE.EXE
  apply
  
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.

Подробнее читайте в этом руководстве.

 

Сообщите что сейчас с проблемой.

[KZMZ]

скрипт выполнил minergate.exe удалился но точный ответ напишу позже

он иногда появлялся через день или через 3-4 часа

пока все норм