24.09.2011, 22:33 | #1 (ссылка) |
Новичок
Регистрация: 24.09.2011
Сообщений: 10
Репутация: 1
|
Aleksiz - bitcoinminer, помогите прибить, плз!
Здравствуйте!
Схватил кучку вирусов, прибить не получается: x30811.exe, mamatije4.exe, подозрение на процесс, маскирующийся под cmd.exe Симптомы - периодические фризы и загрузка ЦП на 100%, постоянные вылеты из ММО. При входе в систему раздаётся несколько щелчков (спикера?). virusinfo_syscure.zip hijackthis.log |
24.09.2011, 22:41 | #3 (ссылка) |
Эксперт
|
Выполните скрипт в AVZ (Файл - Выполнить скрипт...):
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\docume~1\skvort~1\locals~1\temp\sebgheanfa'); TerminateProcessByName('c:\docume~1\skvort~1\locals~1\temp\acc\mamatije4.exe'); TerminateProcessByName('c:\documents and settings\skvortsov\application data\6ce7a7fb414e546ce7a7fb.exe'); QuarantineFile('C:\Documents and Settings\Skvortsov\Local Settings\Application Data\jalak-931917015-bali.com',''); QuarantineFile('C:\Program Files\RadioBar\toolbar.ni.dll',''); QuarantineFile('C:\Program Files\Common Files\msdao23.tlc',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\8D11B4E0414E548D11B4E0.exe',''); QuarantineFile('C:\Documents and Settings\Skvortsov\Application Data\Bbucud.exe',''); QuarantineFile('C:\Documents and Settings\Skvortsov\Application Data\Baucud.exe',''); QuarantineFile('C:\Documents and Settings\Skvortsov\Application Data\722E9748414E54722E9748.exe',''); QuarantineFile('c:\docume~1\skvort~1\locals~1\temp\sebgheanfa',''); QuarantineFile('c:\docume~1\skvort~1\locals~1\temp\acc\mamatije4.exe',''); QuarantineFile('c:\documents and settings\skvortsov\application data\6ce7a7fb414e546ce7a7fb.exe',''); DeleteFile('c:\docume~1\skvort~1\locals~1\temp\acc\mamatije4.exe'); DeleteFile('c:\docume~1\skvort~1\locals~1\temp\sebgheanfa'); DeleteFile('C:\Documents and Settings\Skvortsov\Application Data\6CE7A7FB414E546CE7A7FB.exe'); DeleteFile('C:\Documents and Settings\Skvortsov\Application Data\722E9748414E54722E9748.exe'); DeleteFile('C:\Documents and Settings\Skvortsov\Application Data\Baucud.exe'); DeleteFile('C:\Documents and Settings\Skvortsov\Application Data\Bbucud.exe'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\8D11B4E0414E548D11B4E0.exe'); DeleteFile('C:\Program Files\Common Files\msdao23.tlc'); DeleteFile('C:\Program Files\RadioBar\toolbar.ni.dll'); DeleteFile('C:\Documents and Settings\Skvortsov\Local Settings\Application Data\jalak-931917015-bali.com'); DeleteFile('C:\WINDOWS\tasks\At1.job'); DeleteFile('C:\WINDOWS\tasks\At2.job'); DeleteFileMask('C:\WINDOWS\tasks\', '*.*', true); DeleteFileMask('C:\Program Files\RadioBar\', '*.*', true); DeleteDirectory('C:\Program Files\RadioBar'); DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TaskUpdate v1.1'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','6CE7A7FB414E546CE7A7FB'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6CE7A7FB414E546CE7A7FB'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','722E9748414E54722E9748'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','722E9748414E54722E9748'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Baucud'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Bbucud'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','8D11B4E0414E548D11B4E0'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters','ServiceDll'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,3,true); ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end. |
24.09.2011, 22:48 | #4 (ссылка) |
Новичок
Регистрация: 29.12.2010
Сообщений: 617
Репутация: 37
|
+
Пофиксите в HiJackThis: Код:
R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file) R3 - URLSearchHook: (no name) - - (no file) O4 - HKLM\..\Run: [8D11B4E0414E548D11B4E0] C:\Documents and Settings\Администратор\Application Data\8D11B4E0414E548D11B4E0.exe O4 - HKCU\..\Run: [Bbucud] C:\Documents and Settings\Skvortsov\Application Data\Bbucud.exe O4 - HKCU\..\Run: [Baucud] C:\Documents and Settings\Skvortsov\Application Data\Baucud.exe - Internet Explorer 8 (даже если им и не пользуетесь!); - Java; - Adobe Reader X. |
24.09.2011, 23:54 | #5 (ссылка) |
Новичок
Регистрация: 24.09.2011
Сообщений: 10
Репутация: 1
|
После выполнения скрипта AVZ, в ХайДжеке уже не было строк:
O4 - HKLM\..\Run: [8D11B4E0414E548D11B4E0] C:\Documents and Settings\Администратор\Application Data\8D11B4E0414E548D11B4E0.exe O4 - HKCU\..\Run: [Bbucud] C:\Documents and Settings\Skvortsov\Application Data\Bbucud.exe O4 - HKCU\..\Run: [Baucud] C:\Documents and Settings\Skvortsov\Application Data\Baucud.exe Рекомендуемый софт установил. mbam-log-2011-09-24 (22-52-13).txt PS: Ребята, ОГРОМНОЕ вам спасибо! Вы супер, вы лучшие Такого оперативного и квалифицированного сервиса я не встречал даже в платных саппортах! |
25.09.2011, 10:12 | #6 (ссылка) |
Эксперт
|
Aleksiz, Удалите в MBAM все, кроме
Код:
d:\the art of war-korea\TRiViUM\Korea_KG.exe (RiskWare.Tool.CK) -> No action taken. и сделайте вот так http://pchelpforum.ru/b27521/e457/ |
Ads | |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
bitcoinminer (x30811) | dimoon | Безопасность | 11 | 25.09.2011 16:38 |
Проблема с созданием логов AVZ и Bitcoinminer-ом | 24Russel | Безопасность | 13 | 21.09.2011 19:32 |
bitcoinminer (x30811) | Ozzy | Безопасность | 10 | 21.09.2011 01:04 |