 |
|
|
24.09.2011, 22:33
|
#1 (ссылка) |
|
Новичок
Регистрация: 24.09.2011
Сообщений: 10
Репутация: 1
|
Aleksiz - bitcoinminer, помогите прибить, плз!
Здравствуйте!
Схватил кучку вирусов, прибить не получается: x30811.exe, mamatije4.exe, подозрение на процесс, маскирующийся под cmd.exe Симптомы - периодические фризы и загрузка ЦП на 100%, постоянные вылеты из ММО. При входе в систему раздаётся несколько щелчков (спикера?). virusinfo_syscure.zip hijackthis.log |
|
|
24.09.2011, 22:41
|
#3 (ссылка) |
|
Эксперт
|
Выполните скрипт в AVZ (Файл - Выполнить скрипт...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\docume~1\skvort~1\locals~1\temp\sebgheanfa');
TerminateProcessByName('c:\docume~1\skvort~1\locals~1\temp\acc\mamatije4.exe');
TerminateProcessByName('c:\documents and settings\skvortsov\application data\6ce7a7fb414e546ce7a7fb.exe');
QuarantineFile('C:\Documents and Settings\Skvortsov\Local Settings\Application Data\jalak-931917015-bali.com','');
QuarantineFile('C:\Program Files\RadioBar\toolbar.ni.dll','');
QuarantineFile('C:\Program Files\Common Files\msdao23.tlc','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\8D11B4E0414E548D11B4E0.exe','');
QuarantineFile('C:\Documents and Settings\Skvortsov\Application Data\Bbucud.exe','');
QuarantineFile('C:\Documents and Settings\Skvortsov\Application Data\Baucud.exe','');
QuarantineFile('C:\Documents and Settings\Skvortsov\Application Data\722E9748414E54722E9748.exe','');
QuarantineFile('c:\docume~1\skvort~1\locals~1\temp\sebgheanfa','');
QuarantineFile('c:\docume~1\skvort~1\locals~1\temp\acc\mamatije4.exe','');
QuarantineFile('c:\documents and settings\skvortsov\application data\6ce7a7fb414e546ce7a7fb.exe','');
DeleteFile('c:\docume~1\skvort~1\locals~1\temp\acc\mamatije4.exe');
DeleteFile('c:\docume~1\skvort~1\locals~1\temp\sebgheanfa');
DeleteFile('C:\Documents and Settings\Skvortsov\Application Data\6CE7A7FB414E546CE7A7FB.exe');
DeleteFile('C:\Documents and Settings\Skvortsov\Application Data\722E9748414E54722E9748.exe');
DeleteFile('C:\Documents and Settings\Skvortsov\Application Data\Baucud.exe');
DeleteFile('C:\Documents and Settings\Skvortsov\Application Data\Bbucud.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\8D11B4E0414E548D11B4E0.exe');
DeleteFile('C:\Program Files\Common Files\msdao23.tlc');
DeleteFile('C:\Program Files\RadioBar\toolbar.ni.dll');
DeleteFile('C:\Documents and Settings\Skvortsov\Local Settings\Application Data\jalak-931917015-bali.com');
DeleteFile('C:\WINDOWS\tasks\At1.job');
DeleteFile('C:\WINDOWS\tasks\At2.job');
DeleteFileMask('C:\WINDOWS\tasks\', '*.*', true);
DeleteFileMask('C:\Program Files\RadioBar\', '*.*', true);
DeleteDirectory('C:\Program Files\RadioBar');
DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TaskUpdate v1.1');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','6CE7A7FB414E546CE7A7FB');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6CE7A7FB414E546CE7A7FB');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','722E9748414E54722E9748');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','722E9748414E54722E9748');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Baucud');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Bbucud');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','8D11B4E0414E548D11B4E0');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
|
|
|
|
24.09.2011, 22:48
|
#4 (ссылка) |
|
Новичок
Регистрация: 29.12.2010
Сообщений: 617
Репутация: 37
|
+
Пофиксите в HiJackThis: Код:
R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [8D11B4E0414E548D11B4E0] C:\Documents and Settings\Администратор\Application Data\8D11B4E0414E548D11B4E0.exe
O4 - HKCU\..\Run: [Bbucud] C:\Documents and Settings\Skvortsov\Application Data\Bbucud.exe
O4 - HKCU\..\Run: [Baucud] C:\Documents and Settings\Skvortsov\Application Data\Baucud.exe
- Internet Explorer 8 (даже если им и не пользуетесь!); - Java; - Adobe Reader X. |
|
|
|
24.09.2011, 23:54
|
#5 (ссылка) |
|
Новичок
Регистрация: 24.09.2011
Сообщений: 10
Репутация: 1
|
После выполнения скрипта AVZ, в ХайДжеке уже не было строк:
O4 - HKLM\..\Run: [8D11B4E0414E548D11B4E0] C:\Documents and Settings\Администратор\Application Data\8D11B4E0414E548D11B4E0.exe O4 - HKCU\..\Run: [Bbucud] C:\Documents and Settings\Skvortsov\Application Data\Bbucud.exe O4 - HKCU\..\Run: [Baucud] C:\Documents and Settings\Skvortsov\Application Data\Baucud.exe Рекомендуемый софт установил. mbam-log-2011-09-24 (22-52-13).txt PS: Ребята, ОГРОМНОЕ вам спасибо! Вы супер, вы лучшие  Такого оперативного и квалифицированного сервиса я не встречал даже в платных саппортах!
|
|
|
|
25.09.2011, 10:12
|
#6 (ссылка) |
|
Эксперт
|
Aleksiz, Удалите в MBAM все, кроме
Код:
d:\the art of war-korea\TRiViUM\Korea_KG.exe (RiskWare.Tool.CK) -> No action taken. и сделайте вот так http://pchelpforum.ru/b27521/e457/
|
|
|
| Ads | |
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| bitcoinminer (x30811) | dimoon | Безопасность | 11 | 25.09.2011 16:38 |
| Проблема с созданием логов AVZ и Bitcoinminer-ом | 24Russel | Безопасность | 13 | 21.09.2011 19:32 |
| bitcoinminer (x30811) | Ozzy | Безопасность | 10 | 21.09.2011 01:04 |
