x30811 bitcoin-miner

Roach13 · 18.09.2011, 21:50

Логи AVZ & HiJackThis
http://rghost.ru/22116331

Появился внезапно из из неоткуда. Прошу помочь.

safety · 18.09.2011, 22:12

сделайте дополнительно образ автозапуска в uVS

обновите утилиту uVS до версии 3.71
http://dsrt.dyndns.org/files/uvs_v371.zip

или отсюда, для тек кто дружит с Avast (или GData)

http://rghost.ru/20995991

Распаковать архив, запустить файл Start.exe
Появится окно программы - нажать "запустить под текущим пользователем".
Далее - Меню Файл - Сохранить Полный образ автозапуска.
Сохраняем файл, добавляем в архив rar или 7z и заливаем на форум.
---------

Roach13 · 19.09.2011, 00:05

дополнительно образ автозапуска в uVS
http://rghost.ru/22139511

safety · 19.09.2011, 07:11

закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

Код:

;uVS v3.71 script [http://dsrt.dyndns.org]

addsgn 9252779A196AC1CC0BC45A4E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Win32/BitCoinMiner [NOD32]

zoo %SystemDrive%\USERS\ROACH13\APPDATA\LOCAL\TEMP\X30811.EXE
addsgn A7679BF0AA021CA34BD4C60948881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625CBB50C49F75C4C32EF4CAE47114DA3BE4AC965B2FC706AB7E 8 DangerousObject

zoo %SystemDrive%\USERS\ROACH13\APPDATA\ROAMING\VZTITD.EXE
delall G:\AUTORUN.EXE
chklst
delvir
deltmp
delnfr
regt 1
regt 2
regt 5
regt 18
czoo
restart

перезагрузка,

новый образ автозапуска в uVS

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту sendvirus2011@gmail.com
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

Roach13 · 19.09.2011, 09:26

новый образ автозапуска в uVS
http://rghost.ru/22165661

Архив из папки uVS отправил на почту.

safety · 19.09.2011, 09:46

это легальные программы?
----------

Цитата:

Полное имя C:\USERS\ROACH13\APPDATA\ROAMING\.MINECRAFT\MINECR AFT.EXE
Имя файла MINECRAFT.EXE
Тек. статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

www.virustotal.com 2011-09-19 [2010-10-22]
- Файл был чист на момент проверки.

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 695296 байт
Создан 23.02.2011 в 21:31:34
Изменен 23.02.2011 в 21:31:34
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя MinecraftSP.exe
Версия файла 12.1.2.0
Версия продукта 12.1.2.0
Описание Free launcher for Minecraft Alpha
Производитель AnjoCaido

и

Цитата:

Полное имя G:\AUTORUN.EXE
Имя файла AUTORUN.EXE
Тек. статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 120128 байт
Создан 24.01.2005 в 16:37:24
Изменен 24.01.2005 в 16:37:24
Атрибуты СКРЫТЫЙ R/O
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Версия файла 2.1
Описание Autorun
Производитель Steinberg Media Technologies GmbH

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла "Скрытый" или "Системный" [типично для вирусов]

Доп. информация на момент обновления списка
SHA1 E5631EACAC71DBA0618C7498BBC7BCA4848569C1
MD5 D0A50F16A668E49644039616F8434E01

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-1980099763-1598117056-48227735-1000\Software\Microsoft\Windows\CurrentVersion\Exp lorer\MountPoints2\G\Shell\AutoRun\Command\
NULL G:\Autorun.exe

Если, да, тогда все чисто.

---------- Добавлено в 11:46 ---------- Предыдущее сообщение было написано в 11:46 ----------

----------
скачайте программу malwarebytes (free version)
http://www.malwarebytes.org/mbam.php

установить (только сканер!), обновить базы, выполнить быстрое сканирование,
после завершения сканирования,
текстовый лог (в виде файла) добавить в ваше сообщение на форум.

Roach13 · 19.09.2011, 22:26

Полное имя G:\AUTORUN.EXE
Имя файла AUTORUN.EXE
Тек. статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 120128 байт
Создан 24.01.2005 в 16:37:24
Изменен 24.01.2005 в 16:37:24
Атрибуты СКРЫТЫЙ R/O
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Версия файла 2.1
Описание Autorun
Производитель Steinberg Media Technologies GmbH

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла "Скрытый" или "Системный" [типично для вирусов]

Доп. информация на момент обновления списка
SHA1 E5631EACAC71DBA0618C7498BBC7BCA4848569C1
MD5 D0A50F16A668E49644039616F8434E01

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-1980099763-1598117056-48227735-1000\Software\Microsoft\Windows\CurrentVersion\Exp lorer\MountPoints2\G\Shell\AutoRun\Command\
NULL G:\Autorun.exe

Это образ с daemon tools, и майнкрафт тоже ок. спасибо. стоит ли скачивать и устонавливать malwarebytes ?

safety · 19.09.2011, 22:30

дополнительная проверка не помешает, быстрое сканирование выполняется быстро, после завершения проверки МБАМ можно будет деинсталлировать.

Ozzy · 19.09.2011, 22:50

Добрый день!
Компьютер тормозит по-страшному. ДокторВеб нашел этот bitcoinminer.
Прошу вашей помощи!

лог из uVS:
http://zalil.ru/31726022

maksimog · 19.09.2011, 22:59

Ozzy создайте новую тему, выложите лог и Вам помогут.

Спасибо.

Roach13 · 20.09.2011, 00:57

http://zalil.ru/31727017
вот, прошу. странно то, что он мне rghost блочит..

Vvvyg · 20.09.2011, 01:48

Roach13, удалите всё найденное в MBAM.

Roach13 · 20.09.2011, 02:13

сделал сразу, после произошла перезагрузка. вроде теперь все хорошо. спасибо Вам большое.
однако остался один вопрос. суть в том, что первый раз за год сталкиваюсь с такой проблемой как "вирус". так как не особо уважаю антивирусы.. я студент второго курса кафедры "информационные системы и технологии" и понимаю куда мужно, а куда не следует или вовсе не стоит заходить (сайты). но теперь как то сново подумал об антивирусе. и хотел бы спросить у Вас. какой антивирус выбрать? бывал на мастер классах Касперского, который заверял нас в его супер непробиваемости и тд. но все же он жрет много памяти, чего не хотелось бы..

safety · 20.09.2011, 07:02

на мой взгляд (если еще нет предпочтений), стоит поработать с разными антивирусами (Kaspersky, DrWeb, ESET NOD32, Avira, Avast и др.), чтобы у вас сложились предпочтения по качеству защищенности, оперативности, продуманности интерфейса и функционалу. Без лишних истерик, что этот тормоз, а этот дырявый или наоборот с суперзащитой (обычные уловки маркетологов).

Vvvyg · 20.09.2011, 08:50

Цитата:

Сообщение от Roach13

ывал на мастер классах Касперского, который заверял нас в его супер непробиваемости

Здесть можно встретить достаточно клиентов этого "непробиваемого" антивируса

Кроме того, на мой взгляд, антивирус - даже не первый рубеж обороны, первый и главный - сам пользователь.

18.09.2011, 21:50	#1
Roach13 Новичок Регистрация: 18.09.2011 Сообщений: 34 Репутация: 0	x30811 bitcoin-miner Логи AVZ & HiJackThis http://rghost.ru/22116331 Появился внезапно из из неоткуда. Прошу помочь.

19.09.2011, 07:11	#4
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	закрыть браузеры перед выполнением скрипта выполнить скрипт в uVS меню - скрипты - выполнить скрипт из буфера обмена Код: ;uVS v3.71 script [http://dsrt.dyndns.org] addsgn 9252779A196AC1CC0BC45A4E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Win32/BitCoinMiner [NOD32] zoo %SystemDrive%\USERS\ROACH13\APPDATA\LOCAL\TEMP\X30811.EXE addsgn A7679BF0AA021CA34BD4C60948881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625CBB50C49F75C4C32EF4CAE47114DA3BE4AC965B2FC706AB7E 8 DangerousObject zoo %SystemDrive%\USERS\ROACH13\APPDATA\ROAMING\VZTITD.EXE delall G:\AUTORUN.EXE chklst delvir deltmp delnfr regt 1 regt 2 regt 5 regt 18 czoo restart перезагрузка, новый образ автозапуска в uVS архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z) отправить в почту sendvirus2011@gmail.com если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

20.09.2011, 07:02	#14
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	на мой взгляд (если еще нет предпочтений), стоит поработать с разными антивирусами (Kaspersky, DrWeb, ESET NOD32, Avira, Avast и др.), чтобы у вас сложились предпочтения по качеству защищенности, оперативности, продуманности интерфейса и функционалу. Без лишних истерик, что этот тормоз, а этот дырявый или наоборот с суперзащитой (обычные уловки маркетологов). Последний раз редактировалось safety; 20.09.2011 в 07:18.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
bitcoin-miner	mol4anov	Безопасность	12	26.09.2011 15:18
bitcoin miner	ZitZ	Безопасность	6	16.09.2011 14:09
svchost.exe bitcoin miner грузит 100% CPU	EvilBobul	Безопасность	4	06.09.2011 19:10
bitcoin miner	stepich	Безопасность	11	01.09.2011 19:09
Помогите убить вирус bitcoin miner	Tirus	Безопасность	1	21.08.2011 14:08
Пробьлема с Bitcoin Miner	THMproj	Безопасность	2	04.08.2011 14:33
bitcoin-miner грузит проц на 100%	max7453	Безопасность	1	31.07.2011 09:53
Проблема: Bitcoin miner!	AIV	Безопасность	19	15.07.2011 01:47
Процесс bitcoin-miner и кое-что еще...	atomikismos	Безопасность	0	04.07.2011 19:03
Bitcoin miner грузит процессор!!!	Kiro	Безопасность	27	03.07.2011 02:05
Bitcoin miner грузит процессор	noodle	Безопасность	4	01.07.2011 18:40
грузящий bitcoin miner	Arsenii	Безопасность	6	29.06.2011 23:11

18.09.2011, 22:12	#2
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	сделайте дополнительно образ автозапуска в uVS обновите утилиту uVS до версии 3.71 http://dsrt.dyndns.org/files/uvs_v371.zip или отсюда, для тек кто дружит с Avast (или GData) http://rghost.ru/20995991 Распаковать архив, запустить файл Start.exe Появится окно программы - нажать "запустить под текущим пользователем". Далее - Меню Файл - Сохранить Полный образ автозапуска. Сохраняем файл, добавляем в архив rar или 7z и заливаем на форум. ---------

19.09.2011, 00:05	#3
Roach13 Новичок Регистрация: 18.09.2011 Сообщений: 34 Репутация: 0	дополнительно образ автозапуска в uVS http://rghost.ru/22139511

19.09.2011, 09:26	#5
Roach13 Новичок Регистрация: 18.09.2011 Сообщений: 34 Репутация: 0	новый образ автозапуска в uVS http://rghost.ru/22165661 Архив из папки uVS отправил на почту.

19.09.2011, 22:26	#7
Roach13 Новичок Регистрация: 18.09.2011 Сообщений: 34 Репутация: 0	Полное имя G:\AUTORUN.EXE Имя файла AUTORUN.EXE Тек. статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Размер 120128 байт Создан 24.01.2005 в 16:37:24 Изменен 24.01.2005 в 16:37:24 Атрибуты СКРЫТЫЙ R/O Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Версия файла 2.1 Описание Autorun Производитель Steinberg Media Technologies GmbH Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Атрибут файла "Скрытый" или "Системный" [типично для вирусов] Доп. информация на момент обновления списка SHA1 E5631EACAC71DBA0618C7498BBC7BCA4848569C1 MD5 D0A50F16A668E49644039616F8434E01 Ссылки на объект Ссылка HKEY_USERS\S-1-5-21-1980099763-1598117056-48227735-1000\Software\Microsoft\Windows\CurrentVersion\Exp lorer\MountPoints2\G\Shell\AutoRun\Command\ NULL G:\Autorun.exe Это образ с daemon tools, и майнкрафт тоже ок. спасибо. стоит ли скачивать и устонавливать malwarebytes ?

19.09.2011, 22:30	#8
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	дополнительная проверка не помешает, быстрое сканирование выполняется быстро, после завершения проверки МБАМ можно будет деинсталлировать.

19.09.2011, 22:50	#9
Ozzy Новичок Регистрация: 19.09.2011 Сообщений: 7 Репутация: 0	Добрый день! Компьютер тормозит по-страшному. ДокторВеб нашел этот bitcoinminer. Прошу вашей помощи! лог из uVS: http://zalil.ru/31726022

19.09.2011, 22:59	#10
maksimog Мастер Регистрация: 08.07.2011 Сообщений: 6,292 Репутация: 631	Ozzy создайте новую тему, выложите лог и Вам помогут. Спасибо.

20.09.2011, 00:57	#11
Roach13 Новичок Регистрация: 18.09.2011 Сообщений: 34 Репутация: 0	http://zalil.ru/31727017 вот, прошу. странно то, что он мне rghost блочит..

20.09.2011, 01:48	#12
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Roach13, удалите всё найденное в MBAM.

20.09.2011, 02:13	#13
Roach13 Новичок Регистрация: 18.09.2011 Сообщений: 34 Репутация: 0	сделал сразу, после произошла перезагрузка. вроде теперь все хорошо. спасибо Вам большое. однако остался один вопрос. суть в том, что первый раз за год сталкиваюсь с такой проблемой как "вирус". так как не особо уважаю антивирусы.. я студент второго курса кафедры "информационные системы и технологии" и понимаю куда мужно, а куда не следует или вовсе не стоит заходить (сайты). но теперь как то сново подумал об антивирусе. и хотел бы спросить у Вас. какой антивирус выбрать? бывал на мастер классах Касперского, который заверял нас в его супер непробиваемости и тд. но все же он жрет много памяти, чего не хотелось бы..

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)