Перейти к содержимому


Фото
- - - - -

minerd.exe

вирус

  • Please log in to reply
44 ответов в этой теме

#21 mike 1

mike 1

    Advanced Member

  • Posters
  • 815 Сообщений:

Отправлено 28 Март 2014 - 18:24

RomaNNN, вообще их там гораздо больше. Эти 2 файла только малая часть. ;)  

 

corvett, если администрация форума позволит могу написать скрипт AVZ, который удалит эти файлы.  


Сообщение было изменено mike 1: 28 Март 2014 - 18:25

Глубина - глубина, я не твой отпусти меня, глубина


#22 Grigory Lisin

Grigory Lisin

    Advanced Member

  • Virus Analysts
  • 533 Сообщений:

Отправлено 28 Март 2014 - 18:25

Ага, трой это....



#23 corvett

corvett

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 28 Март 2014 - 18:40

Проверьте эти файлы на virustotal

Удалил оба файла в защищенном режиме, удалил Minerd и файлы вида tmp*.exe, которые он плодил.

Увы при запуске, хотя эти файлы не восстановились, кроме Minerd - зараженность осталась.

вида tmp*.exe пока не появлялись, но еще не вечер...

Что же делать?



#24 thyrex

thyrex

    Member

  • Posters
  • 279 Сообщений:

Отправлено 28 Март 2014 - 20:50

Да там целая пачка файлов битмайнера

Однако скрипт AVZ здесь написать не дадут :)


Сообщение было изменено thyrex: 28 Март 2014 - 20:53


#25 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 28 Март 2014 - 22:21

Раз уж Вы у нас на форуме лечитесь, то предлагаю такой алгоритм:

 

Проверяете все файлы, которые произвольно создаются в TEMP-е, на virustotal.com (при этом нажимая на rescan). То, что не определяется DrWeb-ом, засылаете в вирлаб. Только засылайте файлы с разными хешами, т.е. одинаковые файлы с разным именем загружать не надо. Здесь публикуете номера тикетов, которые приходят Вам на почту. После добавления в базы проводите быструю проверку на вирусы.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#26 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 797 Сообщений:

Отправлено 29 Март 2014 - 07:59

Однако скрипт AVZ здесь написать не дадут

Здесь можно через систему ЛС решать любые вопросы. :) В отличие от некоторыз других ресурсов, тут не палятся, что следят. :lol:


Сообщение было изменено l.e.e.: 29 Март 2014 - 08:00

Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#27 thyrex

thyrex

    Member

  • Posters
  • 279 Сообщений:

Отправлено 29 Март 2014 - 10:24

Здесь можно через систему ЛС решать любые вопросы. :) В отличие от некоторыз других ресурсов, тут не палятся, что следят
Лечение в ЛС может стоить репутации лекаря, когда что-то пойдет не так и никнейм всплывет из уст возмущенного пользователя. Так что уж лучше сами рулите на этом форуме, ведь здесь и так многим многое дозволено 

#28 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 797 Сообщений:

Отправлено 29 Март 2014 - 10:32

Лечение в ЛС может стоить репутации лекаря, когда что-то пойдет не так и никнейм всплывет из уст возмущенного пользователя.

Если что то пойдёт не так в "прямом эфире" репутация не пострадает ?


Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#29 thyrex

thyrex

    Member

  • Posters
  • 279 Сообщений:

Отправлено 29 Март 2014 - 13:14

Лечение в "прямом эфире" (даже в случае какой-то неординарной ситуации) и тайное лечение в ЛС - две большие разницы. Ибо первое видят и другие хэлперы и могут подстраховать, а второе - тайна за семью печатями



#30 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 797 Сообщений:

Отправлено 29 Март 2014 - 15:19

Ага, у семи нянек дитя без глаза.. :) Один не справился, второй справится, второй не справится...


Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#31 thyrex

thyrex

    Member

  • Posters
  • 279 Сообщений:

Отправлено 29 Март 2014 - 16:09

Ехидство тут не к месту, если не понимаете, что речь идет о возможных ошибках (от них никто не застрахован) в выписанных рецептах

 

На сим умолкаю, ибо тема и так свалилась в флуд



#32 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 797 Сообщений:

Отправлено 29 Март 2014 - 16:37

Где лог проверки на вирусы ?


Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#33 corvett

corvett

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 29 Март 2014 - 17:07

 

есть оба завирусованы, Gen:Variant.Symmi.40177 по большинству терминологий антивирусников

а ссылку можно?

 

Поставил nod32 7 почистил он многое. Ручками удалил кучу приблудившихся днс-ов, и комп стал входить на наш фтп пошел первасив(пришлось переставить) вроде все нормализуется. Одна беда - страшно тормозит комп, причем 99процентов простоя монитор показывает, а из окна в окно перескачить, набрать что-то, проглядеть в эксплоре - сущее мучение, до 10секунд реакция на нажатие кнопки или клавиши(но если ввод пошел, идет нормально). Возможно это проблема взаимодействия нода и штатного веба, но сносить нод боюсь, у веба еще нет лечения minerd. Вообще есть ли утилита, позволяющая найти что тормозит, когда загрузка процессора около процента?


 

есть оба завирусованы, Gen:Variant.Symmi.40177 по большинству терминологий антивирусников

а ссылку можно?

 

Поставил nod32 7 почистил он многое. Ручками удалил кучу приблудившихся днс-ов, и комп стал входить на наш фтп пошел первасив(пришлось переставить) вроде все нормализуется. Одна беда - страшно тормозит комп, причем 99процентов простоя монитор показывает, а из окна в окно перескачить, набрать что-то, проглядеть в эксплоре - сущее мучение, до 10секунд реакция на нажатие кнопки или клавиши(но если ввод пошел, идет нормально). Возможно это проблема взаимодействия нода и штатного веба, но сносить нод боюсь, у веба еще нет лечения minerd. Вообще есть ли утилита, позволяющая найти что тормозит, когда загрузка процессора около процента?



#34 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 797 Сообщений:

Отправлено 29 Март 2014 - 17:47

Ну вы больше вирусы не запускайте, ага.  :)

C:\Documents and Settings\dpv\Application Data\Adobe\CtrlAdobe.exe
C:\Documents and Settings\dpv\Application Data\Mozilla\MozillaMgr.exe

А то прямо двуликий янус какой то.


Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#35 corvett

corvett

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 29 Март 2014 - 17:47

Да, удалил нод и все пошло нормально. Спасибо всем откликнувшимся. Только вот что делать если снова прийдет этот вирь, неужели на вебе так и не среагируют?



#36 corvett

corvett

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 29 Март 2014 - 17:51

Многоликий, там еще кучу нод нашел. Не понимаю, почему нас всех на корпоративном вебе держат. Небыстро они реагируют



#37 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 29 Март 2014 - 17:51

Только вот что делать если снова прийдет этот вирь, неужели на вебе так и не среагируют?

А Вы в вирлаб отправляли то, что Вам советовали? Ответ от вирлаба Доктора был?



#38 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 29 Март 2014 - 17:52

Многоликий, там еще кучу нод нашел.

Эта "куча" может и одним вирусом, а может и не быть вирусом вообще.



#39 mike 1

mike 1

    Advanced Member

  • Posters
  • 815 Сообщений:

Отправлено 29 Март 2014 - 18:41

 

Многоликий, там еще кучу нод нашел.

Эта "куча" может и одним вирусом, а может и не быть вирусом вообще.

 

Вирус это. Автозагрузка у corvett, была кстати сильно загажена:

 

O4 - HKCU\..\Run: [{E3D5C5A8-7CC5-27EE-42C6-EA6DA9BC5C4F}] "C:\Documents and Settings\dpv\Application Data\Media Player Classic\syncMediaPlayerClassic.exe"
O4 - HKCU\..\Run: [{082253AE-0EC5-E07E-E2E3-4A45204CC0D4}] "C:\Documents and Settings\dpv\Application Data\Nero\agentNero.exe"
O4 - HKCU\..\Run: [{63EB1F19-4D41-5FB6-C1C2-FB6558200D0A}] "C:\Documents and Settings\dpv\Application Data\TeamViewer\TeamViewerStart.exe"
O4 - HKCU\..\Run: [{6363A61C-B58E-B40D-AF77-0A1FB274ED87}] "C:\Documents and Settings\dpv\Application Data\Splashtop\ctrlSplashtop.exe"
O4 - HKCU\..\Run: [{95AFB55A-521E-447B-8491-04BA50791234}] "C:\Documents and Settings\dpv\Application Data\Macromedia\SyncMacromedia.exe"
O4 - HKCU\..\Run: [{44086682-4956-DF82-D5B5-75EDCED839C6}] "C:\Documents and Settings\dpv\Application Data\Canon\StartCanon.exe"
O4 - HKCU\..\Run: [{BC655245-014B-3D8C-E332-B9CD65F4F1CF}] "C:\Documents and Settings\dpv\Application Data\Microsoft\MicrosoftXpers.exe"
O4 - HKCU\..\Run: [{801F3E0F-75AE-B1DC-B02C-2DBE24AD9BA3}] "C:\Documents and Settings\dpv\Application Data\PC-FAX TX\PCFAXTXstart.exe"
O4 - HKCU\..\Run: [{9EF46AFB-1DFC-B92C-2AA6-E81E4B16B953}] "C:\Documents and Settings\dpv\Application Data\Identities\Identitiesagent.exe"
O4 - HKCU\..\Run: [{A7CD7E3D-8F88-0687-E373-4FC1EECDB93A}] "C:\Documents and Settings\dpv\Application Data\VMware\VMwareAgent.exe"
O4 - HKCU\..\Run: [{1EA3D418-7A7D-BE37-81B3-B36D16C99BD0}] "C:\Documents and Settings\dpv\Application Data\KONICA MINOLTA\KONICAMINOLTATray.exe"
O4 - HKCU\..\Run: [{01DF2999-D0F8-7A6B-E375-B7827142141F}] "C:\Documents and Settings\dpv\Application Data\Corel\Corelctrl.exe"
O4 - HKCU\..\Run: [{996B6A62-A23C-21E1-B9DA-235FF7B40AE0}] "C:\Documents and Settings\dpv\Application Data\Sun\startSun.exe"
O4 - HKCU\..\Run: [{C7038880-693B-C6FC-FF53-AFFFF4B3CB44}] "C:\Documents and Settings\dpv\Application Data\WinRAR\WinRARuse.exe"
O4 - HKCU\..\Run: [{017A3B6F-186C-4D4B-4649-A285776C41FD}] "C:\Documents and Settings\dpv\Application Data\TeamViewer\winTeamViewer.exe"
O4 - HKCU\..\Run: [{E409E0E2-AB85-F18A-A113-8A84C13D3AB0}] "C:\Documents and Settings\dpv\Application Data\Corel\SyncCorel.exe"
O4 - HKCU\..\Run: [{85DA7817-09EC-8E01-B0A0-042286794E52}] "C:\Documents and Settings\dpv\Application Data\Adobe\AdobeTray.exe"
O4 - HKCU\..\Run: [{2A998FA8-582A-E7B1-26BC-A3B3E6CBC0E5}] "C:\Documents and Settings\dpv\Application Data\Adobe\CtrlAdobe.exe"
O4 - HKCU\..\Run: [{81B1127F-6D99-2429-B4E2-C06D39143701}] "C:\Documents and Settings\dpv\Application Data\WinRAR\WinRARwin.exe"
O4 - HKCU\..\Run: [{44B2C0B0-3287-0449-1AB4-053C39F66E61}] "C:\Documents and Settings\dpv\Application Data\Yandex\CtrlYandex.exe"
O4 - HKCU\..\Run: [{79243056-A54A-DD94-B39A-A418B746BD15}] "C:\Documents and Settings\dpv\Application Data\Splashtop\syncSplashtop.exe"
O4 - HKCU\..\Run: [{2022E796-8E3D-7942-6B13-10AF1883686D}] "C:\Documents and Settings\dpv\Application Data\Nero\MgrNero.exe"
O4 - HKCU\..\Run: [{9CFA2A57-63E1-8F11-CCCB-5C9E10020115}] "C:\Documents and Settings\dpv\Application Data\Splashtop\SplashtopWin.exe"
O4 - HKCU\..\Run: [{EE97E698-49CE-9F0D-9EC2-F68720FFDB49}] "C:\Documents and Settings\dpv\Application Data\Mozilla\MozillaMgr.exe"
O4 - HKCU\..\Run: [{10BE4D03-9004-821E-4EAA-F13F4787E619}] "C:\Documents and Settings\dpv\Application Data\Identities\IdentitiesAgent.exe"

Глубина - глубина, я не твой отпусти меня, глубина


#40 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 797 Сообщений:

Отправлено 29 Март 2014 - 18:46

Смущает их идентичность. То есть файлы вроде разные, а детект один...


Сиюминутное Ригпа бессущностно и ясно.

drweb.png




Also tagged with one or more of these keywords: вирус

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых