Перейти к содержимому


Фото
- - - - -

coin-miner.exe грузит проц


  • Please log in to reply
8 ответов в этой теме

#1 uzurp

uzurp

    Newbie

  • Posters
  • Pip
  • 4 Сообщений:

Отправлено 25 Декабрь 2012 - 21:01

добрый вечер! появилась прога coin-miner.exe в процессах. Сильно нагружает проц. Вместе с ней появляются процессы с цифровым именем (напр. 550.exe). Найти эти программы не могу, в нете инфы нет. Вреестре тоже не отображаются. Оч. прошу помощи: что это такое и как побороть??? Заранее благодарю!

Прикрепленные файлы:



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • PipPipPipPip
  • 1 499 Сообщений:

Отправлено 25 Декабрь 2012 - 21:01

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и RkU. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;

#3 l.e.e.

l.e.e.

    Партизан

  • Posters
  • PipPipPipPipPipPip
  • 4 215 Сообщений:

Отправлено 25 Декабрь 2012 - 21:21

введите в командной строке (или пуск-выполнить) %temp%\temp\

Скопируйте (или переместите), запакуйте в архив и отправьте в VIRLAB
C:\DOCUME~1\User\LOCALS~1\Temp\550.exe
C:\DOCUME~1\User\LOCALS~1\Temp\IXP000.TMP\coin-miner.exe

Это пофиксить в HijackThis - Scan (отметить) -FixChecked
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,SKEYS /I
O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\User\LOCALS~1\Temp\IXP000.TMP\"
затем -> http://download.geo.drweb.com/pub/drweb/tools/plstfix.exe

Сообщение было изменено lazarev.ee: 25 Декабрь 2012 - 21:23

drweb.png


#4 l.e.e.

l.e.e.

    Партизан

  • Posters
  • PipPipPipPipPipPip
  • 4 215 Сообщений:

Отправлено 25 Декабрь 2012 - 21:32

то есть..
введите в командной строке (или пуск-выполнить) %temp% и тут же \IXP000.TMP\coin-miner.exe

drweb.png


#5 Grigory Lisin

Grigory Lisin

    Member

  • Virus Analysts
  • 394 Сообщений:

Отправлено 25 Декабрь 2012 - 21:47

coin-miner.exe - это скорее всего, программа для получения денег за вычислительные ресурсы (что-то вроде этого http://news.drweb.com/?i=1771&c=23&lng=ru&p=0 )

Поэтому и нагрузка на проц...

#6 uzurp

uzurp

    Newbie

  • Posters
  • Pip
  • 4 Сообщений:

Отправлено 25 Декабрь 2012 - 22:11

спасибо всем откликнувшимся.

Скопируйте (или переместите), запакуйте в архив и отправьте в VIRLAB
C:\DOCUME~1\User\LOCALS~1\Temp\550.exe
C:\DOCUME~1\User\LOCALS~1\Temp\IXP000.TMP\coin-miner.exe
Это пофиксить в HijackThis - Scan (отметить) -FixChecked
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,SKEYS /I
O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\User\LOCALS~1\Temp\IXP000.TMP\"
затем -> http://download.geo.drweb.com/pub/drweb/tools/plstfix.exe

Все сделал как написано - результатов нет. при загрузке грузится новый числовой файл (теперь уже 13026.exe) и coin-miner, зараза. А если удалить файлы и папки C:\DOCUME~1\User\LOCALS~1\Temp\550.exe
C:\DOCUME~1\User\LOCALS~1\Temp\IXP000.TMP\coin-miner.exe?

#7 uzurp

uzurp

    Newbie

  • Posters
  • Pip
  • 4 Сообщений:

Отправлено 25 Декабрь 2012 - 22:17

Да, кстати, погуглив тему, буквально в песке нашел похожее - там написано, что может маскироваться под файл svchost. Смотрю у себя - 9 процессов svchost.exe! из них 2 под user-ом. Может быть, что в них собака зарыта?

#8 l.e.e.

l.e.e.

    Партизан

  • Posters
  • PipPipPipPipPipPip
  • 4 215 Сообщений:

Отправлено 25 Декабрь 2012 - 22:24

uzurp, GMER отметить IRPhook и сканировать, там же можно убить файлы. И лог дать.

drweb.png


#9 uzurp

uzurp

    Newbie

  • Posters
  • Pip
  • 4 Сообщений:

Отправлено 26 Декабрь 2012 - 08:40

Спасибо, друзья. Особенно Лазареву. Нашел папки IXP000.tmp (причем их было 2) и несколько файлов с числовым именем. Удалил. Перегрузился. Вроде не вылезает больше (тьфу 3 раза). :-) Хотя может где спрятался, гад. Параллельно общаюсь с тех.поддержкой. Тоже выслал им логи и файлы.




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых