11 ответов в этой теме

[Roiko]

Dr.Web ругается на "tool.btcmine.107", который сидит в "c:\Program Files (x86)\MSDS\phoenix.exe". Dr.Web удаляет его, но потом (после перезагрузки компьютера) эта штучка опять появляется.

Вот приложенные отчеты:

 tool.btcmine.107.txt   137байт   7 Скачано раз

 hijackthis - report - 17.05.2014.txt   12,57К   10 Скачано раз

 ADMIN_User_170514_135536.zip   7,66Мб   4 Скачано раз

Сообщение было изменено Roiko: 17 Май 2014 - 14:20

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[Полимер]

Roiko, Посмотрите в настройках сканера "действия" для программ взлома.

[Roiko]

Roiko, Посмотрите в настройках сканера "действия" для программ взлома.

Инфицированных - лечить, остальных - в карантин. И перезагрузка.

 

И еще:

ProcessMonitor показывает вот это:

"C:\Program Files (x86)\MSDS\Phoenix.exe" -u http://gms0q@yandex.ru_z1:qwe@pit.deepbit.net:8332 -k poclbm DEVICE=0 VECTORS AGGRESSION=5

Сообщение было изменено Roiko: 17 Май 2014 - 16:10

[Полимер]

Гугл говорит, что источником может быть:

O4 - HKCU\..\Run: [Intel] "C:\Program Files (x86)\Intel\Intel.exe" (filesize 
6248572 bytes, MD5 C1200A5347BC620E3A18879C31F2B534)

Проверьте его на virustotal.com

[RomaNNN]

Гугл говорит, что источником может быть:

O4 - HKCU\..\Run: [Intel] "C:\Program Files (x86)\Intel\Intel.exe" (filesize 
6248572 bytes, MD5 C1200A5347BC620E3A18879C31F2B534)

Проверьте его на virustotal.com

На VT есть поиск по хешам.

 

https://www.virustotal.com/en/file/27b4722e67ef544c34618c0346aeb31b4eae1f66008acc8a0d759c7d8ca1bd66/analysis/

[Полимер]

Roiko, А почему в апреле вы установили 8 версию?

[Roiko]

Roiko, А почему в апреле вы установили 8 версию?

Почитав отзывы, подумал, что 9-я пусть немного обкатается.

[RomaNNN]

 

Roiko, А почему в апреле вы установили 8 версию?

Почитав отзывы, подумал, что 9-я пусть немного обкатается.

 

Уже все давным давно обкатано

[Roiko]

 

Гугл говорит, что источником может быть:

O4 - HKCU\..\Run: [Intel] "C:\Program Files (x86)\Intel\Intel.exe" (filesize 
6248572 bytes, MD5 C1200A5347BC620E3A18879C31F2B534)

Проверьте его на virustotal.com

На VT есть поиск по хешам.

 

https://www.virustotal.com/en/file/27b4722e67ef544c34618c0346aeb31b4eae1f66008acc8a0d759c7d8ca1bd66/analysis/

 

 

Я как-то раньше решил удалить эту программу (вижу, что какая-то странная программа в списке установленного ПО, но Uninstall Tool показал кучу связей с NVIDIA (у меня эта карта стоит), что я не решился. Значит, нужно удалять?

[Victor_koly]

C:\Program Files (x86)\Intel\Intel.exe

В этой папке вроде как обычно нет такого исполняемого файла.

[Roiko]

 

C:\Program Files (x86)\Intel\Intel.exe

В этой папке вроде как обычно нет такого исполняемого файла.

 

 

Ну всё. Удалил "C:\Program Files (x86)\Intel\Intel.exe", затем "C:\Program Files (x86)\MSDS\Phoenix.exe" со всей папкой. Перезагрузка. Полная проверка диска "С" - системного - ничего не показала. Будем надеяться, что избавились от этого вируса. Всем "спасибо".