Перейти к содержимому


Фото
- - - - -

Проблемы с Tool.BtcMine.1504


  • Закрыто Тема закрыта
14 ответов в этой теме

#1 AexSh

AexSh

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 03 Июль 2018 - 18:33

Здравствуйте.

Ситуация следующая.

Обнаружил, что после непродолжительного простоя компа произошло отключение электропитания монитора, хотя изначально в настройках было выставлено 60 минут.

"Разбудил" комп, залез в настройки и увидел, что там выставлено отключение питания монитора через 5 минут простоя. переставил, чтобы компа вообще не уходил в спящий режим, питание монитора не отключалось. Через некоторое время вновь обнаружил комп "спящим", при этом кулеры выли нещадно, сигнализируя о большой загрузке.

В очередной раз "разбудил" комп, вой кулеров прекратился, в диспетчере задач подозрительных процессов, которые бы грузили комп, не обнаружил. Хотя хронология загрузки ЦП явно показывала, что она была под 90 процентов. В настройках электропитания опять стояло отключение питания монитора через 5 минут.

Скачал Curelt, просканировал комп, обнаружил tool.btcmine.1504, обезвредил.Выставил настройки электропитания на "никогда". Перезагрузил комп, повторно просканировал на вирусы и их не обнаружил. Настройки электропитания остались такими же, как до перезагруза.

Ради любопытства оставил комп без дела и ровно через 20 минут монитор отключился, колеры заревели.

Процедура повторилась: "разбудил" комп, кулеры успокоились, настройки электропитания на 5 минут, при сканировании на вирусы обнаружился tool.btcmine.1504.

Так раз за разом.

Если комп не в простое, то левой загрузки ЦП не наблюдается.

 

 

Посоветуйте, что можно с этим сделать?

 

Отчет DrWeb Sysinfo  - https://my-files.ru/quh5g9

Лог Curelt - https://my-files.ru/szidkr

 

Прикрепленные файлы:



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 3 088 Сообщений:

Отправлено 03 Июль 2018 - 18:33

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.



#3 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 03 Июль 2018 - 18:47

на вскидку доставляют по сети. ОС у вас дырявая так что не удивительно. ядро с 2010 года не обновлялось.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#4 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 03 Июль 2018 - 18:49

C:\Windows\TEMP\upd.exe\data002 - is hacktool program Tool.BtcMine.1504
C:\Windows\TEMP\upd.exe - infected container

практически 100% что через анб эксплойт. я такое вижу в облаке постоянно. ставьте заплатки на ОС. и выкиньте хаки с подменой ядра на кастомное, от них вреда больше чем пользы не стоит красивая загрузка винда этого.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#5 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 03 Июль 2018 - 18:51

монитор выключают чтобы при бездействии майнить по скорей
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#6 AexSh

AexSh

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 03 Июль 2018 - 19:52

на вскидку доставляют по сети. ОС у вас дырявая так что не удивительно. ядро с 2010 года не обновлялось.

 

C:\Windows\TEMP\upd.exe\data002 - is hacktool program Tool.BtcMine.1504
C:\Windows\TEMP\upd.exe - infected container

практически 100% что через анб эксплойт. я такое вижу в облаке постоянно. ставьте заплатки на ОС. и выкиньте хаки с подменой ядра на кастомное, от них вреда больше чем пользы не стоит красивая загрузка винда этого.

 

Спасибо за ответ. Но, к сожалению, мне, как чайнику, не все понятно :)



#7 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 623 Сообщений:

Отправлено 03 Июль 2018 - 20:04

Разжевываю.

1. Говносборки - фтопку. Равно как и кривые активаторы. При желании легко ищется оригинальный образ и нормальный активатор.

2. Ставим все критические обновления. Центр обновлений у вас, скорее всего, никогда и не включался с момента установки ОС?



#8 AexSh

AexSh

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 03 Июль 2018 - 21:09

лукавить не буду,  дырявое и без обновлений.

то есть, сперва нужно "заштопать"  систему, а уже потом думать, как нейтрализовать вирус?

или можно сперва с вирусом разобраться?



#9 Lvenok

Lvenok

    Massive Poster

  • Beta Testers
  • 2 644 Сообщений:

Отправлено 03 Июль 2018 - 21:30

лукавить не буду, дырявое и без обновлений.
то есть, сперва нужно "заштопать" систему, а уже потом думать, как нейтрализовать вирус?
или можно сперва с вирусом разобраться?

Сначала с ОС, т.к. без заплаток борьба с вирусами это борьба с ветряными мельницами.

#10 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 04 Июль 2018 - 16:04

C:\Windows\TEMP\upd.exe\data002 - is hacktool program Tool.BtcMine.1504
C:\Windows\TEMP\upd.exe - infected container

практически 100% что через анб эксплойт. я такое вижу в облаке постоянно. ставьте заплатки на ОС. и выкиньте хаки с подменой ядра на кастомное, от них вреда больше чем пользы не стоит красивая загрузка винда этого.

 

Это батник качает.



#11 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 04 Июль 2018 - 16:09

Через часа три прогоните свежим CureIt. Но необходимости обновления ОС это не отменит.


Сообщение было изменено Ivan Korolev: 04 Июль 2018 - 16:10


#12 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 04 Июль 2018 - 16:12

"c:\program files\common files\msboot\ch.cmd" отправьте в вирлаб (vms.drweb.com/sendvirus) в категорию не определяемый вирус.

 

Когда получите номер тикета (drweb#1234567), напишите его здесь.

 

Удалите через планировщик задачи:

 

{21FDF7ED-2B8C-4E60-A0BA-A5B057ED83BF}
{59EE1A0C-2389-4FEA-97C6-EB4F49D05D2E}
{846A49D4-2D4C-4885-AC30-9D76AFCCC75F}
nethost task
Safebrowser

Сообщение было изменено Ivan Korolev: 04 Июль 2018 - 16:21


#13 AexSh

AexSh

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 04 Июль 2018 - 19:36

 

"c:\program files\common files\msboot\ch.cmd" отправьте в вирлаб (vms.drweb.com/sendvirus) в категорию не определяемый вирус.

 

Когда получите номер тикета (drweb#1234567), напишите его здесь.

 

Удалите через планировщик задачи:

 

{21FDF7ED-2B8C-4E60-A0BA-A5B057ED83BF}
{59EE1A0C-2389-4FEA-97C6-EB4F49D05D2E}
{846A49D4-2D4C-4885-AC30-9D76AFCCC75F}
nethost task
Safebrowser

 

drweb.com #8258745



#14 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus Hunters
  • 1 677 Сообщений:

Отправлено 04 Июль 2018 - 20:10

 

 

"c:\program files\common files\msboot\ch.cmd" отправьте в вирлаб (vms.drweb.com/sendvirus) в категорию не определяемый вирус.

 

Когда получите номер тикета (drweb#1234567), напишите его здесь.

 

Удалите через планировщик задачи:

 

{21FDF7ED-2B8C-4E60-A0BA-A5B057ED83BF}
{59EE1A0C-2389-4FEA-97C6-EB4F49D05D2E}
{846A49D4-2D4C-4885-AC30-9D76AFCCC75F}
nethost task
Safebrowser

 

drweb.com #8258745

 

 

Уже в базе  - BAT.Starter.253

 

https://www.virustotal.com/#/file/0d535a21d654716e39b251374374ad9c6068faf1511c4e6f8b87f0f7d43de691/detection



#15 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 05 Июль 2018 - 14:21

 

 

 

"c:\program files\common files\msboot\ch.cmd" отправьте в вирлаб (vms.drweb.com/sendvirus) в категорию не определяемый вирус.

 

Когда получите номер тикета (drweb#1234567), напишите его здесь.

 

Удалите через планировщик задачи:

 

{21FDF7ED-2B8C-4E60-A0BA-A5B057ED83BF}
{59EE1A0C-2389-4FEA-97C6-EB4F49D05D2E}
{846A49D4-2D4C-4885-AC30-9D76AFCCC75F}
nethost task
Safebrowser

 

drweb.com #8258745

 

 

Уже в базе  - BAT.Starter.253

 

https://www.virustotal.com/#/file/0d535a21d654716e39b251374374ad9c6068faf1511c4e6f8b87f0f7d43de691/detection

 

 

Угу, оказалось он из той пачки хлама, что я вчера насобирал по этому трою.


 

 

"c:\program files\common files\msboot\ch.cmd" отправьте в вирлаб (vms.drweb.com/sendvirus) в категорию не определяемый вирус.

 

Когда получите номер тикета (drweb#1234567), напишите его здесь.

 

Удалите через планировщик задачи:

 

{21FDF7ED-2B8C-4E60-A0BA-A5B057ED83BF}
{59EE1A0C-2389-4FEA-97C6-EB4F49D05D2E}
{846A49D4-2D4C-4885-AC30-9D76AFCCC75F}
nethost task
Safebrowser

 

drweb.com #8258745

 

 

После сканирования свежим CureIt какие-то проблемы еще остались?




Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых