Tool.BtcMine. - Форум технической поддержки ESET NOD32

Сообщений: 13

Баллов: 6

Регистрация: 08.05.2014

Размещено 04.07.2014 15:12:00

Здравствуйте. Доброго дня. Помогите вылечить подхватили знакомые эту штуку Tool.BtcMine.
Сначала ПК вообще не хотел грузиться ни в каком варианте, потом откатил систему с помощью ERD Commandera/ И комп хотя бы начал грузиться в безопасном варианте.
Сделал сканирование автозагрузки uVS v3.81.2.
Архив после сканирования программой прикрепил.

Прикрепленные файлы

KCSO-REZNIKOVA_2014-01-04_14-44-11.7z (276.77 КБ)

Сообщений: 17973

Баллов: 28756

Регистрация: 16.03.2010

Размещено 04.07.2014 15:23:49

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.82.8 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE delall AUAUCDL_.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\BNCTO.EXE delall BTIYFTG_.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\MICROSOFT\FFOGOL.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\FSWAGZ.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\GSYZQ.EXE delall OFHTXOP_.EXE delall TSWVWTQ_.EXE addsgn A4679BF0AA028C474BD4C63871881261848AFCF689AA2CA30E00AE67515DB90D9B3FC3573E1475EC2C8084EA4E9F0C1AF49A048D70E6826C2D88B19F064622BA 8 Win32/Injector.BHCE [ESET-NOD32] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\SYSTEM.PIF zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\SYSTEM.PIF zoo %Sys32%\CONFIG\SYSTEMPROFILE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\SYSTEM.PIF ;------------------------autoscript--------------------------- chklst delvir ; Java(TM) 6 Update 13 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF} /quiet deltmp delnfr ;------------------------------------------------------------- czoo restart

Код

;uVS v3.82.8 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
delall AUAUCDL_.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\BNCTO.EXE
delall BTIYFTG_.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\MICROSOFT\FFOGOL.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\FSWAGZ.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\GSYZQ.EXE
delall OFHTXOP_.EXE
delall TSWVWTQ_.EXE
addsgn A4679BF0AA028C474BD4C63871881261848AFCF689AA2CA30E00AE67515DB90D9B3FC3573E1475EC2C8084EA4E9F0C1AF49A048D70E6826C2D88B19F064622BA 8 Win32/Injector.BHCE [ESET-NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\SYSTEM.PIF
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\SYSTEM.PIF
zoo %Sys32%\CONFIG\SYSTEMPROFILE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\SYSTEM.PIF
;------------------------autoscript---------------------------

chklst
delvir

; Java(TM) 6 Update 13
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF} /quiet

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

Изменено: santy - 04.07.2014 15:25:42

[ Как создать образ автозапуска? ]

Сообщений: 13

Баллов: 6

Регистрация: 08.05.2014

Размещено 04.07.2014 16:40:02

Прикрепляю лог Малвербейта

Прикрепленные файлы

Лог после сканироания Малвербейта.txt (2.49 КБ)

Сообщений: 13

Баллов: 6

Регистрация: 08.05.2014

Размещено 04.07.2014 16:40:31

И конечно огромное Спасибо, за помощь.

Сообщений: 17973

Баллов: 28756

Регистрация: 16.03.2010

Размещено 04.07.2014 17:03:49

это оставьте в мбам

Цитата
Registry Data: 1 PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER\|UpdatesDisableNotify, 1, Good: (0), Bad: (1),Replaced,[760decaf384335011366028bed176b95]

остальное все удалите.

если проблема решена, выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]