Последствия майнера tool.btcmine.2584
Вечерком 8 ноября сего года, я наплевав на все меры безопасности установил скачанную с непроверенного торрента игру, которая оказалась с сюрпризом. Примерно через минут 10 после установки и попытки запуска я заметил, что с компьютером что-то не то. Полез в диспетчер задач, он на тот момент ещё работал корректно. В диспетчере заметил новый незнакомый процесс и парочку старых системных, но запущенных от имени пользователя. Полез гуглить, что за файл. Файл нагуглился как EternalBlue, как назывался сам процесс уже не помню. Через ДЗ я его прихлопнул, нашёл место хранения файла и удалил сам экзэшник.
Ещё минут 10 мониторинга списка процессов ничего нового не дали, но начал самопроизвольно закрываться сам ДЗ. Заранее установленный Processxp 64 повёл себя так-же, самостоятельно закрывался через некоторое время. Я понял, что запахло порохом и полез качать CureIt. Сайт Доктора Вэба открылся, я попытался скачать утилиту, но не успел. Вылезла ошибка доступа, но браузер ещё работал корректно. Я полез в файл Hosts смотреть исключения и нашёл там кучу записей, которые я не создавал. Там были ссылки на сайты всех производителей антивирусов и прочего подобного софта. Лишние записи я потёр, сайт Доктора Вэба начал открываться, но уже начал вылетать сам браузер.
С момента заражения прошло минут 30. На этом этапе я уже обливаясь потом выдернул сетевой кабель из разъёма, скачал на телефон CureIt и через usb шланг залил утилиту на компьютер. Результаты её деятельности можно увидеть на фото. Я был в панике от мысли, что компьютер на глазах превращается в тыкву, так что за расфокусировку прошу прощения.
Некоторые файлы системные, кроме первого и, насколько я понял, перемещены в карантин.
Дальше у меня возникли вопросы к установленному антивирусу: А, собственно, какого дьявола? Выяснилось, что антивирус всё это время пускал пузыри из носа и игрался в песочек. Запустить его через диспетчер в трее у меня не удалось, а при запуске через ярлык в Пуске он радостно вылетел с ошибкой через пару секунд работы. Но в диспетчере задач он всё это время отображался.
Дальше я полез в гугл и попытался скачать что нибудь ещё. Единственное, что у меня запустилось — это adwcleaner. Результаты его работы вот:
Всё остальное отказалось даже устанавливаться. Через Total Commander с отображением скрытых файлов я увидел, что в обеих папках Program Files есть куча новых папок с названиями всех антивирусов. Папки как забетонированные, ничего сделать с ними не могу, даже открыть. На одном из скриншотов это видно. Так же появилось куча всего нового по всему системному разделу, второй раздел диска вроде чист. Прикладываю скрины, красным выделены новые папки, на первом скрине папка adwcleaner от моей запущенной утилиты, остальное действия вируса:
Два дня компьютер вообще не трогал, только сегодня зарегистрировался здесь, очень прошу помощи. Систему переустанавливать не вариант вообще, очень много всего установлено и настроено.
Прикладываю логи. В мануале написано, что нужно отключить антивирус и Защитник Windows. Защитник выключил, а Авира сотрудничать не хочет. В списке процессов постоянно висят Avira.Optimizer Host*32.exe и Avira.SoftwareUpdater.ServiceHost*32.exe. При попытке прибить их, запускаются автоматически, отключить не могу. Запустил Autologger так.
Благодарю за внимание.
устранение вируса tool.btcmine
добрый день всем,подскажите как убрать это дерьмо с компьютера,раньше dr.web устранял без.
Последствия удаления майнера
Подхватил недавно майнер. Назывался microsofthost.exe и хранился в.
Trojan.btcmine.3571
Здравствуйте. Помогите пожалуйста избавится от trojan.btcmine.3571. Находится по пути.
Удалить Ted BtcMine.258
Пожалуйста помогите удалить это:Ted BtcMine.258. D.Web. удаляет но тут же загружается снова.
Как я поймал майнер tool.btcmine
Доброй ночи пикабушники! Сидел я в интернете. И заметил что начал я подвисать. Думал видюха. Ох. Думал даже экран тупит. Что я только не делал!) Спустя время понял что это майнер. Оказалось он не скрытый. И не собирается скрываться. Даже если писать в строке антивирус. То браузер сразу закрывало. Представьте как это бесило. Виндовс 10. Антивирусник не видит. Боже, сколько я перепробовал антивирусов чтобы убрать это го*но. Антивирусы его видели. Удаляли. Но после перезагрузки компьютера. Все возвращалось. Уже как неделю не могу решить эту проблему. Может у кого-то было подобное? Антивирусы говорят: tool.btcmine.1063. А именно Dr.Web Cureit!. Остальные тоже ругаются. Но оно появляется все равно. Чтобы я не делал. Если у вас такое тоже было то отпишите как убрали эту штуку. Буду очень благодарен.
Бгг. У вас стоит его установщик в автозагрузке/планировщике/службе скорее всего. Потому он у вас каждый раз при удалении и устанавливается заново через некоторое время.
Лечение — во первых локализовать, где он стоит. Идете в диспетчер и ищете его процесс, локализуете папку, глушите, удаляете папку.
Потом чистите автозагрузку/планировщик/службы.
Потом, убедившись в том что это не помогло, чистите все незнакомые процессы, удаляете все левые программы.
На форум «ДОкторВеба» обращались?
Эту ветку смотрели?
Не забудьте проверить загрузочный раздел HDD и удалить точки восстановления. Также следует отчистить все временные директории и почистить реестр. Если стоит что-нибудь от мейл ру удалить к чертям (очень часто мерзость лезет через их сервисы)
Rutracker и модераторы в доле с майнерами
На известном нам сайте с недавних пор пошли непонятные движения, и некоторые раздачи модераторы Намеренно игнорируют, несмотря на очевидные факты
Например раздача на программу Malwarebytes repack by Emir Cardan
169 / 8 на момент написания поста
После установки программы начинаются заметные тормоза системы и кулер набирает обороты улетая в космос.
Хорошо, сносим программу через панель управления, но эффекта ноль.
В диспетчере задач появляется несколько интересных процессов taskhos, taskhostw которые ведут в подпапку RealtekAudio, с которой нельзя просто так взаимодействовать через консоль cmd или в проводнике, она скрыта не обычным способом Windows, и просто так с ней ничего не сделать
Так вот , загрузка цп 100% в простое
При заходе в диспетчер стремительно падает, и при попытке открыть расположение вредных процессов закрывается диспетчер задач и окно папки появляется на долю секунды
При попытке установить антивирусники или спец софт для удаления подобной поеботы Майнер создаёт нам проблемы — закрытия, ошибки и т.д
Всплывают также разные процессы интересные связанные с вирус и один фейк svchost
Система дымит и лагает но
Модераторы сайта глубоко наплевать на вас, они видимо в доле или по братской любви разрешают таким раздачам висеть
Решается быстрой заморозкой всех связанных процессов в process hacker и успеть за 5 секунд открыть расположение фейкового taskhost процесса который откроет ProgramData/RealtekAudio
Windows покажет нам что тут пусто, это не так. Выделенные в process hacker процессы убиваем и сразу несём папку в корзину из «пути» и очищаем ее
После запускаем восстановление системы методами Windows или методом с cyberforum где есть много сообщений о подобном вирус
Как избавиться от вируса-майнера?
Проблема заключается в том, что где-то раз в плюс-минус 5 минут комп чуток подвисает — идёт 100% загрузка проца и, скорее всего, видюхи, судя по работе её кулера. Ну, и естественно, что эти тормоза не приносят ничего приятного в пользование компом.
Непосредственно перед этим скачком автоматически закрывается диспетчер задач, если он был до этого открыт.
Я пробовал гуглить проблему и вышел на киберфорум, где нашёлся топик со схожими симптомами. Там говорят, что это майнер и советуют скачать AVZ и в нём выполнить некий скрипт. Далее проблема стала за тем, что я просто не смог запустить AVZ, так как после открытия программы она тут же автоматически закрывается. В итоге я запустил её и выполнил скрипт из безопасного режима, однако это вообще ничего не дало.
Тогда я попробовал зарегиться на форуме и создать тему уже непосредственно по своему случаю, но сразу после авторизации браузеры стали автоматически закрываться 🙁
Также пробовал использовать ESET и Avast, но с ними та же беда, что с AVZ: я просто не могу их установить — они закрываются.
Винду переустанавливал месяц назад — это тоже не помогло. Встроенные в винду брандмауэр и защитник у меня если что включены, настройки параметров выдачи уведомлений о вносимых в ОС изменениях тоже включены и ничего не показывают. Кстати, что характерно, загрузка проца и подвисания не такие жёсткие, когда отсутствует доступ к инету.
В общем, я не знаю, что делать и надеюсь, что мне тут подскажут решение этой проблемы.
Кажись, нашёл гадёныша:
В папке C — ProgramData — RealtekHD находится файл taskhostw, который запускает периодически процесс taskhost с описанием COM surrogate!
При попытке зайти в папку место хранения файла папка тут же закрывается.
Гугл выдаёт, что это таки майнер (ситуация вообще 1 в 1 как у меня)
Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть»
Для отслеживания подозрительных процессов очень удобен продвинутый менеджер процессов от самой майкрософт, называется ProcessExplorer.
Качается отсюда: https://docs.microsoft.com/en-us/sysinternals/downloads/proc. (сам сайт майкрософта, так что источник безопасен).
После запуска в меню выбираем эти два пункта:
И соглашаемся на условия конфиденциальности вирустотала.
Бинго, теперь у вас появится новая колонка в списке процессов, где отображается результат проверки на вирустотале, плюс проверка цифровой подписи запущенного файла. По нажатию на цифры сработки откроется страница вирустотала с отчётом.
ВАЖНО: сами файлы не передаются в вирустотал, он просто ищет там готовые результаты на файл с таким же хешем, так что особо мощный интернет не нужен! Если такого файла найденно не будет, то так и будет написано в данной колонке, и только по нажатию файл будет залит для проверки!
Так же, из полезных бонусов данной программы:
1) процессы отображаются в виде дерева, то есть вы видите, какими процессами они запущенны (на скрине показал кнопку активации данного режима)
2) можно вывести графики загрузки (память, проц, диск, видяха итд) для каждого процесса в таблице (правой кнопкой на название колонок, там выбрать пункты с «history» — это и есть графики)
3) Можно заменить этой программой встроенный менеджер процессов (для этого надо не просто открыть файл из архива, а сохранить его где-нибудь на компе)
4) продвинутые графики загрузки системы, открываются по нажатию на главный график сверху окна программы
Надеюсь, кому-то эта информация будет полезна. Сам использую данный инструмент уже лет 8, родной виндовый менеджер уже кажется убогим.
Как удалить прячущийся майнер и понять что он вообще есть
Предисловие: не все майнеры загружают цп на 100, бывает им хватает 10, 20, 30 %.
Прекрасным днём играл я в доту, все как бы работает вопросов нет, играю я по несколько часов подряд, и компьютер время от времени начинал гудеть сильнее чем стабильно в игре(системник), и тут мы с другом решили проверить, у кого сколько FPS в игре( качество плавности изображения кадров в секунду), и на моей RTX 2060 оказалось меньше чем на его GTX1050ti. Разгоном дело не решилось, скачали оба MSI Afterburner, и в игре решили тестить. У него стабильно 100-110, у меня то 120-130 то 80-90. Я открыл дисперчер задач и вернулся в игру, и оп)- фпс то подрос на 3-4 минуты) Открыл диспечер задач а там ничего нету( Подождав 4 минуты в игре открыл диспечер и стал смотреть убегающие процессы( по нагрузке),нашёл подозрительный процесс NT Kernel & System, отправил его в Virustotal(онлайн сайт) проверки вирусов, и попадание) скрин прилагаю мож кому поможет( маскируется под звуковую карту Realtek) На скрине слева процесс майнера, справа сводка по файлу после анализа. Удаляться просто так не захотел, скачал прогу Unlocker, и с помощью ней через перезагрузку удалил) В моем случае он потреблял 20-30% примерно. В папке файлы были невидимые. Оба улетели. Забыл добавить: при открытии диспечера задач он приостанавливает деятельность на 3-4 минуты, потом Сам закрывает диспечер задач)
Ответ на пост «Вирус майнер nt kernel system и как с ним бороться. ( Когда открываю диспетчер задач фпс повышается )»
Эхх. где ты раньше был.
Тоже напоролся на этот вирус, пришлось долго мучаться, но всё же смог его удалить.
Если кому поможет, то боролся я с ним так: Пока искал инфу про этот вирус, напоролся на этот сайт: https://it-tehnik.ru/virus/virus-close-browser.html С него я скачал старую версию Касперского. Т.к. сайт не официальный, то вирус его не закрывал. Позже в самом Касперском я обновил его до актуальной версии и просто провёл сканирование и последующую очистку компа.
А теперь немного про сам вирус — это майнер, который весьма хорошо прячется. Как и многие другие вирусы, как только включаешь диспетчер задач, он перестаёт нагружать комп. Но он сам выключает диспетчер задач раз в минуту-две (точное время не засекал). Мой Windows Defender (винда не лицензионная) его практически не засекал. Всё что он находил — один файл, который после удаления он находил снова. и снова. и снова. Можно скачать другой антивирус, но при входе на официальный сайт он просто закрывал браузер. Казалось бы, можно скачать с другого сайта, либо с внешнего носителя, но и тут может выйти облом — этот вирус может не дать открыть некоторые антивирусы, либо не дать им провести проверку.
Может мой способ не самый лучший, но я всё равно хочу его опубликовать, мало ли кому поможет.
Вирус майнер nt kernel system и как с ним бороться. ( Когда открываю диспетчер задач фпс повышается )
Привет пикабушники. Вчера задефал свой ПК от этого злое***его вируса. Гори в аду его создатель.
Хочу поделиться с вами как его обнаружить и удалить. Подойдет для неопытных юзеров.
Итак. Проверяем есть ли он у вас.
Первым делом попробуйте зайти на официальный сайт антивирусов таких как nod32 и касперский. Если не пускает и сбрасывает соединение, значит у вас вирус.
Далее. Открываете диспетчер задач(Ctrl+shift+ESC), сортируете задачи по имени и нажимаете на клаве кнопки NT. Если есть процесс nt kernel system, значит это та самая хрень.
Объясню. Этот вирус скрывается в процессах ненагружая пк когда диспетчер задач открыт.
Как только вы его закроете, он начинает сильно нагружать видеокарту, особенно когда играете. Я лично играл в Varhammer vermintide 2 и там было 30 фпс на ЛЮБЫХ настройках игры.
Когда я запускал диспетчер задач, фпс сразу возрастал до 60.
Если диспетчер будет открыт более пол минуты, вирус сам его закрывает.
У этой дряни есть активная фаза. Когда вы начнете гуглить его название в браузере, или же устанавливать антивирус, он будет всячески мешать. НО его можно в диспетчере на секунд 5-10 отключить клавишей delete. Если попробуете открыть расположение файла процесса, то вас кинет в несуществующую директорию local/realtec HD. Да, он маскируется еще и под драва звука.
Итак, у вас уже горит задний проход. ЧТО ДЕЛАТЬ?!
1. открываете через инкогнито браузер, ищете «доктор веб». Он его детектит.
2.Качаете дока. достаточно демо версии Security Space.
3. Устанавливаете, вызываете диспетчер задач, находите процесс кнопками NT(сортировка по имени) и постоянно удаляете когда он появляется, пока не установите доктора. (диспетчер задач не закроется пока вы будете постоянно удалять этот процесс, их кстати у меня было 2. Это активная фаза вируса)
4. Антивирус попросит перезапустить пк. Подчиняемся.
5. После перезапуска запускаем ярлык на раб столе «сканировать»
6. Ждем.
Готово. Антивирус напишет название файла в котором нашел вирус, у меня это был Auslogic defrag. Дефрагментировал комп называется. И так же он покажет пораженные файлы. Жмем излечить и комп здоров.
Удачи.
Майнер NT Kernel & System под видом Realtek HD
Дело было одним вечером, сижу я значит ничего не заподозрив, понимаю что уж сильно начал шуметь мой компьютер.
Подумал ну Яндекс браузер кушает процессор плюс видео в ютубе, ай да забыл я об этом.
Вдруг 4-ый день этого жёсткого звука меня пробило насквозь. Что-то тут не так.
При запуске компьютер только только появился рабочий стол процессор шумит с видеокартой на максимум.
Беру дело в руки открываю диспетчер для просмотра активности вижу спокойный результат.
Уши не обманешь слышу как кулеры в ПК становятся тише.
АГА ЗНАЧИТ ВОТ ОНО КАК, сразу в голову приходит мысль что тут что-то ведь не ладное.
Открываю я значит программу для просмотра FPS в играх (там ещё показывается температура, нагрузка всех цепей), закрываю диспетчер задач, вижу опа через секунд 15, что процессор что видеокарта идут в разрыв, понимаю что нада копать глубже.
Значит тут понимаю нужно смотреть резко в диспетчере тут опа вижу приложение которое всё кушало — NT Kernel & System, знаю есть такое в виндовсе решил копнуть глубже вижу что данная система отвечает за режим системы. Открыв информацию о нём, решил просмотреть где сидит данный процесс и получаю путь Program Data/Realtek HD
Я понимаю что программа виндовса которая отвечает за прерывание находится в папке с звуковыми драйверами, к тому же она полностью пустая. Вижу как мой диспетчер закрылся сам по себе.
Тут я уже всё понял и знал куда копать начал проверку на вирусы делать, нет ничего абсолютно.
Проверял я Microsoft Defender доверия к нему больше. В итоге 0
ставлю на скачку Dr.Web при установке выдавало ошибку постоянно.
Вирус начал закрывать установщик я психанул открыл диспетчер и просто закрывал этот вирусняк. В общем я установил его он запросил перезагрузку, я с вздохом перезагружаю ПК
Господи он начал сам перезагружаться 6 раз
На 7 выдало ошибку какую-то (жаль нету фоток)
Я с горем пополам вижу справа в углу мою любимую службу которую он заблокировал.
Читатели этого поста не задерживайтесь с проверкой на вирусы..
И берегите свои видеокарты от каких-то тварюк !
Скрытый майнер
Ни для кого не новость, что сейчас все "эти ваши интернеты" кишат вирусами-майнерами. Но зная об этом я всё равно такой где-то как-то словил. А заметил я его деятельность только потому, что он не умел прятаться в диспетчере задач. Естественно он шифровался под системные процессы, но делал это как-то палевно, ибо ну не может процесс GREP (утилита поиска строк) отжирать на 99% процессор. Ну загуглил что это за процесс такой и просто его удалил из системы, ибо мне он не нужен. Но при следующем же запуске этот майнер шифранулся под другим системным процессом, точно уже не помню, что-то связанное со справкой Windows. Ну также загуглил, также удалил из системы и так повторялось раз 5. Пока он не стал шифроваться уже под нужный мне процесс. Здесь я понял что, так до синего экрана доудаляюсь, и решил что-то придумать. Так как систему переустанавливать было в лом, да и слишком много было установлено программ для работы, решил это дело создав простую задачу в планировщике задач Windows. (Система у меня Windows 10, естественно, купленная за пиастры).
Благо если грохнуть процесс за которым прячется майнер, то он не возобновлял свою деятельность до следующей загрузки системы. Скопипастил простой скрипт на завершение процесса, подставил нужный процесс и разместил задание в планировщике, чтобы скрипт срабатывал через три минуты после старта системы (майнер стартовал каждый раз через разное время после пуска винды, но не позднее трёх минут) и вопрос был решён. Стоит оговориться, что перепробовал все типы антизаразы (антивирусы, антималвары и иже с ними, включая загрузочные флешки) и ниодна программа не смогла найти что-то подозрительное.
Ну вопщем жизнь продолжилась, я на коне, "великий победун майнера без переустановки винды".
Но в один прекрасный момент ребёнок сел посмотреть мультики в ютюбе и через пару минут системник просто вырубился. Никакой реакции на кнопку включения. Прохожу все основные этапы "Ничё не понимаю", в материнке остаётся только процессор, но кнопка питания также не оказывает никакого воздействия. И вот только когда я откинул питание процессора, материнка пыталась стартануть, мгновенно покрутив куллерами. Ну у меня сразу два подозрения, либо блок питания, либо материнка (процессор вне подозрения, ибо мировая статистика гласит, что шанс выхода его из строя нуль целых хрен десятых). Проверяю бп на рабочей системе, всё окай. Остаётся материнка. Тащу на работу админам мать и проц. Выясняется, что именно проц и накрылся (второй раз мне так везёт, причём первый раз amd 6000+ накрылся много веков назад, в этот раз Intel i5 4570). Ну делать нечего, наконец-то решаюсь перейти на Рязань. Собрал систему, винду не переустанавливал. Ну и естественно после перехода с 4х ядер на 6 двухпоточных, захотелось помериться пипирками с друзьями. Первым делом запускаю Aida64 и врубаю оверлей на температуру и загрузку процессора и немного прифигеваю. Только что я запускал тяжёлую игру и через диспетчер задач процессор грузился максимум на 7%. А тут я на рабочем столе, в фоне ничего не запущено, а аидовский оверлей мне показывает загрузку процессора 100% и температуру под 90 градусов! Открываю диспетчер задач, аидовский оверлей моментально показывает 1% загрузки и температура падает до 40 градусов. Закрываю диспетчер задач, нагрузка моментально 100%. Ради интереса попробовал несколько сторонних диспетчеров задач, история повторялась. В общем у меня был ещё один майнер, но уже по умнее другого. Он вообще не палился любым диспетчером. Но почему-то спалился именно аидой. Видимо эта тварь мне постоянно насиловала процессор и он в итоге сгорел. Остаётся загадкой какого хрена проц не тротлил или не вырубился по защите от перегрева? Ну и естественно проц забрал с собой на тот свет один канал оперативной памяти. Саму оперативку пока нет возможности проверить. В итоге винду всё-таки пришлось переустановить. И ещё есть подозрение, что майнер был подхвачен через те самые пиастры за которые "приобреталась" windows (но это не точно). Аиду поставил в автозагрузку. Надеюсь моя статья кому-нибудь спасёт процессор. Всем бобра!
P. S. Извиняюсь за велик и могуч русская языка!
Trojan.BtcMine — что это? (NsCpuCNMiner32.exe)
Приветствую. Цели современных вирусов уже давно не просто кража конфиденциальных данных, например пароли/логины. Но также использовать производительность ПК в собственных целях, например подбор пароля к аккаунтам, рассылка спама, организация DoS-атаки, добыча криптовалюты.
Trojan.BtcMine — что это такое?
Тип вируса — майнер, предназначенный для добычи криптовалюты на ПК за счет его ресурсов.
Майнер использует при установке установщик Nullsoft Scriptable Install System (NSIS). Данный установщик является альтернативной InstallShield, является легальным компонентом для установки многих программ.
Папка запуска майнера:
Работает под процессом NsCpuCNMiner32.exe.
Файлы майнера.
Trojan.BtcMine — функции
Майнер, в отличии от многих вирусов имеет специфические функции:
- При запуске пытается завершить работу ранее запущенных процессов. Возможно имеется ввиду процессы прошлого запуска трояна, к которым относятся: file0.exe, CNminer.exe, minerd.exe, cgminer.exe, key.exe (названия могут быть другие, зависит от версии вируса). Процессы завершаются при помощи скрытой работы командной строки (cmd.exe).
- Запуск майнера происходит из временной папки (%TEMP%) под процессом key.exe. После — производится запуск CNminer.exe из папки %AppData%\NsCpuCNMiner.
- Создается копия майнера в %APPDATA%\%USERNAME% при помощи командной строки. После, к данной папке открывается общий доступ из локальной сети. Возможно на случай, если кто-то заметит и заинтересуется, запустив исполняемый файл.
- Также сохранятся копия в папке Документы.
- Регулярно копирует себя в корень всех дисков ПК. Копии имеют значок WinRAR для создания иллюзии архива.
- Майнер может запускаться и пытаться получить доступ к ПК в сетевом окружении, перебирая пароли, используя собственную базу. При успешном подключении к ПК — троян пытается сохранить копию на удаленном ПК, после — запустить. Для запуска может использоваться WMI или планировщик задач. После успешного запуска — сохранят в текущей папке файлы NsCpuCNMiner32.exe, NsCpuCNMiner64.exe и pools.txt, после прописывается в автозагрузке (реестр).
- Также пытается подобрать пароль к вашей учетной записи Windows. Если получается — при наличии Wi-Fi адаптера пробует запустить открытую точку.
- Троян в определенное время обращается к управляющему серверу для получения некоторых данных, таких как кошельки, альтернативные IP-адреса сервера (запасные), ссылки на загрузку необходимых компонентов.
Trojan.BtcMine — как удалить?
Данный майнер обнаруживается в базе Доктора Веба. Дата обнаружения — 2015 год. Поэтому можно сделать вывод, что их утилита скорее всего сможет удалить Trojan.BtcMine.
Однако рекомендовано проверить ПК дополнительными утилитами против потенциально опасных модулей.
Используйте следующие утилиты:
-
— одна из лучших утилит против опасных вирусов, троянов, майнеров, ботнетов. Способна удалить серьезные опасные вирусы. Загружается уже с антивирусными базами, может весить около 100 мб. Длительность проверки зависит от количества файлов на диске. и HitmanPro — утилиты против рекламного/шпионского ПО. Отлично удаляют левые программы, которые вы не устанавливали, а также убирает рекламу с ПК. Проверяют: автозагрузку, реестр, планировщик задач, ярлыки браузеров и их профильные папки и многое другое. Утилиты направлены на удаление одной категории угроз, однако используют разные алгоритмы работы, поэтому рекомендуется проверить обоими, по очереди.
При отсутствии качественного антивируса рекомендую установить KasperskySecurity Cloud Free.
tool.btcmine
Здравствуйте после проверки утилитой Dr.Web CureIt! обнаружилось два файла, с вирусом как название темы. Переместил в карантн. В архиве все логи и отчеты программ (DrWebSysInfo,Dr.Web CureIt!,hijackthis)Помогите разобраться что делать.
Прикрепленные файлы:
- Doctor Web.7z3,26Мб 6 Скачано раз
Сообщение было изменено tadimon: 28 Февраль 2018 — 22:43
#2 Dr.Robot
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ — сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
— прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба — это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
4. При возникновении проблем с интернетом, таких как «не открываются сайты», в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа «Содержание сайта заблокировано» и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig