tool.btcmine как найти источник

Описание: Любые вопросы касающиеся компьютерной безопасности. Обсуждение антивирусов, фаерволов, а также помощь в лечении компьютера.
Правила раздела: http://pc-forums.ru/topic1880.html
Модератор: Junior

#1 тоха79 » 28.05.2014, 17:28

добрый день,подскажите что делать dr.web cureit находит 6 заражённых файлов tool.btcmine,лечит из или перемещает или я их сам удаляю ни чего не помогает,после перезагрузки эта дрянь появляется снова,раньше dr.web cureit решал этот вопрос,а сейчас какая то проблема,скажите можно как нибуть обнаружить источник от куда это всё появляется,я просто с этими логами и скриптами весь мозг себе уже вынес и так и не понял как их сделать,есть ещё какие варианты как избавится от этого дерьма?
тоха79
Автор темы, Активист форума
Активист форума
Репутация: 6
Лояльность: 11 (+11/−0)
Сообщения: 428
Темы: 45
Зарегистрирован: 03.07.2012
С нами: 4 года 5 месяцев

tool.btcmine как найти источник

 

#2 Junior » 28.05.2014, 17:31

тоха79, Windows в режиме защиты запускаете?
Смотрите автозагрузку, да и вебер пишет где убивает.
Родители! Оградите своих детей от интернета! Интернет от них тупеет! :crazy:
DrWeb, халява на три месяца - перейти по ссылке
Junior M В сети
Главные модераторы
Главные модераторы
Аватара
Откуда: Из страны пионЭров с отверткой.
Репутация: 1164
Лояльность: 3 (+186/−183)
Сообщения: 16666
Темы: 33
Зарегистрирован: 23.02.2012
С нами: 4 года 9 месяцев

 

#3 тоха79 » 28.05.2014, 17:57

Junior где убивает я и сам знаю я их от туда удалял и оттуда и из карантина,я тут нашёл решение но до конца не могу разобраться,если бы ты помог я бы был очень признателен,мне нужно было найти файл который запускает эту хрень а он замаскирован,я эти мины удаляю когда доктор их находит а они потом снова появляются,вычитал что нужно найти файл который их запускает,всё сделал но какой файл не могу понять,короче проще ссылку я кину и ты сам посмотри пожалуйста. вот перейти по ссылке я это сделал но какой файл не пойму.
тоха79
Автор темы, Активист форума
Активист форума
Репутация: 6
Лояльность: 11 (+11/−0)
Сообщения: 428
Темы: 45
Зарегистрирован: 03.07.2012
С нами: 4 года 5 месяцев

#4 Junior » 28.05.2014, 18:07

тоха79, Смотрите автозагрузку, очищайте все темпы и в винте и в папках пользователя. Оно с неба не падет.
C:\Users\***\AppData\Local\Temp
C:\Users\***\AppData\Roaming
И т.д.
И на вопрос вы не ответили.
Есть другой путь -
arkalik писал(а):Передайте образ автозапуска uVS: перейти по ссылке
Родители! Оградите своих детей от интернета! Интернет от них тупеет! :crazy:
DrWeb, халява на три месяца - перейти по ссылке
Junior M В сети
Главные модераторы
Главные модераторы
Аватара
Откуда: Из страны пионЭров с отверткой.
Репутация: 1164
Лояльность: 3 (+186/−183)
Сообщения: 16666
Темы: 33
Зарегистрирован: 23.02.2012
С нами: 4 года 9 месяцев

 

#5 тоха79 » 28.05.2014, 18:16

Junior в режиме защиты это безопасный режим? если да,то что даёт запуск в безопасном режиме,в безопасном режиме у меня проблем нет так как интерне не доступен,в атозагрузге нет ни чего лишнего,а вот темпы сейчас удалю,кстати вирусы мины как рас находятся здесь Roaming её удалить полностью вернее то что в ней находится? точнее не в Roaming а в ней есть ещё apple computer вот в ней вирусы доктор находит.
тоха79
Автор темы, Активист форума
Активист форума
Репутация: 6
Лояльность: 11 (+11/−0)
Сообщения: 428
Темы: 45
Зарегистрирован: 03.07.2012
С нами: 4 года 5 месяцев

#6 Junior » 28.05.2014, 18:25

Да, безопасный, в нём антивирусу проще работать, т.к. большинство процессов заблокировано. Раньше это сам курит делал, потом почему то этот режим убрали.
А в папке Roaming смотрите странные/подозрительные названия и в корне папки не должно быть ничего.
Пример
Изображение
Родители! Оградите своих детей от интернета! Интернет от них тупеет! :crazy:
DrWeb, халява на три месяца - перейти по ссылке
Junior M В сети
Главные модераторы
Главные модераторы
Аватара
Откуда: Из страны пионЭров с отверткой.
Репутация: 1164
Лояльность: 3 (+186/−183)
Сообщения: 16666
Темы: 33
Зарегистрирован: 23.02.2012
С нами: 4 года 9 месяцев

 

#7 тоха79 » 28.05.2014, 18:29

в корне не должно быть файлов? только папки? если да то файлов нет.
в local\temp есть три файла непонятных и они не удаляются "etilcqs-и непонятный набор букв"
вот опять запустился вирус.
тоха79
Автор темы, Активист форума
Активист форума
Репутация: 6
Лояльность: 11 (+11/−0)
Сообщения: 428
Темы: 45
Зарегистрирован: 03.07.2012
С нами: 4 года 5 месяцев

#8 Junior » 28.05.2014, 18:38

тоха79 писал(а):в local\temp есть три файла непонятных и они не удаляются "etilcqs-и непонятный набор букв"
С LiveCD/USB убивается всё, в безопасном тоже многое доступно.
Родители! Оградите своих детей от интернета! Интернет от них тупеет! :crazy:
DrWeb, халява на три месяца - перейти по ссылке
Junior M В сети
Главные модераторы
Главные модераторы
Аватара
Откуда: Из страны пионЭров с отверткой.
Репутация: 1164
Лояльность: 3 (+186/−183)
Сообщения: 16666
Темы: 33
Зарегистрирован: 23.02.2012
С нами: 4 года 9 месяцев

 

#9 тоха79 » 28.05.2014, 19:08

всё сделал но один хрен не могу найти файл который запускает вирус.
буду искать в процессах файл который запускает этот вирус,другого ни чего не придумаю.
тоха79
Автор темы, Активист форума
Активист форума
Репутация: 6
Лояльность: 11 (+11/−0)
Сообщения: 428
Темы: 45
Зарегистрирован: 03.07.2012
С нами: 4 года 5 месяцев

#10 Junior » 28.05.2014, 19:44

тоха79 писал(а):другого ни чего не придумаю.
Есть другой путь -
arkalik писал(а):Передайте образ автозапуска uVS: перейти по ссылке
Родители! Оградите своих детей от интернета! Интернет от них тупеет! :crazy:
DrWeb, халява на три месяца - перейти по ссылке
Junior M В сети
Главные модераторы
Главные модераторы
Аватара
Откуда: Из страны пионЭров с отверткой.
Репутация: 1164
Лояльность: 3 (+186/−183)
Сообщения: 16666
Темы: 33
Зарегистрирован: 23.02.2012
С нами: 4 года 9 месяцев

#11 тоха79 » 28.05.2014, 19:50

Junior попробую сделать. перейти по ссылке надеюсь получилось
доктор обнаружил C:\Users\Anton\AppData\Roaming\Apple Computer\diakgcn121016.cl - quarantined
C:\Users\Anton\AppData\Roaming\Apple Computer\phatk121016.cl - quarantined
C:\Users\Anton\AppData\Roaming\Apple Computer\diablo130302.cl - quarantined
C:\Users\Anton\AppData\Roaming\Apple Computer\poclbm130302.cl - quarantined
C:\Users\Anton\AppData\Roaming\Apple Computer\scrypt130511.cl - quarantined
C:\Users\Anton\AppData\Roaming\Apple Computer\chrome.exe - quarantined
вот эти 6-ть файлов которые я удаляю или лечу и они потом всё равно появляются и грузят систему.скажу сразу хрома у меня отрадясь небыло.
тоха79
Автор темы, Активист форума
Активист форума
Репутация: 6
Лояльность: 11 (+11/−0)
Сообщения: 428
Темы: 45
Зарегистрирован: 03.07.2012
С нами: 4 года 5 месяцев

#12 DDX777 » 28.05.2014, 23:28

тоха79, можно попробовать через автозагрузку выявить эту заразу. Скрины из проги Autoruns перейти по ссылке выложите (вкладки Logon, sheduled tasks, services).
Одни зацикливаются на задаче, другие же ищут решение, - как поступать решать вам.
DDX777 M
Эксперт
Эксперт
Аватара
W W
Возраст: 24
Откуда: Черкесск, КЧР, Россия
Репутация: 357
Лояльность: 237 (+237/−0)
Сообщения: 5462
Темы: 68
Зарегистрирован: 31.03.2012
С нами: 4 года 8 месяцев

#13 тоха79 » 29.05.2014, 06:51

сделал перейти по ссылке перейти по ссылке перейти по ссылке

Добавлено спустя 1 час 6 минут:
вчера открыл мой компьютер забил в поиске chrome.exe и выдало мне один файлик точно не помню название но вроде java(tm) 6 удалил его и сейчас уже полтора часа сижу,пока всё ровно,но посмотрим что дальше будет.
тоха79
Автор темы, Активист форума
Активист форума
Репутация: 6
Лояльность: 11 (+11/−0)
Сообщения: 428
Темы: 45
Зарегистрирован: 03.07.2012
С нами: 4 года 5 месяцев

#14 DDX777 » 29.05.2014, 09:41

Удаляем все что зачеркнул
Нажмите, чтобы показать/скрыть...
Изображение
Изображение
Изображение
Также желательно взглянуть на скрины автозагрузки и из Ccleaner(вкладки Windows и Запланированные задачи), бывают случаи когда эти проги видят автозагрузку не полностью.
Одни зацикливаются на задаче, другие же ищут решение, - как поступать решать вам.
DDX777 M
Эксперт
Эксперт
Аватара
W W
Возраст: 24
Откуда: Черкесск, КЧР, Россия
Репутация: 357
Лояльность: 237 (+237/−0)
Сообщения: 5462
Темы: 68
Зарегистрирован: 31.03.2012
С нами: 4 года 8 месяцев

#15 тоха79 » 29.05.2014, 12:24

спасибо,но проблема вроде бы решена, пока всё работает нормально,но удалю всё равно что вы сказали,спасибо.
то что просили если я правильно понял перейти по ссылке перейти по ссылке
тоха79
Автор темы, Активист форума
Активист форума
Репутация: 6
Лояльность: 11 (+11/−0)
Сообщения: 428
Темы: 45
Зарегистрирован: 03.07.2012
С нами: 4 года 5 месяцев

#16 DDX777 » 29.05.2014, 14:25

Отсюда тоже удаляем все что зачеркнул:
Нажмите, чтобы показать/скрыть...
Изображение
Изображение
Одни зацикливаются на задаче, другие же ищут решение, - как поступать решать вам.
DDX777 M
Эксперт
Эксперт
Аватара
W W
Возраст: 24
Откуда: Черкесск, КЧР, Россия
Репутация: 357
Лояльность: 237 (+237/−0)
Сообщения: 5462
Темы: 68
Зарегистрирован: 31.03.2012
С нами: 4 года 8 месяцев

#17 тоха79 » 29.05.2014, 15:19

спасибо большое,DDX777 а можешь подсказать какие не нужные службы можно отключить так же скрины выложу,я просто боюсь что то нужное выключить. хотя это уже другая тема.
тоха79
Автор темы, Активист форума
Активист форума
Репутация: 6
Лояльность: 11 (+11/−0)
Сообщения: 428
Темы: 45
Зарегистрирован: 03.07.2012
С нами: 4 года 5 месяцев


  • Понравилась тема? Поделись с друзьями!

Вернуться в Безопасность компьютера