Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Bitcoin Miner Wirus, który nie chce dać się usunąć

rhimo 24 Wrz 2017 10:43 2379 15
  • #1 24 Wrz 2017 10:43
    rhimo
    Poziom 4  

    Witam wszystkich
    Chyba złapałem wirusa, BitcoinMiner-a. Nie chce dać się usunąć antywirusami. Chwilę po tym kiedy usuwam zainfekowane pliki powiadomienie o wirusie wyskakuje ponownie. I tak w kółko...
    Czy wirus mógł się dostać do kompa przez wyskakujące reklamy?
    Wklejam logi z OTL. Pomóżcie.

    0 15
  • Pomocny post
    #4 24 Wrz 2017 11:31
    krzychupar
    Poziom 41  

    Otwórz notatnik systemowy i wklej:
    Task: {03F41391-F3A5-4B02-AB73-7B3CBA3D1843} - System32\Tasks\{D1FE52A9-941D-4BA2-8DBF-0A554E29E712} => C:\Windows\system32\pcalua.exe -a G:\Setup.exe -d G:\
    Task: {1A4556E8-189F-4D48-B88B-81A8BD8F76B2} - System32\Tasks\{3C8C6182-6779-4122-8260-432D2DCD485F} => C:\Windows\system32\pcalua.exe -a J:\programy\Nero6\nero63117.exe -d J:\programy\Nero6
    Task: {AAFA5047-E278-4184-901D-582CB0528EC9} - System32\Tasks\{8CB37EEB-C815-49A3-BC6F-C2B9C705745F} => "c:\program files\internet explorer\iexplore.exe" hxxps://ui.skype.com/ui/0/7.33.0.104/pl/abandoninstall?page=tsProgressBar
    Task: {CECCEC79-C10E-45DB-B7CB-17103E7C25DF} - System32\Tasks\{EB9E77B6-FEF0-4208-865D-D52AA12BD830} => C:\Windows\system32\pcalua.exe -a "C:\Program Files\TeamSpeak 3 Client\plugins\ts3overlay\InstallHook.exe" -d "C:\Program Files\TeamSpeak 3 Client\plugins\ts3overlay\" -c ts3overlay_hook_win32.dll 10001
    Task: {FD8C8BE5-4BD8-4D2A-A4EC-CCEAB92B2F31} - System32\Tasks\{5156CA6C-1CAC-48A5-83A9-BB7A1EE57AFC} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\F-Secure\Uninstall\fsuninst.exe" -c /UninstRegKey:"F-Secure Anti-Virus"
    Task: {FFB59619-2318-48AE-9180-A98C6237F209} - System32\Tasks\{8D2E57E1-E8D1-4F32-9A8D-12766AF9C297} => C:\Windows\system32\pcalua.exe -a "C:\Users\Garvi\Desktop\Nowy folder\KD MAX DEMO pliki instalacyjne\setup.exe" -d "C:\Users\Garvi\Desktop\Nowy folder\KD MAX DEMO pliki instalacyjne"
    Hosts:
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-19\...\RunOnce: [IsMyWinLockerReboot] => msiexec.exe /qn /x{voidguid}
    HKU\S-1-5-20\...\RunOnce: [IsMyWinLockerReboot] => msiexec.exe /qn /x{voidguid}
    HKU\S-1-5-21-1555414959-3566746135-1843529842-1000\...\MountPoints2: F - F:\Setup.exe
    HKU\S-1-5-21-1555414959-3566746135-1843529842-1000\...\MountPoints2: {67049dea-fc6d-11e4-b51e-b870f4b068b2} - I:\Startme.exe
    HKU\S-1-5-21-1555414959-3566746135-1843529842-1000\...\MountPoints2: {c85c6f19-f6a0-11e3-83c8-ccaf7806b24a} - "F:\WD SmartWare.exe" autoplay=true
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    HKU\S-1-5-21-1555414959-3566746135-1843529842-1000\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => nie znaleziono
    CHR HomePage: Default -> amazon.com/websearch/?ie=UTF8__PARAM__
    CHR DefaultSearchURL: Default -> hxxps://www.amazon.com/websearch/?ie=UTF8__PARAM__&query={searchTerms}
    CHR DefaultSearchKeyword: Default -> amazon
    2017-09-24 10:38 - 2017-09-24 10:38 - 000095510 _____ C:\Users\Garvi\Desktop\Extras.Txt
    2017-09-24 10:38 - 2017-09-24 10:38 - 000000000 ____D C:\Users\Garvi\Downloads\FRST-OlderVersion
    2017-09-24 10:58 - 2017-09-24 10:58 - 002399744 _____ (Farbar) C:\Users\Garvi\Downloads\FRST64 (1).exe
    2017-09-24 10:27 - 2017-09-24 10:27 - 000095826 _____ C:\Users\Garvi\Desktop\OTL.Txt
    2017-09-24 10:26 - 2017-09-24 10:26 - 000095510 _____ C:\Users\Garvi\Downloads\Extras.Txt
    2017-09-24 10:25 - 2017-09-24 10:25 - 000095826 _____ C:\Users\Garvi\Downloads\OTL.Txt
    2017-09-24 10:04 - 2017-09-24 10:04 - 000602112 _____ (OldTimer Tools) C:\Users\Garvi\Downloads\OTL_[www.programosy.pl].exe
    2017-09-17 21:02 - 2017-09-17 21:03 - 000000000 ____D C:\b74d18fcac5d7b886d60ab66ae23fece
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze obok FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • Pomocny post
    #5 24 Wrz 2017 11:44
    Kolobos
    Spec od komputerów

    Napiszesz co dokladnie wykrywa antywirus i gdzie? Podaj pelna sciezke oraz nazwy plikow.


    Zmien Adobe Reader 9.1 MUI na najnowsza wersje AR lub Foxit -> http://ninite.com/foxit/

    Odinstaluj SpyBot.

    Wykonaj Fixlist.txt dla FRST:
    Task: {03F41391-F3A5-4B02-AB73-7B3CBA3D1843} - System32\Tasks\{D1FE52A9-941D-4BA2-8DBF-0A554E29E712} => C:\Windows\system32\pcalua.exe -a G:\Setup.exe -d G:\
    Task: {1A4556E8-189F-4D48-B88B-81A8BD8F76B2} - System32\Tasks\{3C8C6182-6779-4122-8260-432D2DCD485F} => C:\Windows\system32\pcalua.exe -a J:\programy\Nero6\nero63117.exe -d J:\programy\Nero6
    Task: {AAFA5047-E278-4184-901D-582CB0528EC9} - System32\Tasks\{8CB37EEB-C815-49A3-BC6F-C2B9C705745F} => "c:\program files\internet explorer\iexplore.exe" hxxps://ui.skype.com/ui/0/7.33.0.104/pl/abandoninstall?page=tsProgressBar
    Task: {CECCEC79-C10E-45DB-B7CB-17103E7C25DF} - System32\Tasks\{EB9E77B6-FEF0-4208-865D-D52AA12BD830} => C:\Windows\system32\pcalua.exe -a "C:\Program Files\TeamSpeak 3 Client\plugins\ts3overlay\InstallHook.exe" -d "C:\Program Files\TeamSpeak 3 Client\plugins\ts3overlay\" -c ts3overlay_hook_win32.dll 10001
    Task: {FD8C8BE5-4BD8-4D2A-A4EC-CCEAB92B2F31} - System32\Tasks\{5156CA6C-1CAC-48A5-83A9-BB7A1EE57AFC} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\F-Secure\Uninstall\fsuninst.exe" -c /UninstRegKey:"F-Secure Anti-Virus"
    Task: {FFB59619-2318-48AE-9180-A98C6237F209} - System32\Tasks\{8D2E57E1-E8D1-4F32-9A8D-12766AF9C297} => C:\Windows\system32\pcalua.exe -a "C:\Users\Garvi\Desktop\Nowy folder\KD MAX DEMO pliki instalacyjne\setup.exe" -d "C:\Users\Garvi\Desktop\Nowy folder\KD MAX DEMO pliki instalacyjne"
    HKLM-x32\...\Run: [] => [X]
    HKLM-x32\...\Run: [NeroFilterCheck] => C:\Windows\SysWOW64\NeroCheck.exe [155648 2001-07-09] (Ahead Software Gmbh)
    HKU\S-1-5-21-1555414959-3566746135-1843529842-1000\...\Run: [SpybotSD TeaTimer] => C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe [2260480 2009-03-05] (Safer-Networking Ltd.)
    HKU\S-1-5-21-1555414959-3566746135-1843529842-1000\...\MountPoints2: F - F:\Setup.exe
    HKU\S-1-5-21-1555414959-3566746135-1843529842-1000\...\MountPoints2: {67049dea-fc6d-11e4-b51e-b870f4b068b2} - I:\Startme.exe
    HKU\S-1-5-21-1555414959-3566746135-1843529842-1000\...\MountPoints2: {c85c6f19-f6a0-11e3-83c8-ccaf7806b24a} - "F:\WD SmartWare.exe" autoplay=true
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CodecPackUpdateChecker.lnk [2014-07-09]
    ShortcutTarget: CodecPackUpdateChecker.lnk -> C:\Windows\SysWOW64\C2MP\UpdateChecker.exe ()
    2017-09-24 10:38 - 2017-09-24 10:38 - 000000000 ____D C:\Users\Garvi\Downloads\FRST-OlderVersion
    2017-09-24 10:27 - 2017-09-24 10:27 - 000095826 _____ C:\Users\Garvi\Desktop\OTL.Txt
    2017-09-24 10:26 - 2017-09-24 10:26 - 000095510 _____ C:\Users\Garvi\Downloads\Extras.Txt
    2017-09-24 10:25 - 2017-09-24 10:25 - 000095826 _____ C:\Users\Garvi\Downloads\OTL.Txt
    2017-09-24 10:04 - 2017-09-24 10:04 - 000602112 _____ (OldTimer Tools) C:\Users\Garvi\Downloads\OTL_[www.programosy.pl].exe

    0
  • #6 24 Wrz 2017 12:01
    rhimo
    Poziom 4  

    Zrobiłem jak pisał krzychupar. Nie znam się na tyle, żeby stwierdzić czy już wszystko jest w porządku, dlatego wklejam pliki z FRST-a.
    Czy już wszystko jest ok?

    EDIT
    Kolobos:
    Antywirus wykrywa mi zainfekowane pliki w: C:\Users\Garvi\AppData\Local\Chromium\User Data\f_008d3. Po każdym skanowaniu plik (f_008d3) antywirus wyświetlał inną nazwę zainfekowanego pliku; były to nazwy jak: f_008d4, f_008d38 itd. W alercie powiadamiał, że plik ten znajduje się w archiwum (jak np zip) i nie może go usunąć. Pliki o podobnych nazwach znalazłem w folderze Ceche, ale docelowego pliku tam nie było. Dlatego usuwałem cały folder Ceche. Ale to nic nie dawało. W kółko - wyskakiwało powiadomienie o infekcji -> kasowałem cały folder Ceche. Po jakimś czasie znowu wyskakiwało okienko o infekcji, więc kasowałem Ceche.
    Po jakimś czasie domyśliłem się, że wirus może być związany z wyskakującymi okienkami reklam na stronie alltuve.tv lub też z samą stroną alltube.tv... Po otwarciu jej na drugim komputerze zaczęła się zabawa z infekcją plików przez Bitcoina. Teraz mam to samo na drugim urządzeniu...
    Wracając do tematu - czy tutaj w tym temacie mogę się już nie martwić, czy wirus jeszcze się gdzieś czai ?

    Scaliłem. RADU23

    0
  • #7 24 Wrz 2017 15:31
    Kolobos
    Spec od komputerów

    Wchodzisz na strone na ktorej jest Bitcoin Miner, dlatego pliki ciagle sie tworza.

    0
  • #8 24 Wrz 2017 16:00
    rhimo
    Poziom 4  

    Tak właśnie myślałem, dzięki :)
    Czy teraz komputer jest już wolny od BitcoinMiner-a?

    0
  • Pomocny post
    #9 24 Wrz 2017 16:04
    Kolobos
    Spec od komputerów

    Na to wyglada, takie koparki dzialaja tylko po wejsciu na strone, nie infekuja komputera. Dlatego plik jest wykrywany w cache.

    0
  • #10 24 Wrz 2017 16:09
    rhimo
    Poziom 4  

    Pytam bo nie byłem pewien. Dziękuję za pomoc.
    Kiedy zainfekował mi się drugi komputer BitcoinMiner-em przeskanowałem go antywirusem, ale (jak wcześniej na poprzednim urządzeniu) nie usunął plików. Usunąłem je ręcznie, ale przeglądarka nadal muli i podczas używania zajmuje do 99% pamięci. Wydaje mi się, że wirus nadal siedzi w komputerze. Niżej umieszczam pliki z FRST-a, sprawdź proszę czy wszystko w porządku.

    0
  • Pomocny post
    #11 24 Wrz 2017 16:16
    Kolobos
    Spec od komputerów

    W logach widac, ze antywirus wykryl:
    Error: (09/24/2017 01:03:52 PM) (Source: F-Secure Anti-Virus) (EventID: 103) (User: )
    Description: 2 2017-09-24 13:03:52+02:00    \misio F-Secure Anti-Virus
    Spyware detected:
    Type: riskware
    Family:
    Name: Application.BitCoinMiner.SX
    Object: C:\Documents and Settings\misio\Local Settings\Application Data\Chromium\User Data\Default\Cache\f_00006c

    Error: (09/24/2017 01:03:52 PM) (Source: F-Secure Anti-Virus) (EventID: 103) (User: )
    Description: 1 2017-09-24 13:03:52+02:00    \misio F-Secure Anti-Virus
    Spyware detected:
    Type: riskware
    Family:
    Name: Application.BitCoinMiner.SX
    Object: C:\Documents and Settings\misio\Local Settings\Application Data\Chromium\User Data\Default\Cache\f_00006a

    Zapewne usunal.

    Zmien Adobe Reader 9.5.0 - Polish na najnowsza wersje AR lub na Foxit: http://ninite.com/foxit/

    Odinstaluj:
    mks_vir Skaner Online
    Spybot - Search & Destroy

    Wpisow z tej modyfikowanej wersji Chrome i tak nie widac w logach, wiec sa zbedne.

    Fixlist.txt dla FRST:
    HKLM\...\Run: [] => [X]
    Winlogon\Notify\SDWinLogon: SDWinLogon.dll [X]
    HKU\S-1-5-21-2052111302-725345543-682003330-1004\...\Run: [CW] => [X]
    HKU\S-1-5-21-2052111302-725345543-682003330-1004\...\MountPoints2: {169f3d68-b7bc-11e5-832f-00166f916797} - "F:\WD SmartWare.exe" autoplay=true
    HKU\S-1-5-21-2052111302-725345543-682003330-1004\...\MountPoints2: {5a043882-33d6-11e7-8417-00166f916797} - F:\HiSuiteDownLoader.exe
    IFEO\Your Image File Name Here without a path: [Debugger]
    BootExecute: autocheck autochk * sdnclean.exe
    CHR HKLM\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-2052111302-725345543-682003330-1004\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
    2017-09-02 13:02 - 2017-09-02 13:27 - 000002432 _____ C:\Documents and Settings\misio\Local Settings\Tempfo1596.html
    2017-09-02 13:02 - 2017-09-02 13:27 - 000002089 _____ C:\Documents and Settings\misio\Local Settings\TempyH1596.html
    2017-09-24 10:51 - 2017-08-02 18:55 - 000000602 _____ C:\WINDOWS\Tasks\Check for updates (Spybot - Search & Destroy).job
    2017-01-14 13:37 - 2017-01-14 13:37 - 002174976 _____ (Advanced Micro Devices Inc.) C:\Program Files\Common Files\atimpenc.dll
    2016-01-10 21:11 - 2016-01-10 21:11 - 000000038 __SHC () C:\Documents and Settings\misio\Local Settings\Application Data\69ff07055291669bb2b218.72821112



    Zawsze mozesz tez usunac przegladarke razem z katalogiem profilu C:\Documents and Settings\misio\Local Settings\Application Data\Chromium\ i zainstalowac ponownie.
    Wczesniej zrob kopie zakladek itp. o ile sa potrzebne.

    0
  • #13 24 Wrz 2017 19:04
    Kolobos
    Spec od komputerów

    Przeciez juz zamiesciles logi z tego komputera, w poprzednim poscie na ktory odpisalem.

    0
  • #14 24 Wrz 2017 20:47
    rhimo
    Poziom 4  

    Wkleiłem pliki z FRST-a po zmianie fixlist.txt (jak opisałeś o 16:16).

    0
  • #15 24 Wrz 2017 20:51
    Kolobos
    Spec od komputerów

    W jakim celu skoro napisalem Ci, ze zawartosci cache jak i wpisow z tej przegladarki nie widac w logach? To co podalem to tylko pare zbednych wpisow, nie musisz zamieszczac logow.

    0
  • #16 24 Wrz 2017 20:55
    rhimo
    Poziom 4  

    Ok. Dziękuję za pomoc i pozdrawiam. Temat do zamknięcia.

    0