Złośliwe oprogramowanie - BitCoinMiner

medium0 · 1 Październik 2017 18:46

Witam wszystkich.

Postanowiłem odezwać się tutaj ponieważ zderzyłem się ze ścianą - o dziwo pierwszy raz. Odpalam dzisiaj rano laptopa i Malwarebytes Antimalware (wersja bezpłatna) wyrzuca mi info o złośliwym oprogramowaniu o nazwie RiskWare.BitCoinMiner. Ścieżka dostępu do pliku to C:\Disk\securedisk.exe. W tym foljderze znajduje się jeszcze jeden plik o nazwie WebService.exe. Nie jestem w stanie ich usunąć ponieważ wyskakuje komunikat że używane są przez inne programy w tle. Wchodzę w procesy i również nie jestem w stanie ich zamknąć. Malwarebytes tylko odkłada mi ten plik securedisk.exe do kwarantanny co parę sekund i każe restartować laptopa żeby to usunąć. Oczywiście nic to nie daje. AdwCleaner tak samo nie jest w stanie tego nawet znaleźć. Szczerze mówiąc nie wiem jak się zabrać za to bo próbowałem jeszcze innych programów ale żaden nie przyniósł rezultatu.

Bogdan_G · 1 Październik 2017 18:59

Gdybyś podał, jaki masz system, bo są sposobu do windows 7 usunąć każdy plik podczas restartu. Zanim się wirus załaduje, może być usunięty.
Druga strona medalu, to posprzątać po wirusie. Gdy zapewne przeczytałeś pierwszy przypięty temat działu bezpieczeństwa, to wykonaj skanowanie programem FRST i daj linki do wymaganych logów.

Odinstaluj MBAM, skoro nie potrafi pomóc. RogueKiller potrafi doraźnie uporać się z procesami wirusa, jak i tym minerem.

krystian3w · 1 Październik 2017 19:08

ZeroGhost · 1 Październik 2017 19:22

Ciekawy wpis na temat Coinhive https://zaufanatrzeciastrona.pl/post/uwazajcie-bo-znane-strony-www-kopia-kryptowaluty-na-waszych-komputerach/
Jeśli używasz uBlock origin dodaj do zakładki "Moje filtry"
https://coin-hive.com/lib/coinhive.min.js
Jest też wpis na AVLab https://avlab.pl/jak-sie-zabezpieczyc-przed-javascriptowymi-koparkami-kryptowalut

krystian3w · 1 Październik 2017 19:26

To powinno być w liście “uBlock Origin – Resource-abuse filters” (powinna się każdemu domyślnie zasubskrybować np. przy aktualizowaniu filtrów ręcznie)

github.com

uBlockOrigin/uAssets/blob/master/filters/resource-abuse.txt

! uBlock Origin -- Resource-abuse filters
!
! To foil sites potentially abusing CPU/bandwidth resources without informed
! consent. Any such resource-abuse scripts MUST be opt-in, with complete
! informed consent from the visitor.

! https://github.com/uBlockOrigin/uAssets/issues/659
||edgeno.de^$script,third-party,domain=~edgemesh.com
/edgemesh.*.js$script,domain=~edgemesh.com|~edgeno.de

! https://github.com/uBlockOrigin/uAssets/issues/690
||coin-hive.com^$third-party
||coinhive.com^$third-party
||cnhv.co^$third-party

! https://github.com/uBlockOrigin/uAssets/pull/706
||jsecoin.com^$third-party

! https://github.com/uBlockOrigin/uAssets/pull/725
||minemytraffic.com^$third-party

This file has been truncated. show original

medium0 · 1 Październik 2017 19:39

FRST.txt (56,7 KB)

Wrzucam logi z programu FRST. Mój system to Windows 7. Przed chwilą sprawdziłem tego RogueKiller to nie pomógł. Znalazł plik securedisk.exe ale tylko niby zatrzymał proces - dalej nie da się go usunąć.

Mogę wrzucić tylko jeden plik. Ta strona wklej.org nie chce mnie puścić

Acorus · 2 Październik 2017 06:54

Jeszcze Addition.txt

krystian3w · 2 Październik 2017 07:35

Najlepiej też dodaj additon.txt jako załącznik w nowej odpowiedzi jak ostatnio.

medium0 · 2 Październik 2017 09:28

Addition.txt (28,1 KB)

Dodane.

Acorus · 2 Październik 2017 15:27

a.txt (2,6 KB)

medium0 · 2 Październik 2017 17:58

Wykonałem wszystko tak jak zapisałeś w tym pliku i niestety nic to nie dało.

Acorus · 2 Październik 2017 18:29

Pokaż log z usuwania i nowy raport z FRST bez Addition i Shortcut.

medium0 · 2 Październik 2017 19:13

Fixlog.txt (6,3 KB)

medium0 · 2 Październik 2017 19:14

FRST.txt (55,7 KB)

daras28-82 · 3 Październik 2017 02:41

Też się z tym zderzyłem, systemowy Defender na dyszce się tym badziewiem pożywił.

medium0 · 3 Październik 2017 07:29

No a ja niestety nie mogę się tego pozbyć.

Acorus · 3 Październik 2017 07:29

b.txt (467 bajtów)

medium0 · 3 Październik 2017 08:18

Wygląda na to że problem zniknął. Dzięki wielkie za pomoc. Mam jeszcze pytanie - jakich programów zabezpieczających używacie? Jakieś antywirusy czy bardziej antymalware typu AdwCleaner. Mogą być płatne byleby zapewniały dobrą ochronę ale nie zamulały systemu jak Avasty i inne podobne.

Acorus · 3 Październik 2017 08:24

Pobierz >>>DelFix<<< http://www.bleepingcomputer.com/download/delfix/dl/281/
Zaznacz opcje:
Remove disinfection tools
Kliknij przycisk Run.

medium0 · 3 Październik 2017 08:37

Zrobione tyle że wywaliło mi AdwCleanera no ale to nie problem. Więc jest coś warte polecenia do stałej ochrony?