Tool btcmine 2449 что это
Майнер вирус, Tool BtcMine 652 лечение, максимальная загруженность графического чипа в режиме простоя ПК
Доброго времени суток.
Недавно приобрел новую видеокарту GeForce GTX 970. Стоящая вещь, но спустя неделю заметил при помощи утилиты мониторинга карты, что ее температура в простое варьируется в пределах от 70 до 75С, а загруженность графического чипа (GPU Usage) в простое составляет 95%. Первое время думал на железо, но после гугления проблемы начал подозревать, что подцепил вирус. Предположения подтвердилось, когда вытащил из компьютера сетевой кабель, температура и загруженность графического процессора сразу пришли в норму. Скачал Dr. Web CureIt и при сканировании он обнаружил 3 вируса с пометкой Tool BtcMine 652. Проблема заключается еще и в том, что после обнаружения вируса при попытке удалить его или просто добавить в карантин появляется синий экран и система просто отрубается (dumping physical memory или что-то по типу того). Помимо всего прочего, вирус ограничил меня в правах администратора, (система — Windows 7 64-bit)в графе пользователей помимо моего профиля и системы появился сторонний пользователь с пометкой «Особый доступ», которую никак нельзя убрать. Очень прошу помочь в лечении, так как все помещенные и удаленные файлы вирус автоматически подкачивает при следующей загрузке системы с доступом в интернет. Все необходимые логи и отчеты прилагаю.
P.S. Лог от CureIt не прикрепляется, т.к. весит больше 2 Мб, вместо него прикрепляю лог от hijackthis.
Прикрепленные файлы:
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Для этого проделайте следующее:
Майнеры атакуют: как распознать и уничтожить вредителя
Майнеры – довольно старый по меркам информационной безопасности тип вредоносных программ, стремительно набравший популярность с началом бурного роста стоимости криптовалют. Специалисты антивирусной компании «Доктор Веб» проанализировали работу этих троянцев и готовы рассказать, как они попадают на ПК и как с этим бороться.
Майнинг (от англ. Mining — «добыча») — способ заработка современных цифровых валют, самой известной из которых является биткойн. Для добычи требуются серьезные вычислительные мощности — и, по мнению злоумышленников, их можно «позаимствовать» у простых пользователей. Слово «майнинг» точно передает действия злоумышленников: заработанные ими деньги — действительно добыча, которую они получают с зараженных компьютеров.
Не секрет, что современные домашние и офисные компьютеры — намного мощнее, чем того требует большинство повседневных задач. А для сервера наличие избыточной мощности — необходимость на случай пиковых нагрузок, которые в разы превышают обычные показатели.
С использованием этих мощностей на ПК может незаметно выполняться множество задач, о которых пользователь не знает, — и не узнает, если закравшаяся в систему программа не начнет «наглеть».
Что такое майнеры?
Майнеры — довольно старый по меркам ИБ тип вредоносных программ, стремительно набравший популярность с началом бурного роста стоимости криптовалют.
В общем случае это программы, которые тайно устанавливаются на компьютеры (да и на серверы тоже) и занимаются вычислениями, необходимыми для получения криптовалют. Во многих публикациях утверждается даже, что майнеры не относятся к вредоносным программам. Разумеется это не так. Даже не считая того, что запущенный майнер мешает пользователю работать на ПК, любой майнер обладает классическими признаками вредоносной программы. В первую очередь, скрытая установка на компьютер — вредоносная программа устанавливается, не оповещая пользователя совсем или сообщая о своем функционале лишь частично.
На данный момент майнеры — одни из самых распространенных вредоносных программ. Для наглядности можно открыть вирусную базу Dr.Web и выделить все записи, в которых есть слово mine.
Этот скриншот содержит лишь часть майнеров, попавших в вирусную базу в течение одного дня. На самом деле их раза в два-три больше. В СМИ попадает информация лишь о ничтожной доле вредоносных программ, рассказать обо всех — задача нереальная. Поэтому их просто ловят 🙂
Как распространяются майнеры?
Эти вредоносные программы называются «троянцы-майнеры». Не вирусы и не черви, а именно троянцы. Напомним, что троянцы — это тип вредоносных программ, самостоятельно распространяться не умеющих. Для проникновения на компьютер, а иногда и для запуска, им нужна помощь пользователя.
Криптовалюта Bitcoin была создана в 2009 году. Троянец, в название которого вошло слово «mine», появился через два года — в 2011.
Собственно, Trojan.BtcMine.1 майнером не являлся – для майнинга он использовал две легитимные программы. Забавно, что майнер этот был очень «жадным»: вторая программа майнинга загружалась им именно для того, чтобы максимально загрузить компьютер расчетами. На иллюстрации можно увидеть нагрузку на процессор, которую создает программа-майнер, запущенная троянцем Trojan.BtcMine.1.
Внимание! Самостоятельное удаление майнера может быть опасно, так как эти вредоносные программы способны этому противодействовать. Так, Trojan.BtcMine.1978, предназначенный для добычи криптовалют Monero (XMR) и Aeon запускается в качестве критически важного системного процесса, при попытке завершить который Windows аварийно прекращает работу и демонстрирует «синий экран смерти» (BSOD).
Использование легитимных программ в целях майнинга оказалось для киберпреступников невыгодно. Такие программы не скроешь от пользователя — их видно с списке запущенных приложений. И, соответственно, их легко обнаружить и удалить (или перенастроить).
Троянцы в шкуре безобидных приложений
На сегодняшний день наряду с майнерами, использующими легитимные программы, появились специально созданные троянцы, уже полностью учитывающие специфику преступного бизнеса. Они могут не отображаться в списке процессов и/или ограничивать потребление ресурсов.
Вот, скажем, достаточно старый Trojan.BtcMine.218 (для сравнения: майнер, попавший в вирусную базу Dr.Web в конце января 2018 года, имеет номер 2025). Данный майнер распространялся под видом «погодного тулбара». Он действительно устанавливал безобидный «погодный информатор» SmallWeatherSetup.exe, но вместе с ним — еще и вредоносную программу Tool.BtcMine.130.
Естественно, Trojan.BtcMine.218 – не единственная вредоносная программа, распространяющаяся под видом безобидной, получить троянца можно, скачав чит, трейнер кряк и т. п.
Этот майнер прославился тем, что его создатель забыл удалить собственное имя из вредоносной программы.
А вот Trojan.BtcMine.737 — уже плод сотрудничества нескольких злоумышленников. В качестве майнера преступники используют утилиту другого разработчика, которую Dr.Web детектирует как программу из семейства Tool.BtcMine. Создатель этой утилиты распространяет ее на условии оплаты комиссии в размере 2,5% от всей добытой с ее помощью криптовалюты.
Широкая востребованность майнеров привела к тому, что в Сети появилось множество предложений по разработке вредоносных программ подобного вида – образцов кода, на основе которого можно создать майнер, в Интернете достаточно много. В связи с этим напоминаем, что не только распространение вредоносных программ, но и их создание является уголовно наказуемым деянием.
Как вирус распространяется и скрывается
На данный момент заработать новую единицу криптовалюты достаточно сложно, тем более если майнер не забирает все ресурсы компьютера под себя. Поэтому майнеры работают в составе ботнетов — сетей зараженных ПК. Ну а поскольку число зараженных компьютеров для успешного майнинга должно быть велико, то зачастую обнаруживают майнер достаточно быстро.
Майнеры могут попасть на компьютер в результате заражения другими троянцами. СМИ в основном упоминают майнеров и шифровальщиков, в то время как, скажем, вариантов загрузчиков Trojan.DownLoader или Trojan.MulDrop в день создается в несколько раз больше, чем энкодеров.
Чем опасны такие троянцы? Особого вреда они не наносят, но зачастую бороться с ними тяжелее, чем с шифровальщиками. Установившись на компьютер первыми, они анализируют его состояние и загружают необходимые модули. В том числе может быть загружен и модуль майнинга.
Ну и, естественно, майнеры пытаются удалить антивирус. В качестве примера можно привести Trojan.BtcMine.1978, который пытается удалить службы антивирусов Dr.Web, Windows Live OneCare, «Антивируса Касперского», ESET Nod32, Emsisoft Anti-Malware, Avira, 360 Total Security и Windows Defender.
Иногда майнинг служит для злоумышленников лишь побочным заработком. Так, основное предназначение троянца Trojan.Mods.10 — подмена веб-страницам, а для Trojan.Tofsee — рассылка спама.
Для каких операционных систем существуют майнеры? Для всех используемых: Windows, macOS, Linux, Android …
Первые варианты Android.CoinMine относятся к 2014 году. Эти вредоносные программы распространяются в модифицированных версиях популярных приложений и активизируются в те моменты, когда зараженное мобильное устройство находится в режиме ожидания.
Внимание! Эти троянцы влияют не только на время работы аккумулятора и повышают температуру интенсивно работающих компонентов устройства. Сообщалось о взрывах перегретых аккумуляторов мобильных устройств.
Майнеры под видом плагинов для браузеров
Еще один вид майнеров — плагины для браузеров. В данном случае также используется известное приложение со встроенным вредоносным кодом. Иногда злоумышленники создают и раскручивают вредоносное приложение с именем, похожим на название популярной программы.
В качестве примера можно привести Tool.BtcMine.1046. Плагин SafeBrowse для браузера Google Chrome был предназначен для заработка широкого спектра криптовалют — Monero, Dashcoin, DarkNetCoin и т. д.
Или более древний Trojan.BtcMine.221, предназначенный для добычи криптовалюты Litecoin. Распространялся с нескольких принадлежащих злоумышленникам веб-сайтов под видом различных приложений — например, надстройки к браузеру, якобы помогающей в подборе товара при совершении покупок в интернет-магазинах.
Ну и, наконец, самый «модный» вариант — скрипты на сайте. Неоднократно отмечалось, что выгода от подобной технологии заработка крайне мала, но тем не менее все больше сайтов включается в гонку за криптовалютами. В качестве интересных примеров можно привести майнер, создававший невидимое всплывающее окошко, прятавшееся за треем на Рабочем столе, или вредоносные программы, подменявших содержимое неактивных закладок браузера.
Кто в опасности?
Все. По статистике, более 80% сайтов имеют уязвимости. Каждый может оказаться на взломанном сайте, занимающемся майнингом.
Что касается заражения обычной программой-майнером, то взглянем только на одну ботсеть: «По усредненным подсчетам в созданной злоумышленниками бот-сети наблюдается активность 203 406 ботов в сутки». Более 200 000 пользователей скачали себе не пойми какую программу для оптимизации покупок в Интернете!
Майнеры не могут заражать файлы, а вот процессы заразить могут. Причем могут заражаться все запущенные процессы, но использоваться для майнинга будет первый, в котором этот троянец начинает работу.
Подводим итог:
Криптовалюты сейчас торгуются на достаточно высоком уровне, поэтому в ближайшее время можно ожидать появления более совершенных образцов вредоносных программ. Увы, беспечность пользователей играет на руку злоумышленникам. Поэтому, не стоит пренебрегать регулярными обновлениями Windows, и обязательно используйте хороший антивирус. Для мобильных устройств также стоит внимательно изучать приложения и отзывы по ним, прежде, чем устанавливать на смартфон.
Нашел cureit!’ом где то 40 вирусов Trojan.btcmine, trojan.equation. Каждый раз cureit! их лечит но на след день к вечеру те же самые вирусы появляются снова. Помогите пожалуйста их убрать а то я если честно уже задолбался из за того что компьютер работает крайне медленно и тупит.
Вот ссылка файлообменника с логами : http://dropmefiles.com/55pSc
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Для этого проделайте следующее:
tool.btcmine
Здравствуйте после проверки утилитой Dr.Web CureIt! обнаружилось два файла, с вирусом как название темы. Переместил в карантн. В архиве все логи и отчеты программ (DrWebSysInfo,Dr.Web CureIt!,hijackthis)Помогите разобраться что делать.
Прикрепленные файлы:
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Для этого проделайте следующее:
Последствия майнера tool.btcmine.2584
Дано: ОС Win 7 x64, антивирус Avira.
Вечерком 8 ноября сего года, я наплевав на все меры безопасности установил скачанную с непроверенного торрента игру, которая оказалась с сюрпризом. Примерно через минут 10 после установки и попытки запуска я заметил, что с компьютером что-то не то. Полез в диспетчер задач, он на тот момент ещё работал корректно. В диспетчере заметил новый незнакомый процесс и парочку старых системных, но запущенных от имени пользователя. Полез гуглить, что за файл. Файл нагуглился как EternalBlue, как назывался сам процесс уже не помню. Через ДЗ я его прихлопнул, нашёл место хранения файла и удалил сам экзэшник.
Ещё минут 10 мониторинга списка процессов ничего нового не дали, но начал самопроизвольно закрываться сам ДЗ. Заранее установленный Processxp 64 повёл себя так-же, самостоятельно закрывался через некоторое время. Я понял, что запахло порохом и полез качать CureIt. Сайт Доктора Вэба открылся, я попытался скачать утилиту, но не успел. Вылезла ошибка доступа, но браузер ещё работал корректно. Я полез в файл Hosts смотреть исключения и нашёл там кучу записей, которые я не создавал. Там были ссылки на сайты всех производителей антивирусов и прочего подобного софта. Лишние записи я потёр, сайт Доктора Вэба начал открываться, но уже начал вылетать сам браузер.
С момента заражения прошло минут 30. На этом этапе я уже обливаясь потом выдернул сетевой кабель из разъёма, скачал на телефон CureIt и через usb шланг залил утилиту на компьютер. Результаты её деятельности можно увидеть на фото. Я был в панике от мысли, что компьютер на глазах превращается в тыкву, так что за расфокусировку прошу прощения.
Некоторые файлы системные, кроме первого и, насколько я понял, перемещены в карантин.
Дальше у меня возникли вопросы к установленному антивирусу: А, собственно, какого дьявола? Выяснилось, что антивирус всё это время пускал пузыри из носа и игрался в песочек. Запустить его через диспетчер в трее у меня не удалось, а при запуске через ярлык в Пуске он радостно вылетел с ошибкой через пару секунд работы. Но в диспетчере задач он всё это время отображался.
Всё остальное отказалось даже устанавливаться. Через Total Commander с отображением скрытых файлов я увидел, что в обеих папках Program Files есть куча новых папок с названиями всех антивирусов. Папки как забетонированные, ничего сделать с ними не могу, даже открыть. На одном из скриншотов это видно. Так же появилось куча всего нового по всему системному разделу, второй раздел диска вроде чист. Прикладываю скрины, красным выделены новые папки, на первом скрине папка adwcleaner от моей запущенной утилиты, остальное действия вируса:
Два дня компьютер вообще не трогал, только сегодня зарегистрировался здесь, очень прошу помощи. Систему переустанавливать не вариант вообще, очень много всего установлено и настроено.
Прикладываю логи. В мануале написано, что нужно отключить антивирус и Защитник Windows. Защитник выключил, а Авира сотрудничать не хочет. В списке процессов постоянно висят Avira.Optimizer Host*32.exe и Avira.SoftwareUpdater.ServiceHost*32.exe. При попытке прибить их, запускаются автоматически, отключить не могу. Запустил Autologger так.
Благодарю за внимание.
устранение вируса tool.btcmine
добрый день всем,подскажите как убрать это дерьмо с компьютера,раньше dr.web устранял без.
Последствия удаления майнера
Подхватил недавно майнер. Назывался microsofthost.exe и хранился в.
Trojan.btcmine.3571
Здравствуйте. Помогите пожалуйста избавится от trojan.btcmine.3571. Находится по пути.
Удалить Ted BtcMine.258
Пожалуйста помогите удалить это:Ted BtcMine.258. D.Web. удаляет но тут же загружается снова.
Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove.log, прикрепите его к следующему сообщению.
После перезагрузки системы соберите новый CollectionLog Автологером.