Tool click 38 что это
Как я поймал майнер tool.btcmine
Доброй ночи пикабушники! Сидел я в интернете. И заметил что начал я подвисать. Думал видюха. Ох. Думал даже экран тупит. Что я только не делал!) Спустя время понял что это майнер. Оказалось он не скрытый. И не собирается скрываться. Даже если писать в строке антивирус. То браузер сразу закрывало. Представьте как это бесило. Виндовс 10. Антивирусник не видит. Боже, сколько я перепробовал антивирусов чтобы убрать это го*но. Антивирусы его видели. Удаляли. Но после перезагрузки компьютера. Все возвращалось. Уже как неделю не могу решить эту проблему. Может у кого-то было подобное? Антивирусы говорят: tool.btcmine.1063. А именно Dr.Web Cureit!. Остальные тоже ругаются. Но оно появляется все равно. Чтобы я не делал. Если у вас такое тоже было то отпишите как убрали эту штуку. Буду очень благодарен.
Бгг. У вас стоит его установщик в автозагрузке/планировщике/службе скорее всего. Потому он у вас каждый раз при удалении и устанавливается заново через некоторое время.
Потом чистите автозагрузку/планировщик/службы.
Потом, убедившись в том что это не помогло, чистите все незнакомые процессы, удаляете все левые программы.
На форум «ДОкторВеба» обращались?
Эту ветку смотрели?
Не забудьте проверить загрузочный раздел HDD и удалить точки восстановления. Также следует отчистить все временные директории и почистить реестр. Если стоит что-нибудь от мейл ру удалить к чертям (очень часто мерзость лезет через их сервисы)
Ответ на пост «Вирус майнер nt kernel system и как с ним бороться. ( Когда открываю диспетчер задач фпс повышается )»
Эхх. где ты раньше был.
Тоже напоролся на этот вирус, пришлось долго мучаться, но всё же смог его удалить.
Если кому поможет, то боролся я с ним так: Пока искал инфу про этот вирус, напоролся на этот сайт: https://it-tehnik.ru/virus/virus-close-browser.html С него я скачал старую версию Касперского. Т.к. сайт не официальный, то вирус его не закрывал. Позже в самом Касперском я обновил его до актуальной версии и просто провёл сканирование и последующую очистку компа.
Может мой способ не самый лучший, но я всё равно хочу его опубликовать, мало ли кому поможет.
Вирус майнер nt kernel system и как с ним бороться. ( Когда открываю диспетчер задач фпс повышается )
Привет пикабушники. Вчера задефал свой ПК от этого злое***его вируса. Гори в аду его создатель.
Хочу поделиться с вами как его обнаружить и удалить. Подойдет для неопытных юзеров.
Итак. Проверяем есть ли он у вас.
Первым делом попробуйте зайти на официальный сайт антивирусов таких как nod32 и касперский. Если не пускает и сбрасывает соединение, значит у вас вирус.
Далее. Открываете диспетчер задач(Ctrl+shift+ESC), сортируете задачи по имени и нажимаете на клаве кнопки NT. Если есть процесс nt kernel system, значит это та самая хрень.
Объясню. Этот вирус скрывается в процессах ненагружая пк когда диспетчер задач открыт.
Как только вы его закроете, он начинает сильно нагружать видеокарту, особенно когда играете. Я лично играл в Varhammer vermintide 2 и там было 30 фпс на ЛЮБЫХ настройках игры.
Когда я запускал диспетчер задач, фпс сразу возрастал до 60.
Если диспетчер будет открыт более пол минуты, вирус сам его закрывает.
У этой дряни есть активная фаза. Когда вы начнете гуглить его название в браузере, или же устанавливать антивирус, он будет всячески мешать. НО его можно в диспетчере на секунд 5-10 отключить клавишей delete. Если попробуете открыть расположение файла процесса, то вас кинет в несуществующую директорию local/realtec HD. Да, он маскируется еще и под драва звука.
Итак, у вас уже горит задний проход. ЧТО ДЕЛАТЬ?!
1. открываете через инкогнито браузер, ищете «доктор веб». Он его детектит.
2.Качаете дока. достаточно демо версии Security Space.
3. Устанавливаете, вызываете диспетчер задач, находите процесс кнопками NT(сортировка по имени) и постоянно удаляете когда он появляется, пока не установите доктора. (диспетчер задач не закроется пока вы будете постоянно удалять этот процесс, их кстати у меня было 2. Это активная фаза вируса)
4. Антивирус попросит перезапустить пк. Подчиняемся.
5. После перезапуска запускаем ярлык на раб столе «сканировать»
6. Ждем.
Готово. Антивирус напишет название файла в котором нашел вирус, у меня это был Auslogic defrag. Дефрагментировал комп называется. И так же он покажет пораженные файлы. Жмем излечить и комп здоров.
Удачи.
Майнер NT Kernel & System под видом Realtek HD
Дело было одним вечером, сижу я значит ничего не заподозрив, понимаю что уж сильно начал шуметь мой компьютер.
Подумал ну Яндекс браузер кушает процессор плюс видео в ютубе, ай да забыл я об этом.
Вдруг 4-ый день этого жёсткого звука меня пробило насквозь. Что-то тут не так.
При запуске компьютер только только появился рабочий стол процессор шумит с видеокартой на максимум.
Беру дело в руки открываю диспетчер для просмотра активности вижу спокойный результат.
Уши не обманешь слышу как кулеры в ПК становятся тише.
АГА ЗНАЧИТ ВОТ ОНО КАК, сразу в голову приходит мысль что тут что-то ведь не ладное.
Открываю я значит программу для просмотра FPS в играх (там ещё показывается температура, нагрузка всех цепей), закрываю диспетчер задач, вижу опа через секунд 15, что процессор что видеокарта идут в разрыв, понимаю что нада копать глубже.
Я понимаю что программа виндовса которая отвечает за прерывание находится в папке с звуковыми драйверами, к тому же она полностью пустая. Вижу как мой диспетчер закрылся сам по себе.
Тут я уже всё понял и знал куда копать начал проверку на вирусы делать, нет ничего абсолютно.
Проверял я Microsoft Defender доверия к нему больше. В итоге 0
ставлю на скачку Dr.Web при установке выдавало ошибку постоянно.
Вирус начал закрывать установщик я психанул открыл диспетчер и просто закрывал этот вирусняк. В общем я установил его он запросил перезагрузку, я с вздохом перезагружаю ПК
Господи он начал сам перезагружаться 6 раз
На 7 выдало ошибку какую-то (жаль нету фоток)
Я с горем пополам вижу справа в углу мою любимую службу которую он заблокировал.
Скрытый майнер
WannaCry v.2
Вложения
 | CollectionLog-2017.10.05-14.27.zip (117.8 Кб, 3 просмотров) |
WannaCry
Таки словил я этого зловреда, хотя порты закрыты. Прошу помощи в удалении вируса и его следов.
Как работает вирус WannaCry?
В связи с недавней атакой мне стал интересен алгоритм работы вируса WannaCry. Может быть кто-нибудь.
Делимся опытом встреч с WannaCry(pt)
Профессионалы компьютерной безопасности, рабочие сервис-центров или просто сосед-хакер-ы.
WannaCry
Выскочило окно с сообщением. Что это? Не пытается ли вирус меня нае. ть?
О, да! Здесь есть с чем повозиться 
Вложения
| CollectionLog-2017.10.05-15.07.zip (89.2 Кб, 3 просмотров) |
. Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите «Да».
Вирус для «блондинок» Trojan.Click1.25237
Как показал опрос, проведённый среди пользователей Хабрахабра, только половина процента (!) (0,52%) опрошенных пользователей борются с новыми вирусами, отправляя их в техподдержку. Примерно треть лечит «фирменным антивирусом» и почти столько же — бесплатным или пытаются удалить самостоятельно.
Далее рассказ, как боролись с вирусом для «блондинок».
(p.s. Осталось 15 голосов за топик, чтобы получить инвайт на Хабр для хорошего человека. Или 65 голосов в карму, но это менее вероятно)
А началось всё с того, что знакомая пожаловалась: «У меня на флешке какая-то блондиночка с бабочкой!». Оказалось — на флешке autorun.inf, intrsrv.exe (оба скрытые) и файлик «Блондиночка.swf.exe». У всех трёх иконки были в виде розовой бабочки. Ну как блондинке пользователю не нажать, а? Но, странно, ничего не запускается… «Ой, может, на другом компьютере попробовать, да?»
Вот вам и вся «социальная инженерия».
Обычно, Windows отображает только первую часть такого «двойного» расширения, поэтому пользователь думает, что это очередной весёлый видеоролик с участием пышногрудой девицы блондинки. Пол пользователя, как оказалось, значения не имеет.
Под видом «Блондиночки», естественно, скрывался троян. Включённый бесплатный Avast! со свежими базами спокойно дал ему запуститься. Онлайновая проверка «Антивирусом Касперского», «Доктором Вебом» и McAfee уверяла, что всё в порядке. (upd. ESET NOD32 — отдельный привет)
Только Comodo Firewall в режима усиленного анализа заподозрил неладное и предположил, что на флешке может быть вредоносный код. После блокировки «зверя» оказалось, что доступ в локальную сеть теперь закрыт наглухо, остался только Интернет. И на том спасибо.
Отправил письма в техподдержку вышеназванным антивирусописателям. Поначалу обе компании промолчали. На следующий день отправил повторно «Доктору Вебу». Буквально сразу пришло письмо, что запрос поставлен в обработку. Затем пришло ещё 25(!) писем, подтверждающих, что запрос обрабатывается — и каждый раз запросу присваивался новый номер.
Уже вечером троян получил собственное имя Trojan.Click1.25237 и был добавлен в свежее обновление.
Мораль.
1. Бесплатный антивирус без файрволла — бесполезная игрушка.
2. Пользователь, не знающий как себя вести с «блондиночками» — опаснее вируса.
3. Не занимайтесь самолечением (но если Ваш уровень знаний позволяет — на здоровье).
4. Если антивирус не видит вируса — то это не значит, что компьютер «девственно чист».
5. Нашли новый «вирус» — отправьте в базу.
Вот список, куда можно (и нужно!) слать вирус или троян, выловленный в «дикой природе»
(только запакуйте его в архив с паролем «virus»):
p.s. Фото экрана компьютера из Общества слепых, который был заблокирован очередным Winlocker.SMS выложу позднее.
upd 2. Добавил в наш список ClamAV, Comodo (e-mail)
upd 3. Добавил Avast!
Что за вирус я поймал? В папке с поэтичным названием «tikataka» не менее чудное название файла «punamraka.exe»
Вот как его чистить на английском
2. Locate punamraka.exe virus files and uninstall punamraka.exe files program. Follow the screen step-by-step screen instructions to complete uninstallation of punamraka.exe.
3. Reboot computer in SafeMode. [Click to know How to Start Computer in Safe Mode],Clean/delete all punamraka.exeinfected file(s):punamraka.exe and related,or rename punamraka.exe virus files,if the file refused to be deleted,use the tool [Click to find Strong Remove Tool];
4. Delete/Modify any values added to the registry related with punamraka.exe,Exit registry editor and restart the computer [Click to find How to Edit Windows Registry ];
5.Please delete all your IE temp files with punamraka.exe manually,run a whole scan with antivirus program ;
Need help for remove punamraka.exe? Post you problem on Free Virus Remove Help forum URL:http://help.antiviruses123.com.
Название угрозы:
Malware
Имя файла:
[System32Root]\punamraka.exe
Последнее обновление:
23.01.2010
Запускается вместе со стартом системы, и использует специальные функции чтобы скрывать свое присутствие в процессах.
PUNAMRAKA.EXE репорт инфицированных операционных систем:
Windows ME
Windows 98
Windows Vista home Edition
Windows NT
Windows NT
Windows Vista
Windows 98
Детектируется антивирусными программами:
Norton Antivirus: Backdoor.Win32.Rbot.zwp
Rising: AdWare.Win32.Virtumonde.qpr
PCTools: Backdoor.Win32.Hupigon
F-Prot6: Backdoor.Win32.Prorat
Eset: Email-Worm.Win32.Stepaik.c
SecureWeb: Trojan.Win32.AdAgent
Kaspersky: Trojan.WinNT.Bubnix
F-Prot6: Adware.Win32.Adparatus
Rising: Adware.PluginDL
VirusBuster: Trojan.Win32.Generic!SB.0
DrWeb: Backdoor.Win32.Agent
Avast-Commercial: Backdoor.Win32.Rbot.afec
Avast-Commercial: Backdoor.Hupigon.AAAH
Bitdefender: Adware.Agent.gen
TrendMicro: FraudTool.Win32.FakeRean.10
PUNAMRAKA.EXE инфицированные страны:
Philippines
Australia
Israel
France
United Kindom
New Zealand
PUNAMRAKA.EXE методы его передачи:
Windows Vulnerability
USB Disk
Download From website
External Storage Device (USB Device etc.)
Instant Message(MSN,Gtalk,QQ etc.)
Level of Spread:6
Level of Threat:1
Насколько понимаю, это японская поделка.
По идее, CuerIt должен его поймать и решить с ним проблемы.
Про очередных интернет мошенников и как их можно посильно наказать.
Всем доброго времени суток! Сегодня будет очередной пост про интернет мошенников и как их можно посильно наказать.
История началась где то полтора месяца назад.
Тут следует пояснить, что у нас с ним на двоих есть одна PCP винтовка (достаточно дорогая, что бы позволить себе её в одну харю), которую мы пользуем в основном на пикниках для стрельбы по всяческим банкам, но тешим себя мыслью, что когда нить попрем на охоту на утку или байбака)))) Ну и периодически покупаем на нее всяческие всякие сошки, прицелы и прочие тактикульные штучки, коих набрался уже целый чемодан.
Так вот, на том скриншоте вижу я какой то, нереальных размеров ночной прицел и крупным шрифтом написано: цена 1990 рублей. И дальше что бла-бла-бла, оплата при получении.
Я, зная, что даже самые простые ночные прицелы стоят от 20 000 рублей, а уж тем более тепловизоры (а это был именно тепловизор) стартуют и вовсе от 200 000 р. и выше, просто написал ему что это какая то ерунда и что даже время тратить не стоит.
Ну не стоит так не стоит. товарищ спорить не стал и мы благополучно про это забыли.
Но как оказалось забыли мы, но не нас.
И вот с тех самых пор, куда бы я ни пошел, какую бы новость ни читал, эти прицелы начали преследовать уже и меня. Точнее их вездесущие баннеры.
«Сайтом» оказался обычны одностраничник. На нем очень доходчиво расписывается достоинства товара, что это акционная цена и что акция вот-вот закончится. Внизу даже есть реквизиты:
ИНН 7725776121 г.Москва 115114
ул.Шлюзовая набережная 4
Вбиваем в поисковик и видим:
1. Фирма действительно существует.
2. Уставной капитал 200 с лишним миллионов рублей (ого, фирма серьёзная)))).
3. Фирма, по всей видимости, владеет сетью магазинов RESERVED, CROPP, HOUSE, MOHITO т HOMEYOU, возможно помимо всего прочего.
Поиск по отзывам даёт 2 типа результатов:
2. Отзывы «довольных» клиентов неких интернет магазинов с рассказами о том, как им вместо дорогостоящих покупок (прицелы, лазерные уровни, наборы посуды, чехлы для сидений, шторы и т.д.) приходила на почту всякая мелочь.
Здесь можно было бы остановиться, т.к. стало понятно, что под вывеской реально действующей фирмы скрываются (точнее ведут преступную деятельность, не особо то и скрываясь) банальные жулики.
Но мне захотелось понять, как же они работают и почему эту лавочку до сих пор не прикрыли т.к. судя по отзывам много кто писал заявления в полицию.
Здравствуйте Xxxxx Yyyyyyy Zzzzzzz! Ваш заказ и подарок приняты на доставку. Срок прибытия 3-7 дней. Ожидайте СМС с номером заказа!
Ок, переходим на сайт почты, вбиваем трек номер и видим:
Посылка c объявленной ценностью 3 890 ₽ и наложенным платежом 3 890,00 ₽ 347 г
От кого: ООО «Оникс-М»
Куда: Oooooo Ggggggg, 123123
Естественно никто и не планировал забирать посылку.
Теперь немного о том, как данная схема работает и почему обращаться в полицию практически бесполезно:
наказывается штрафом в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до двух лет, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до пяти лет с ограничением свободы на срок до одного года или без такового, либо лишением свободы на срок до пяти лет с ограничением свободы на срок до одного года или без такового.
Только вот согласно примечанию №1 к той же статье: Значительным ущербом в части пятой настоящей статьи признается ущерб в сумме, составляющей не менее десяти тысяч рублей.
То есть в данном действии нет признаков уголовного состава преступления и следовательно в полиции (с большим удовольствием) откажутся возбуждать уголовное дело, а порекомендуют обратиться в суд.
2-ое (интересное) Суд с большой долей вероятности классифицирует это деяние как нарушение Статьи 398 ГК РФ «Последствия неисполнения обязательства передать индивидуально-определенную вещь». А здесь всё просто, Суд обяжет продавца передать Вам купленную вещь, а при её отсутствии (еще бы, прицел то реально стоит аж 230 т.р) возместить уплаченную стоимость и компенсацию «упущенной выгоды». Ну и судебные расходы (которые почти наверняка в несколько раз превысят стоимость «купленой» вещи). И подавать в Суд Вам придется не на ООО «РЕ Трэйдинг» реквизиты которого у нас есть, а на некую ООО «Оникс-М» без указания ИНН, коих в России зарегистрировано аж 53 штуки)))) И мне почему то кажется, если кто либо из потерпевших и решится на подобную «авантюру» то уже на этапе поиска ответчика энтузиазм пропадет окончательно. Тем более, что даже если мы точно узнали нужную нам фирму (что сделать в принципе не так уж и сложно), нужно будет подавать иск по месту нахождения ответчика, а соответственно оплачивать адвокату дорогу и проживание или же ездить на заседания самому, а уж ответчик понимая все это будет стараться растянуть удовольствие по максимуму))) Ну и не следует забывать еще одну вещь, даже если Вы выиграете суд, получите на руки исполнительный лист, нет ни какой гарантии, что к тому моменту фирму банально не «бросят», естественно без денег на счетах и какой бы то ни было собственности на балансе.
Теперь о том, как я в меру своих сил наказал засранцев.
Я скинул адреса их сайтов многим своим знакомым с кратким описанием, что и зачем и попросил заказать что нибудь у них. Откликнулись 18 человек. Всех попросил указывать регионы достаточно удалённые от Москвы, что бы наши «Бизнесмены» попали на более дорогую доставку. Если предположить, что в среднем доставка 1 посылки стоила жуликам 500 р. то всего они лишились 9500 рублей своей незаконной прибыли. И останавливаться я не собираюсь))))