Показано с 1 по 19 из 19.

Что это? Помогите пожалуйста. [not-a-virus:RiskTool.Win32.BitCoinMiner.lrc ] (заявка № 153273)

  1. #1
    Junior Member Репутация
    Регистрация
    09.08.2010
    Сообщений
    53
    Вес репутации
    50

    Что это? Помогите пожалуйста. [not-a-virus:RiskTool.Win32.BitCoinMiner.lrc ]

    Доброй ночи уважаемые.
    Совершенно случайно на одном из серверов обнаружил на диска С папку nt, а в этой папке файлик: CreateUA_by_Alex_Trin.exe
    Антивирусник ничего про него не сказал. В интернете ничего внятного не отыскал - на некоторых сайтах мелькнуло что граббер.
    И что-то я сильно напрягся на этот счёт. Помогите-научите - что это и что нужно сделать чтобы удалить последствия если это вредитель.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) kan510, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    09.08.2010
    Сообщений
    53
    Вес репутации
    50
    вот ещё что забыл написать - весит файлик 120 кб
    удалился без вопросов. В реестре его следов не обнаружил.
    сервер пользуют терминальные пользователи.
    может от них что-то залетело ... или закинули

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  6. #5
    Junior Member Репутация
    Регистрация
    09.08.2010
    Сообщений
    53
    Вес репутации
    50
    Вложение 456784Вложение 456783Вложение 456782правила читал.
    проверку выполнил
    логи приложены.

    Пока работал АВЗ - отыскал каталожик svchost - загружен сегодня в 12-57, а внутри файлики
    bad.txt
    config.ini
    error.txt
    good.txt
    password.txt
    login.txt
    и ещё несколько файликов dll

    также каталог pooler-cpuminer-2.3.2-win32
    а внутри файлик bat.bat с содержимым:
    minerd.exe --url stratum+tcp://litecoinpool.org:3333 --userpass dimonalek.1:1
    всё это я удалил

    сейчас сервер без пользователей - а нагрузка 40-50%

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Эти каталоги Вы удалили?

  8. #7
    Junior Member Репутация
    Регистрация
    09.08.2010
    Сообщений
    53
    Вес репутации
    50
    Цитата Сообщение от Никита Соловьев Посмотреть сообщение
    Эти каталоги Вы удалили?
    удалил в корзинку (можно вернуть если что - не исключал вероятности, что могут понадобится для изучения)

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Для исследования понадобятся. Поместите, пожалуйста, их в архив ZIP с паролем virus и закачайте через форму, доступную по красной ссылке над первым сообщением в этой теме.

    D:\Rar$DI02.844\1.cmd
    - известен данный файл?

  10. #9
    Junior Member Репутация
    Регистрация
    09.08.2010
    Сообщений
    53
    Вес репутации
    50
    D:\Rar$DI02.844\1.cmd - известен данный файл?
    сейчас нет такого, хотя когда ковырялся в системе - видел на диске D - D:\Rar$ ..... - значения не придал этому
    сервер перегружался несколько раз - вероятнее всего после перезагрузок исчезли
    файлы вкладываю

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Понятно. В настоящее время загрузка ЦП наблюдается?

  12. Это понравилось:


  13. #11
    Junior Member Репутация
    Регистрация
    09.08.2010
    Сообщений
    53
    Вес репутации
    50
    да наблюдается.
    выключаю службу - MSSQLSERVER - нагрузка падает до нуля
    включаю службу - сначала ноль, потом опять растёт до 40-50%

  14. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Что уже хорошо. Значит следов miner не осталось на сервере. Я рекомендовал бы проверить хотя бы самые подозрительные машины в Вашей сети. Например, те, которые чаще всего используются для поиска информации в интернете, к которым часто подключаются разнообразные сменные носители и т.д.

  15. #13
    Junior Member Репутация
    Регистрация
    09.08.2010
    Сообщений
    53
    Вес репутации
    50
    К серверу подключаются только терминалом!
    При подключении стартует 1С - и более ничего.
    есть 2 ПК которые лезут на сервер в общие папки - но вероятность что они заразны очень мала (хотя проверю их обязательно!!!)

    А вообще все сотрудники в инете постоянно! - живут там. профиль работы такой.

    А нагрузка почему вдруг так возросла на процессор? комп сейчас пустой, никто не работает, а нагружен на 40-50%
    Может ещё что сидит?

  16. #14

  17. #15
    Junior Member Репутация
    Регистрация
    09.08.2010
    Сообщений
    53
    Вес репутации
    50
    готово
    Только как-то странно.
    первый запуск пришлось прерывать работу программы.
    со второго раза отработала почти мгоновенно

  18. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Здесь тоже никаких подозрительных изменений. Dr.Web cureit выполнял проверку в момент создания отчета?

  19. #17
    Junior Member Репутация
    Регистрация
    09.08.2010
    Сообщений
    53
    Вес репутации
    50
    он запущен, проставлены галочки настроек - но кнопка начать проверку не нажата.

    а вот рекомендованная Вами программа ( RSIT ) - её повторный запуск всё думает чё-то

    - - - Добавлено - - -

    вот в данную секунду sqlserv.exe - кушает 38% ЦП и постоянно растёт число прочитано байт записано байт.
    что-то он делает непонятное.
    На другом аналогичном сервере все по нулям.
    пока я писал ответ RSIT - доделал логи.
    дублирую их (лог инфо чуть больше по размеру чем я высылал ранее)

    - - - Добавлено - - -

    не с того ни с сего загрузка упала с 40-50 на 1-2 процента.
    что было? что так контачит у сервера?
    Никита спасибо Вам за помощь!
    Реально помогли!
    Ещё раз спасибо!!!

    Если можно удовлетворите любопытство - это что за файлик был с которого всё началось: CreateUA_by_Alex_Trin.exe

  20. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Всё же проверяйте машины в сети.

  21. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 16
    • В ходе лечения обнаружены вредоносные программы:
      1. \pooler-cpuminer-2.3.2-win32\minerd.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.lrc ( DrWEB: Tool.BtcMine.130, BitDefender: Application.BitCoinMiner.BK )


  • Уважаемый(ая) kan510, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите пожалуйста
      От DemiGood в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.10.2011, 02:04
    2. Ответов: 9
      Последнее сообщение: 08.08.2011, 16:49
    3. Помогите пожалуйста
      От Dolphin в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 13.02.2010, 09:48
    4. Помогите пожалуйста
      От Yoten в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.11.2009, 16:22
    5. Ответов: 23
      Последнее сообщение: 22.02.2009, 02:23

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00170 seconds with 19 queries