Показано с 1 по 9 из 9.

Сеть заполонила троянская программа Trojan.Win32.CoinMiner.bn (заявка № 197684)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    01.03.2016
    Сообщений
    4
    Вес репутации
    30

    Сеть заполонила троянская программа Trojan.Win32.CoinMiner.bn

    Добрый день. В какой то момент, недели 2 назад у всех пользователей антивирус касперского начал выводить уведомления о вышеуказанном вирусе, который создает файлы IMG001.exe. причем при его удалении, он через некоторое время создается снова. Создает их в сетевых папках, на диске С, в автозагрузке.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,286
    Вес репутации
    378
    Уважаемый(ая) Darren J, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,459
    Вес репутации
    1058
    WBR,
    Vadim

  5. #4
    Junior Member (OID) Репутация
    Регистрация
    01.03.2016
    Сообщений
    4
    Вес репутации
    30
    Сделал образ
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,459
    Вес репутации
    1058
    Деинсталлируйте программы Html5 geolocation provider и Update for Html5 geolocation provider.

    Выполните скрипт в uVS:
    Код:
    ;uVS v3.87 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    delref %SystemDrive%\PROGRAM FILES\PERK COUPONS\FF\
    del %SystemDrive%\USERS\NUGUMANOV.GFSS\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\VOPACKAGE\CONFIGURE.LNK
    delref HTTP://WWW.YESSEARCHES.COM/?MODE=FFSENG&PTID=COS&UID=6D8DE90FF72BB767E808E181895C218F&V=20160108&TS=AHEPAN4RCHENB0..
    delref HTTP://WWW.YESSEARCHES.COM/?MODE=NNNB&PTID=COS&UID=6D8DE90FF72BB767E808E181895C218F&V=20160108&TS=AHEPAN4RCHENB0..
    deldir %SystemDrive%\USERS\NUGUMANOV\APPDATA\ROAMING\VOPACKAGE
    deldir %SystemDrive%\PROGRAM FILES\PERK COUPONS
    delref %SystemDrive%\PROGRAM FILES\POKERSTARS.NET\POKERSTARSUPDATE.EXE
    delref %SystemDrive%\PROGRAM FILES\POKERSTARS\POKERSTARSUPDATE.EXE
    delall %SystemDrive%\USERS\NUGUMANOV.GFSS\APPDATA\ROAMING\MOZILLA\EXTENSIONS\SPEEDTEST4354@BESTOFFERS\INSTALL.RDF
    deldir %SystemDrive%\USERS\NUGUMANOV.GFSS\APPDATA\ROAMING\MOZILLA\EXTENSIONS\SPEEDTEST4354@BESTOFFERS
    delref %SystemDrive%\USERS\1\APPDATA\ROAMING\MOZILLA\EXTENSIONS\SPEEDTEST4354@BESTOFFERS
    delref %SystemDrive%\USERS\PROGRAMMER\APPDATA\ROAMING\MOZILLA\EXTENSIONS\SPEEDTEST4354@BESTOFFERS
    delall %SystemDrive%\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\IMG001.EXE
    delref %SystemDrive%\PROGRAM FILES\MCAFEE\MANAGED VIRUSSCAN\VSCAN\MVSSHEXT5.1.0.325.DLL
    delref %SystemDrive%\PROGRAM FILES\DAEMON TOOLS PRO ADVANCED\DTIMGEDITOR.EXE
    delref %SystemDrive%\PROGRAM FILES\DAEMON TOOLS PRO ADVANCED\DTAGENT.EXE
    delref %SystemDrive%\PROGRAM FILES\DAEMON TOOLS PRO ADVANCED\DTPRO.EXE
    delref %SystemDrive%\PROGRAM FILES\DAEMON TOOLS PRO ADVANCED\UNINSTALL.EXE
    delref %SystemDrive%\PROGRAM FILES\HAALI\MATROSKASPLITTER\GDSMUX.EXE
    deltmp
    restart
    Компьютер перезагрузится.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

    Отключайте административные шары на всех компьютерах и пролечивайте штатным антивирусом, если он видит. На этом компьютере тела вируса уже нет.
    WBR,
    Vadim

  7. #6
    Junior Member (OID) Репутация
    Регистрация
    01.03.2016
    Сообщений
    4
    Вес репутации
    30
    Лог прилагаю.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,459
    Вес репутации
    1058
    Что с проблемой на этом компьютере?
    WBR,
    Vadim

  9. #8
    Junior Member (OID) Репутация
    Регистрация
    01.03.2016
    Сообщений
    4
    Вес репутации
    30
    Вообщем этот вирус как то пробирается в сетевую шару и в автозагрузку. Каспер находит его, просит ребутнуться что бы вылечить в сетевой шаре. При перезапуске системы, срабатывает автозагрузка и вирусный сервис начинает работать...
    как лечить:
    • убираю с автозагрузки через msconfig.

    • удаляю все вирусные файлы (imgX.exe).

    • убираю сетевые шары.

    • удаляю все созданные вирусом папки на диске С (папки с названием администратор, админ, юзер). Их легко идентифицировать поскольку в них только две папки - programm data и startup.

    • прогоняю антивирусом со свежими базами.

    • потом ребут.

    и вот уже 4 дня полет нормальный. делать это нужно на всех компах что в локальной сети.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,459
    Вес репутации
    1058
    Всё правильно сделали.
    Чтобы напрямую на компьютер червяки не лазили, отбирайте права администратора у пользователей.

    Выполните рекомендации после лечения.
    WBR,
    Vadim

Похожие темы

  1. Ответов: 6
    Последнее сообщение: 22.07.2014, 23:38
  2. Ответов: 6
    Последнее сообщение: 17.05.2013, 12:43
  3. Ответов: 7
    Последнее сообщение: 11.12.2012, 12:49
  4. Ответов: 9
    Последнее сообщение: 23.10.2012, 17:53
  5. Ответов: 1
    Последнее сообщение: 30.06.2009, 08:47

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01465 seconds with 20 queries